Kwaliteitsstatuut GGZ faciliteert benchmarking met ROM en schending beroepsgeheim

papier met geheim en aeculaapNa de ophef over het verzamelen en verwerken van ROM-data door de Stichting Benchmark GGZ(SBG) in 2017 liet GGZ Nederland met veldpartijen uit de geestelijke gezondheids-zorg(GGZ)[i] op 18 oktober 2017 weten dat de verwerking van die data weer hervat kon worden. Het kon volgens hen gebeuren op basis van “veronderstelde toestemming”. Dat was een cosmetische operatie. Men veranderde gewoon op papier het doel van het verzamelen en be-/verwerken van Routine Outcome Monotoring(ROM)-data. Van benchmarking en zorginkoop als doel werd het nu kwaliteitsverbetering. Dat wil men bereiken door de resultaten van de ROM-verwerking terug te sluizen richting behandelaars.

In de marge meldde men dat het Kwaliteitsstatuut, vanaf 1 januari 2017 verplicht voor de gehele geneeskundige GGZ, opnieuw doorgelopen zou worden om te zien of men met de veranderde doelstelling het statuut niet moest aanpassen. Naar nu blijkt, bij het lezen van versie 1.1 (d.d. 26 maart 2018) van het model Kwaliteitsstatuut GGZ, staat nog steeds de verplichting tot aanleveren van ROM-data aan SBG overeind. Ook de doelstelling is onveranderd: het aanleveren van ROM-gegevens aan SBG die op geaggregeerd niveau beschikbaar zijn ten behoeve van benchmarking.

Kwaliteitsstatuut

GGZ organisaties van patiënten, zorgaanbieders en zorgverzekeraars[ii] hebben gezamenlijk het model Kwaliteitsstatuut GGZ ontwikkeld en aangeboden aan het Zorginstituut Nederland voor opname in het Kwaliteitsregister. Op 29 maart 2016 heeft de raad van bestuur van Zorginstituut Nederland besloten het model Kwaliteitsstatuut voor de ggz als een professionele standaard op te nemen in het register. Zoals gezegd werd het Kwaliteitsstatuut per 1-1-2017 van kracht voor alle aanbieders van ‘geneeskundige ggz’, dat wil zeggen: generalistische basis-ggz en gespecialiseerde ggz binnen de Zorgverzekeringswet.

ROM-men in recente versie

In de meest recente versie van het model Kwaliteitsstatuut staat voor de vrijgevestigden in sectie II(blz 17)

  • Dat de vrijgevestigde een kopie van de overeenkomst met de Stichting Vrijgevestigden ROM-men(SVR) voor de aanlevering van ROM-gegevens overlegt.

En voor de GGZ-instellingen in sectie III (blz.24):

  • Dat de zorgaanbieder ROM-gegevens aanlevert aan SBG die op geaggregeerd niveau beschikbaar zijn ten behoeve van benchmarking
  • Dat de zorgaanbieder een kopie overlegt van de overeenkomst met SBG voor het aanleveren van ROM-gegevens.

Er is dus ondanks de cosmetische operatie die in de herfst van 2017 doorgevoerd werd niets, maar dan ook niets veranderd. Noch aan de vastgelegde verplichting tot aanlevering noch aan de doelstelling van de ROM-verzameling bij SBG veranderde ook maar iets. Het modelstatuut toont eens te meer aan dat het in een verklaring vastleggen van de doelwijziging slechts een cosmetische operatie was.

Schending beroepsgeheim

Op 29 maart 2018 schreef ik al in een artikel dat het model Privacyreglement GGZ zowel het medisch beroepsgeheim als het toestemming geven door de patiënt voor het buiten de GGZ-instelling verwerken van zijn/haar ROM-data volledig buiten spel zet. Datzelfde kan gezegd worden van het model Kwaliteitsstatuut GGZ. Daarin onderscheidt men ook weer de drie lagen die ook in het model Privacyreglement vermeld staan: de cliënt, de zorgverlener(therapeut in dienst van een instelling) en de zorgaanbieder. De begrippenlijst in beide documenten is in dit kader veelzeggend.

Met de zorgaanbieder wordt de GGZ-instelling als rechtspersoon bedoeld, die vertegenwoordigd wordt door de directie en het bestuur van de zorginstelling. Net als in het model Privacyreglement is het in het Kwaliteitsstatuut de zorgaanbieder en niet de zorgverlener die het contract met SBG sluit. En is het ook de zorgaanbieder(lees directie en bestuur) en niet de zorgverlener(therapeut)die besluit dat ROM-data aan SBG geleverd worden voor benchmarking.

