Elektronische vooraankondiging recept is geen van vervanging digitaal recept

fout

Op 19 december 2019 maakte ik melding van een project in Noord Brabant om de elektronische  vooraankondiging van een recept te gebruiken als vervanging van een digitaal getekend recept.  Het gaat daarbij om het versturen van recepten door specialisten vanuit een ziekenhuis richting de apotheek. Bij de persuitingen over het project meldde men niets over het percentage fouten. Uit eigen cijfers van VZVZ, gepresenteerd op haar “Ziekenhuisdag” op 13 december 2018 blijkt dat een onacceptabel percentage, 5,7 procent(sheet 10 van 19) van de vooraankondigingen van recepten om meerdere redenen niet bij de apotheek aankwam.  De “ziekenhuisdag” had als thema: “LSP gebruik & beheer voor Ziekenhuizen”. Met het Landelijk SchakelPunt(LSP) is het vooralsnog onmogelijk om een digitaal getekend recept te versturen. Daarom proberen diverse belanghebbenden, o.a. de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) als verantwoordelijke voor het LSP,  controlerende instanties zoals de Inspectie Gezondheidszorg en Jeugd(IGJ) ervan te overtuigen dat de vooraankondiging afdoende is. VZVZ geeft  in haar presentatie op 13 december 2019 zelf meerdere oorzaken aan voor dit falen.  Een groot probleem is dat bij het niet arriveren van het  bericht bij de apotheek het LSP het bericht daarna niet nogmaals aanbiedt. Het voor-aangekondigde recept is daarmee elektronisch verdwenen. Als de patiënt geen papieren kopie meer bij zich heeft bij het bezoeken van de apotheek zal deze geen medicatie kunnen verstrekken.

Soorten fouten

Het probleem blijkt niet zozeer te liggen in het verzenden van de vooraankondiging naar het LSP-systeem. In dat deel van de keten gaat maar 0,075 procent fout. Het ligt vooral aan de connectie LSP richting apotheek.

De redenen, aangegeven met foutcodes, zijn:

  • KEY 205: Voorschrift met dit nummer bestaat al. Daardoor kan het bericht niet verwerkt woorden in het apotheeksysteem
  • RTEDEST: Het ontvangende systeem is ongepland niet beschikbaar, waardoor het voorschrift niet kan worden afgeleverd.
  • SYN100: Syntaxfout in het bericht waardoor het voorschrift niet verwerkt kan worden in het apotheeksysteem. Dat kan een verkeerde AGB- of een verkeerde UZI-code van de verzender zijn.
  • INACTIVE: Het ontvangende systeem is niet actief, waardoor het voorschrift niet elektronisch afgeleverd kan worden
  • RTUDEST: De adressering van de apotheek is niet correct.

 De eerste drie fouten zijn verantwoordelijk voor 82% van de foutmeldingen.

Keten

Het moge duidelijk zijn dat ook hier het oude adagium opgaat dat de keten zo sterk is als haar zwakste schakel. Die schakel blijkt dus de verbinding LSP richting apotheek te zijn. Op zich is het volkomen logisch dat het zo vaak fout gaat. Aan de ontvangerskant is sprake van een veelvoud van systemen, die bijvoorbeeld òf niet online zijn, óf net niet een juiste update geïnstalleerd hebben.

Onacceptabel

Het grote aantal fouten maakt dat het niet te accepteren is dat een controlerende instantie als de IGJ akkoord zou gaan met het gebruik van de vooraankondiging van een recept als een regulier receptbericht. Dat dient namelijk elektronisch ondertekend te zijn. Dat klemt des te meer als het gaat om medicatie die onder de opiumwet  valt Daarbij gelden zeer strenge regels over de vorm en inhoud van het recept. Daaraan mag niet getornd worden. In het kader van het hierboven genoemde percentage missers is het gebruik van de vooraankondiging dan ook absoluut niet te tolereren.

Openheid

Het is zeer teleurstellend dat in perspublicaties over het project in Noord Brabant geen openheid is verstrekt over het percentage missers. Pas bij lezing van een PDF-document op de website van VZVZ met daarin 198 sheets van presentaties op de Ziekenhuisdag op 13 december 2019 viel het mij op in een reeks van negentien sheets over de vooraankondiging van recept.

W.J. Jongejan, 9 januari 2019




Function-creep in het Brabantse: vooraankondiging recept wordt recept?

vooraankondiging receptHet gebeurt wel vaker in de zorg-ICT dat men grenzen van bepaalde functionaliteit oprekt. “Function-creep” is de term daarvoor. We zien het eigenlijk overal waar grote hoeveelheden data verzameld en verwerkt worden. Zo houdt het kentekenregistratiesysteem(ANPR) boven de snelwegen de verzamelde data langer vast dan eerst voorzien was en zijn er naast de politie ook andere overheidsinstanties(belastindienst) geïnteresseerd in die data.  In Zuidoost-Brabant startte het Regionaal Zorg Communicatie Centrum(RZCC) een jaar terug een project om digitaal recepten te verzenden van de tweede naar de eerste lijn met gebruik making van het Landelijk SchakelPunt(LSP). Officieel is een elektronisch recept van een arts alleen een rechtsgeldig voorschrift als het elektronisch ondertekend is. Dat is echter niet mogelijk met de huidige stand van zaken rond het receptbericht dat via het LSP verzonden wordt. Daarom heet hetgeen elektronisch overgebracht wordt naar de apotheek via het LSP dan ook een vooraankondiging van het recept. Het is nog altijd noodzakelijk dat het fysieke recept op een andere wijze(post of via de patiënt) alsnog de apotheek bereikt. Het RZCC stelt nu na een jaar met de deelnemende regio-partners dat de regio ervoor kiest om de vooraankondiging als een recept te beschouwen. Men doet dat na een risicoanalyse. Men kan dat wel zo vinden maar juridisch is het geen recept omdat een elektronische handtekening ontbreekt.

Vooraankondiging recept

In een document van het standaardisatie instituut voor de zorg, Nictiz, uit 2012 is al te lezen welke rol een vooraankondiging van een recept heeft. Het bevat dezelfde informatie als nog te realiseren elektronisch recept maar een elektronische handtekening ontbreekt. Technisch is het nog steeds niet mogelijk dat zoiets elektronisch uitgewisseld wordt. In 2016 laat de communicatiemedewerker van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), Alf Zwilling optekenen dat het toevoegen van een elektronische handtekening nog een detail is dat aangepast moet worden. Voor de goede orde: VZVZ beheert het LSP en is er verantwoordelijk voor.  Anno 2018 is dat “detail” nog  steeds niet zover. De programmamanager Medicatie bij het RZCC, Roanda Fokkens-Steba, die een blog over het project schreef op 14 december 2018 op het online magazine SKIPR beschrijft trouwens ook dat het echt geen techniek feestje was.

Niet arriveren

Dat het werken met de vooraankondiging niet zonder problemen is geeft een factsheet van VZVZ aan. Daarin maakt VZVZ duidelijk dat er meerdere foutenbronnen zijn waardoor een vooraankondiging niet bij een apotheek kan aankomen. Een aantal foutenbronnen noemt men bij naam. Ook is het zo dat als er zich een fout heeft voorgedaan bij verzending of ontvangst van de vooraankondiging van een recept het LSP dan niet op een ander tijdstip opnieuw gaat proberen het bericht alsnog af te leveren. Er wordt dan vanuit gegaan dat er op een andere manier is geprobeerd het recept in de apotheek te krijgen. Als men in Zuidoost-Brabant in dat soort gevallen geen fysiek recept meer naar de apotheek stuurt is het recept richting apotheek gewoon verdwenen. De patiënt wil dan zijn medicatie krijgen maar de apotheek heeft geen grond voor aflevering.

Lastig

De ondertoon van de blog over het project is dat het nasturen van een fysiek recept richting apotheek toch wel een lastige en arbeidsintensieve onderneming is. Men komt met een risicoanalyse om daarmee aan te willen tonen dat het eigenlijk best wel veilig is om te werken met alleen de vooraankondiging van het recept en het qua bewaking van de medicatieveiligheid grote voordelen heeft. Ondanks het positief uitvallen van de eigen risicoanalyse geeft de programmamanager toch wel aan dat juridisch gezien de meningen verdeeld zijn. Verdeeld over of de vooraankondiging binnen de huidige wetgeving als recept beschouwd mag worden door het ontbreken van een digitale handtekening.

Juridisch duidelijk

Mijns inziens is het echter volkomen duidelijk dat een vooraankondiging van een recept niet als recept te beschouwen is. Zonder (digitale) handtekening kan het nooit de status krijgen van een rechtsgeldige vorm van prescriptie. Het is ook de vraag of de iets wat door RZCC, deelnemende apotheken en Maxima Medisch Centrum als opportuun wordt gezien ooit de goedkeuring krijgt van de Inspectie GezondheidsZorg en Jeugd. Immers ook een per fax verstuurd recept is een vooraankondiging van een recept. Ondanks dat het gebruik van de fax hiervoor sterk wordt afgeraden laat de Koninklijke Nederlandse Maatschappij ter bevordering van de Pharmacie(KNMP) op haar website(alinea: Een recept via de fax, mag dat?) dat een per fax verstuurd recept als een vooraankondiging beschouwd wordt.

Oprekken en omzeilen

Uit de berichtgeving van het project is af te leiden dat men van iets, wat juridisch helemaal niet kan, af wil. Men probeert duidelijk de grenzen op te rekken, waardoor sprake is van function-creep. Uit het verslag blijkt ook dat de functionaliteit nog niet voldoet aan de wensen van de zorgverleners zoals zij het in de praktijk willen toepassen. Men spreekt over duidelijk afspraken over werkwijze zodat tekortkomingen in de huidige functionaliteit omzeild worden. Het is klip en klaar dat hiermee work-arounds voor gerezen problemen worden bedoeld.

W.J. Jongejan, 19 december 2018

19 december: kleine aanvulling aan einde alinea “Niet arriveren.”




Bizar conflict LUMC-Chipsoft toont wurggreep door zorg-ICT-leverancier

wurggreep

Op de website van het online magazine Zorgvisie stond op 25 september 2018 een opmerkelijk artikel: “LUMC beklaagt zich bij Inspectie over Chipsoft” . Daarin vertelt de bestuursvoorzitter, Willy Spaan, van het Leids Universitair Medisch Centrum(LUMC) over de klacht die door het bestuur ingediend is bij de Inspectie Gezondheidszorg en Jeugd(IGJ). Die gaat over een in de ogen van het LUMC onveilige update van het ziekenhuisinformatiesysteem(ZIS) van Chipsoft. Volgens het LUMC maakt Chipsoft gebruik van een dominante marktpositie om een update af te dwingen. Die leidt in de ogen van de veiligheidsexperts en specialisten van het LUMC tot onveilige zorg. Het bestuur vindt dit onacceptabel. Het LUMC stelt dat het ministerie van VWS en de IGJ hun verantwoordelijkheid moeten nemen. De discussie met de IGJ loopt nog steeds en heeft blijkbaar nog geen definitieve stellingname van de IGJ opgeleverd. Het is een probleem dat eigenlijk alle ziekenhuizen met Chipsoft als ZIS raakt. Uit het artikel blijkt dat andere ziekenhuizen schoorvoetend overstag zijn gegaan, maar dat het LUMC de poot stijf hield. Wel ging het LUMC onder tijdsdruk akkoord met een aangepaste update. Dit roept toch wel veel vragen op over de veiligheid van zorg-ICT-systemen, in het bijzonder die in ziekenhuizen en de druk die een leverancier blijkbaar kan uitoefenen.

Probleem

Blijkens het Zorgvisie-artikel dateert het conflict vanaf 2017. Chipsoft heeft laten weten thans in 2018 haar oude software van 2017 niet meer te ondersteunen. Ze kwam met de nu betwiste software- update. Het ZIS Chipsoft verzorgt niet alleen het vastleggen en in het ziekenhuis transporteren van data maar ook de koppeling van medische onderzoeksystemen in het ziekenhuis aan het ZIS. Daarbij doel ik op laboratoriumcomputers, computers die gekoppeld zijn aan beeldvormende appratuur, zoals MRI-, CT-scan etc. Die hebben vaak ook hun eigen besturingssysteem en dienen ook de laatste updates daarvan te hebben, die dan ook dienen samen te werken met het ziekenhuis-brede ZIS. Mogelijk zit in die koppeling de grootste bottleneck.

Geen bewerkersovereenkomst

Waarschijnlijkheid speelt daarnaast ook een rol dat CHIPSOFT als leverancier weigert bewerkersovereenkomsten te tekenen. Dat is in januari 2018 al door Mark van Houdenhoven CEO van de Maartenskliniek  in Nijmegen aangekaart in het magazine Medisch Contact. Ook die deed een oproep aan het ministerie van VWS om in te grijpen. Chipsoft weigert namelijk een bewerkersovereenkomst te tekenen. Voor bedrijven die programma’s leveren waarin data worden verwerkt geldt een namelijk een bewerkersovereenkomst waarin is vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. Dataverwerkers zijn bijvoorbeeld websitebouwers, ontwikkelaars van laboratoriumsystemen, leveranciers van personeelsadministratiesystemen, maar ook leveranciers van elektronische patiënten dossiers zoals Chipsoft. Dit is dan wel geen softwareupdate-probleem, maar is geen goede zaak in de relatie klant-leverancier.

Wurggreep

Het probleem maakt duidelijk dat in een markt waar eigenlijk maar twee grote ZIS-sen actief zijn, Chipsoft en EPIC, er naast een “vendor lockin”(onmogelijkheid om makkelijk van andere leverancier te wisselen) ook zonder plan om van ZIS te veranderen een enorme afhankelijkheid van de leverancier bestaat. Uit eigen ervaring als lid van de raad van advies van een gebruikersvereniging van een huisartsinformatiesysteem(HIS) weet ik dat een leverancier soms een heel ander ontwikkelingspad voor ogen heeft dan de gebruikers(vereniging).

Onveilige ZIS-sen

Zoals in de eerste alinea al gezegd zijn andere ziekenhuizen dan het LUMC met tegenzin akkoord gegaan met een update die veiligheidsexperts en specialisten binnen het LUMC vinden leiden tot onveilige zorg. De LUMC-bestuursvoorzitter Willy Spaan, zegt ook dat de andere ziekenhuizen het met het LUMC eens waren. Blijkbaar is de schaalgrootte van het LUMC de enige machtsfactor geweest die het mogelijk heeft gemaakt een tussen-release van de software af te dwingen. Op zich is dat al triest. Heel triest is het om te constateren dat er nu blijkbaar tientallen ziekenhuizen met onveilige CHIPSOFT-software werken, omdat zij hetzij per ziekenhuis, hetzij collectief juridisch gezien geen brede borst hebben kunnen of willen maken richting CHIPSOFT. Het kan en mag nooit zo zijn dat de onmogelijkheid van klanten om een vuist te maken richting hun leverancier leidt tot onveilige zorg.

ACM?

Het bestuur van het LUMC heeft zich nu gewend tot de IGJ en daarmee ook tot het ministerie van VWS waaronder de IGJ ressorteert. Het is daarnaast de vraag of de beschreven problematiek ook niet het gevolg is van een te machtige marktpositie van de twee ZIS-sen, Chipsoft en EPIC. Daarmee komen we dan automatisch uit bij een eventuele mede-beoordeling van deze kwestie door de Autoriteit Consument en Markt(ACM). Het is te hopen dat de IGJ uit praktische overwegingen de ACM ingelicht heeft over het onderzoek dat het LUMC-bestuur de IGJ vroeg te doen.

Bizar

Het hierboven beschreven probleem is eigenlijk een tamelijk bizarre situatie. Ik mag aannemen dat CHIPSOFT geen onveilige software wil leveren en dat het LUMC op zich geen enkel belang erbij heeft om iets nodeloos op de spits te drijven. Het is dan ook tamelijk bizar dat betrokkenen niet tot een onderling vergelijk konden komen en de situatie geëscaleerd is tot wat er nu speelt.

Triest is het om te constateren dat blijkbaar alleen een grote omvang van een organisatie die ook één van de grootste spelers binnen de universitaire medische wereld is, een bepalende machtsfactor is om in ieder geval een tussen-release van software te bewerkstelligen.

Helemaal triest is dat kleinere ziekenhuizen door akkoord te gaan met de 2018 release van de Chipsoft-software nu opgescheept zitten met software die binnen het LUMC als onveilig wordt beschouwd.

W.J. Jongejan, 27 september 2018

Aanvulling 4 oktober 2018: Op Twitter doet Marc van der Gracht‏ @MarcGr8  de volgende suggestie over de aard van het probleem:  Het artikel lijkt te suggereren dat zorgaanbieders met wel geüpdatete EPD een veiligheidsrisico zouden lopen. Ik denk dat dit risico enkel is voor de oude EZIS-dossiers die niet meer op veiligheid gemonitord worden, net als destijds met systemen die nog op Windows XP draaiden.




IGJ schuift melding over ontbreken verificatieplicht VZVZ door naar AP

schuiver

Op 5 februari 2018 schreef ik op deze website een bijdrage met als titel “IGJ dient verificatieplicht tav toestemming delen medische data breder af te dwingen”. Het ging over de vraag van mij aan de Inspectie voor de Gezondheidszorg en Jeugd(IGJ) om de verificatieplicht die zij aan het Isala-ziekenhuis in Zwolle oplegde  breder te trekken. Daarbij vroeg ik de IGJ om stappen te zetten richting de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) vanwege het op enige schaal plaats vinden van onterechte opt-in-toestemmingen voor het delen van medische informatie via het Landelijk SchakelPunt(LSP).  Door een verificatieplicht kan het onterecht noteren van opt-in-toestemmingen voor het delen van medische gegevens over het LSP de kop ingedrukt worden. Over het onterecht doen noteren van opt-in-toestemmingen bij apotheken voor medicatiegegevens deed de burgerrechtenvereniging Vrijbit al in de herfst van 2017 twee handhavingsverzoeken aan de Autoriteit Persoonsgegevens(AP). In een reactie op mijn verzoek aan de IGJ heeft de coördinerend specialistisch inspecteur eHealth, drs. J.W. Krijgsman, mij op 15 maart 2018 laten weten dat de IGJ mijn verzoek niet in behandeling kon nemen en doorgeschoven heeft richting de AP.

Formeel

De IGJ kon bij het Isala-ziekenhuis hen aanspreken op basis van de Wet aanvullende bepalingen verwerken persoonsgegevens, en wel artikel 15a daarvan. De Wabvp bepaalt dat een zorgaanbieder gegevens van de cliënt slechts beschikbaar stelt via een elektronisch uitwisselingssysteem, voor zover de zorgaanbieder heeft vastgesteld dat de cliënt hier uitdrukkelijk toestemming voorheeft gegeven. De Wabvp richt zich expliciet op zorgaanbieders als bedoeld in de Wet kwaliteit, klachten en geschillen zorg(Wkkgz). Formeel gezien is VZVZ geen zorgaanbieder in de zin der wet, maar een be-/ verwerker van medische gegevens. Om die reden kan de IGJ niet toezien op het handelen of nalaten van de VZVZ zoals verwoord in mijn verzoek aan de IGJ.

AP

De inspecteur van de IGJ gaf terecht aan dat hij de AP de bevoegde toezichthouder acht over VZVZ. Na telefonisch overleg met mij heeft hij dan ook contact opgenomen met de AP met het verzoek aldaar de behandeling van het verzoek over te nemen. De AP heeft daartoe inmiddels met mij contact opgenomen, onder andere met het verzoek of ik mij wil voegen bij de twee handhavingsverzoeken van de burgerrechtenvereniging Vrijbit of dat ik een separaat handhavingsverzoek wil doen. Daarover zal ik ze binnenkort berichten.

Grote kans

Vrijbit is trouwens nog steeds in afwachting van een formele uitspraak van de AP over de twee hierboven genoemde handhavingsverzoeken. Daarbij is de wettelijke reactietermijn voor de AP weer eens een keer ruim overschreden. De afwijzing die de IGJ op mijn melding deed op formele gronden opent echter wel een grote kans voor Vrijbit om zich tot de IGJ te wenden met een handhavingsverzoek ten aanzien van apotheken die ten onrechte op enige schaal onterechte opt-in-toestemmingen noteren in hun systemen. De apotheken vallen immers wel onder de Wkkgz en zijn ook door hun beroepsorganisatie, de Koninklijke Nederlandse Maatschappij ter bevordering van de Pharmacie(KNMP) uitgebreid geïnstrueerd hoe ze met die wet dienen om te gaan. Omdat de apotheken onder de Wkkgz vallen zijn ze derhalve aan te spreken op een verificatieplicht op basis van de Wabvp. De IGJ kan de overtredende apotheken dwingen tot een verificatieplicht bij het vastleggen van opt-in-toestemmingen. Daardoor kan afgedwongen worden dat de burger actief per gewone post of email ingelicht wordt door de apotheek als er iets in de opt-in-status verwijderd wordt.

We gaan het zien.

W.J. Jongejan

 




Leiding Parnassia hervat aanlevering van “gestolen” ROM-data aan SBG

dief met zak ROMdata

Een interne memo van de zeer grote GGZ-instelling Parnassia maakte enkele dagen terug duidelijk, dat men de aanlevering van Routine Outcome Monitoring(ROM)-gegevens aan de Stichting Benchmark GGZ weer is gaan hervatten. Het afgelopen jaar(2017) lag de aanlevering aan SBG door GGZ-instellingen voor een groot deel stil, nadat duidelijk was geworden dat ondanks pseudonimisering van de data deze toch beschouwd dienden te worden als bijzondere persoonsgegevens. Voor het doorleveren van dat soort gegevens is expliciete toestemming de grondslag. Dat schreef zelfs de vorige minister van VWS, Edith Schippers. Ongeveer 175 instellingen stopten de aanlevering. Rond de 65 gingen er mee door. In oktober 2017 kwam de brancheorganisatie van werkgevers in de GGZ, GGZ Nederland, namens de deelnemers aan de Agenda Gepast Gebruik en Transparantie (AGGT) met een uiterst discutabele redenering waarmee de aanlevering aan SBG en het later te vormen kwaliteitsinstituut voor de GGZ hervat zou kunnen worden op basis van “veronderstelde toestemming”. Op die basis zouden dan zonder expliciete  toestemming van de cliënt ROM-data naar de externe verzamelaar en be-/verwerker SBG gaan. De informatie wordt hiermee door de leiding van de zorginstelling(zorgaanbieder) onttrokken aan de zeggenschap van de cliënten, maar ook van de behandelaars(zorgverleners). Geheimzinnig wordt door veel GGZ-instellingen en SBG gedaan over welke instellingen wel of niet ROM-data aanleveren. Bij toeval komt je er soms achter wie wat doet. In het memo van Parnassia maken bestuur en directie geenszins duidelijk dat cliënten expliciete toestemming geven. Door de toonzetting en de argumentatie die zij gebruiken is duidelijk dat het opsturen van de data naar SBG op basis van de veronderstelde toestemming gebeurt. Door de aanlevering met veronderstelde toestemming schenden directie en bestuur het medisch beroepsgeheim en zijn daardoor voor de tuchtrechter te roepen.

Onwaarheid

In het memo zegt het bestuur/directie dat Parnassia net als andere GGZ-instellingen in het verleden geanonimiseerde ROM-data aan SBG leverde. Dat is volkomen onjuist en suggereert iets wat er niet was en is. Het gaat namelijk om gepseudonimiseerde data, waarvan juist door de Autoriteit Persoonsgegevens gesteld is dat die ondanks pseudonimisering toch als bijzondere persoonsgegevens beschouwd dienen te worden. Daarom is nu juist expliciete toestemming nodig. Marc Blom, psychiater en bestuurslid van de Parnassia-groep zegt in een berichtwisseling op LinkedIn met een zeer kritische Jim van Os, hoogleraar psychiatrische epidemiologie te Utrecht, dat de data nu geanonimiseerd aangeleverd gaan worden. Dat klopt absoluut niet omdat aan de gepseudonimiseerde aanlevering van data aan SBG niets veranderd is. Marc Blom vermijdt in zijn antwoord de wijze van toestemming en stelt dat de patiënt uit vrije wil al dan niet meedoet. Dat zeggen staat niet gelijk aan het geven van een expliciete toestemming door een cliënt. Die twee woorden mijden Parnassia en Marc Blom in de memo en berichtuitwisseling op LinkedIn. Als bijv. door Parnassia een folder verstrekt is met de opmerking dat men uitgaat van veronderstelde toestemming tenzij de cliënt het er niet mee eens is, liegt Marc Blom net niet, maar spreekt ook niet de waarheid.

Stelen

Volgens het Van Dale Groot woordenboek van de Nederlandse taal is stelen het heimelijk wegnemen van iets om het zich wederrechtelijk toe te eigenen. Het is dan ook niet zonder reden dat ik spreek over “gestolen” ROM-data aangezien ze heimelijk aan de zeggenschap van de cliënt onttrokken worden en directie en bestuur eigenstandig beslissen wat er mee gebeurt.

Ongeldige veronderstelde toestemming

De constructie die men bedacht was dat als het gaat om kwaliteitsverbetering de cliënt verondersteld wordt toestemming daarvoor te geven. Als sluwigheid heeft men ook gezegd dat het doel van de dataverzameling vooralsnog geen benchmarking en zorginkoop meer zou zijn, maar kwaliteitsverbetering. Om in een later stadium daar toch weer op uit te komen. GGZ Nederland schreef letterlijk en let daarbij op het woord ‘vooralsnog’:

“Gebruik voor een landelijke benchmark of voor keuze- en zorginkoopinformatie is, o.a. vanwege privacyvraagstukken vooralsnog niet aan de orde, maar dit wordt voortvarend opgepakt in aanloop naar het Kwaliteitsinstituut GGZ in oprichting.”

Voor de beoogde kwaliteitsverbetering stuurt men de ROM-data naar een externe partij, te weten SBG. Alleen al door deze route is het noodzakelijk dat de cliënt expliciet toestemming geeft en men niet kan uitgaan van een veronderstelde toestemming.

Zorgelijk

De vertrouwelijkheid, tussen cliënt en behandelaar(zorgverlener), is de kern van de relatie tussen die twee. In die behandelrelatie hebben ROM-gegevens een plaats om de therapie te evalueren en zo nodig bij te sturen. Wat er nu gebeurt bij GGZ-instellingen(zorgaanbieders), die met veronderstelde toestemming ROM-data gaan doorleveren, is dat directie en bestuur zich de zeggenschap toe-eigenen over de ROM-data en die over het hoofd van cliënt en zorgverlener doorsturen naar een derde partij, zijnde SBG. Dit is een uiterst zorgelijke ontwikkeling, omdat hiermee het medisch beroepsgeheim geschonden wordt.

Tuchtzaak

Het handelen van het bestuur en directie van de Parnassia Groep, maar ook van andere GGZ-instellingen die met veronderstelde toestemming denken het ROM-data-leveren te hervatten, opent de mogelijkheid voor individuele zorgverleners, in dienst bij zo’n instelling, en die het niet eens met het handelen van hun directie en bestuur een tuchtklacht in te dien bij de Inspectie Gezondheidszorg en Jeugd(IGJ) op basis van de tweede tuchtnorm. Deze heeft betrekking op het handelen of nalaten in de hoedanigheid van een hulpverlener dat in strijd is met het belang van een goede uitoefening van individuele gezondheidszorg. Aangezien BIG-geregistreerde directie- en bestuursleden met hun handelen bij ROM-data het medisch beroepsgeheim schenden, zijn zij aan te klagen bij de medische tuchtraad. Ze handelen in strijd met de goede uitoefening van de individuele gezondheidszorg.

W.J. Jongejan

 

 




IGJ dient verificatieplicht tav toestemming delen medische data breder af te dwingen

only yes is yes

De Inspectie Gezondheidszorg en Jeugd(IGZ) van het ministerie van VWS is in het najaar van 2017 begonnen met verkennende gesprekken met zorginstellingen die gebruik maken van eHealth. eHealth is het gebruik van nieuwe informatie- en communicatietechnologieën, en met name internet-technologie, om gezondheid en gezondheidszorg te ondersteunen of te verbeteren. In dat kader bezocht de IGJ o.a. het Isala ziekenhuis in Zwolle. Daar waren op het gebruik van eHealth wat opmerkingen te maken door de inspectie. Eén daarvan was op welke wijze het ziekenhuis controle uitvoert of partijen die inzage in het Elektronisch Patiënten Dossier(EPD) hebben, ook toestemming hebben gevraagd aan de patiënt. Dit acht de IGJ van zo’n belang dat het voor eind februari dit jaar verwacht dat het ziekenhuis het borgen van de toestemming goed geregeld is in een verbeterplan. In wezen komt het neer op een verificatieplicht voor de instelling van een genoteerde toestemming van de patiënt voor inzage van zijn of haar medische data door andere zorgaanbieders. Het wonderlijk is dat de IGJ zich nu hier druk om maakt maar nimmer een punt gemaakt heeft van het niet controleren van een door een zorgaanbieder genoteerde opt-in-toestemming van de patiënt om medische data via het Landelijk SchakelPunt(LSP) te doen delen. De verantwoordelijke organisatie, de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), is nimmer door de IGJ en haar rechtsvoorganger de IGZ(Inspectie voor de GezondheidsZorg) aangesproken op het ontbreken van een verificatieplicht.

Onterechte toestemming

Ten aanzien van het LSP is in het recente verleden meermalen melding gemaakt van het onterecht noteren van opt-in-toestemmingen door zorgaanbieders. Daarbij gaat het vooral om apotheken die noteren dat iemand wel zijn medicatiegegevens wil delen, terwijl dat niet het geval is. Over deze materie is door de burgerrechtenvereniging Vrijbit bij de Autoriteit Persoonsgegevens (AP) een tweetal handhavingsverzoeken gedaan(A,B) om erop toe te zien dat dit soort praktijken stopt. De AP is met lange tanden een onderzoek gestart waarvan nog geen afloop bekend is.

VZVZ

De verantwoordelijke organisatie voor het LSP, VZVZ, stelt tot nu toe aldoor dat zij de toestemmingsvereisten voldoende duidelijk uitleggen in hun folders en voorlichtingsbijeenkomsten. Maar omdat VZVZ een systeem beheert dat onrechtmatig- dan wel helemaal niet verleende- toestemmingen als grondslag voor aanmeldingen faciliteert, zijn zij uiteraard wel degelijk aansprakelijk. Het zou de normaalste zaak van de wereld zijn als VZVZ een verificatieplicht opgelegd zou krijgen, die ze eigener beweging al lang hadden moeten effectueren. De IGJ en haar voorganger IGZ, hebben tot heden nooit enige opmerking gemaakt over deze materie, hoewel het probleem niet  onbekend geacht kan worden.

Volkomen ontoereikend

Bij VZVZ kan een iemand die wil controleren of er onterecht een toestemming ergens is genoteerd dat controleren via een website van VZVZ met het inzage-overzicht. Dat is volkomen ontoereikend. Het vereist namelijk niet een actie van VZVZ, maar van een argwanende burger. Die dan bovendien die controles regelmatig moet herhalen om te zien of er niet nadien een onterechte toestemming is genoteerd. Dat is de omgekeerde wereld.

Parallel

Nu de IGJ bij een ziekenhuis erop aandringt dat op voor haar genoegzame wijze het correct verkrijgen van toestemming om medische data te doen delen geverifieerd wordt, dient de IGJ ook bij andere organisaties toe te zien of de toestemming op rechtmatige wijze verkregen is. Zeker als het een organisatie betreft die iets beheert wat in principe alle Nederlanders aangaat. Ik heb inmiddels aan de IGJ het verzoek gedaan om de eis die ze aan het Isala ziekenhuis oplegt ook breder te trekken en daarom ook handhavend op te treden tegen VZVZ.

W.J. Jongejan