Geen toestemming

Het begrip toestemming en ook het begrip “gerichte toestemming” staan wel apart vermeld in het Kwaliteitsstatuut. Men laat dat bijvoorbeeld slaan op het door de cliënt toestemming geven aan de zorgverlener om zorg te gaan verlenen. Maar nergens staat in het statuut een vermelding van een expliciete toestemming die nodig is voor het verstrekken, doen be-/verwerken en gebruiken van medische persoonsgegevens door partijen die niet direct betrokken zijn bij een behandeling. En dat zijn de ROM-data nu eenmaal ook al zijn ze dubbel gepseudonimiseerd. De beslissing om de ROM-data te leveren aan SBG neemt de zorgaanbieder(lees: directie en bestuur) dus en niet de zorgverlener(de therapeut) en zelfs niet de cliënt. Gezien het voorgaande is het dus overduidelijk, dat het model Kwaliteitsstatuut en het Privacyreglement als twee loten aan dezelfde stam gezien moeten worden.

Niet gezien?

Het is de vraag waarom de in de alliantie met GGZ Nederland en Zorgverzekeraars Nederland samenwerkende organisaties die vermeld staan in de tweede voetnoot niet zelf de manco’s in beide stukken gezien hebben en corrigerend gehandeld hebben. Ook in de meest recente versie(eind maart 2018) van het model Kwaliteitsstatuut staat exact hetzelfde over SBG als in de versie uit 2016. De vraag dringt zich dan ook op hoe sterk die organisaties van beroepsbeoefenaren en cliënten ingekapseld zitten in bestuurlijke constructies waarin kritische geluiden niet meer geuit kunnen worden.

W.J. Jongejan

[i] MIND, NVvP, NIP, P3NL, V&VN en MEER GGZ

[ii] GGZ Nederland, de Nederlandse Vereniging voor psychiatrie, de Landelijke vereniging van Vrijgevestigde Psychologen & Psychotherapeuten, het Nederlands Instituut voor Psychologen, het Landelijk Platform GGZ, Platform MEER GGZ, InEen, Verpleegkundigen en Verzorgenden Nederland , P3NL de federatie van psychologen, psychotherapeuten en pedagogen en Zorgverzekeraars Nederland.




Model Privacyreglement GGZ doet medisch beroepsgeheim en toestemming cliënt verdwijnen

AVG EuropaIn verband met het ingaan van de Algemene Verordening Gegevensbescherming(AVG) op 25 mei 2018 kwam GGZ Nederland, als brancheorganisatie van de werkgevers in de geestelijke gezondheidszorg(GGZ) in januari 2018 met een nieuw model privacyreglement voor de zorginstellingen. Het moet als voorbeeld dienen voor privacyreglementen, die zorginstellingen vanwege de AVG, die het gevolg is van Europese privacy-wetgeving, moeten vernieuwen. Daarin blijken de bestuurders van de zorginstellingen tot verwerkingsverantwoordelijke van persoonsgegevens gemaakt te worden. Zij kunnen dan met voorbijgaan van in hun dienst zijnde zorgverleners bepalen welke gegevens voor enig doel kunnen worden verstrekt aan een derde. Met dit model privacyreglement wordt de facto een einde gemaakt aan het medisch beroepsgeheim en komt toestemming door de patiënt volledig buiten spel te staan. Het heeft alles te maken met doorleveren van Routine Outcome Monitoring(ROM)-data aan de Stichting Benchmark GGZ(SBG) en de beoogde opvolger daarvan, het Kwaliteits Instituut voor GGZ. Omdat de hier naar doorgestuurde data gepseudonimiseerd zijn, dienen die beschouwd te worden als bijzondere persoonsgegevens en moet daarvoor expliciet toestemming door de patiënt gegeven zijn. Dat is veelal niet gebeurd en gebeurt nu ook vaak niet. Men poogt het op dit moment te omzeilen met het begrip “veronderstelde toestemming”. Daarbij heeft men de constructie bedacht dat men  toestemming verondersteld acht als het gaat om gebruik van deze data voor kwaliteitsverbetering. Men vergeet voor het gemak dat de data vanwege de verwerking wel de instelling verlaten. GGZ Nederland lijkt te denken dat met het nieuwe privacyreglement de problemen over het toestemming vragen voorbij zijn. Niets is minder waar.

Trias

Als we administratief gezien naar het privacyreglement kijken dan gaat om de relatie tussen een drietal lagen. In de eerste plaats de cliënt die een behandeling behoeft. De behandeling wordt gegeven door een therapeut in dienst van de zorginstelling. Deze therapeut is de zorgverlener, die onder contract staat bij de zorginstelling. De zorginstelling, gerepresenteerd door bestuur en directie, is de zorgaanbieder. Voor de evaluatie van de therapie tussen de individuele cliënt en de zorgverlener maken deze gebruik van scorings-/vragenlijsten, zogenaamde ROM-lijsten. Door beleidsmakers bij het ministerie van VWS, zorgverzekeraars en anderen zijn deze lijsten tot input van een gigantisch dataverwerkingssysteem verkozen, voor een doel waarvoor deze data niet bestemd waren, namelijk voor benchmarking en zorginkoop. Dat is ook te zien aan de financiering van SBG, namelijk 100 procent door de zorgverzekeraars. Toen er discussie ging ontstaan over het feit dat de door geleverde data als persoonsgegevens bestempeld moesten worden, werd opeens het doel teruggeschroefd naar, vooralsnog, alleen kwaliteitsbevordering. Dat lijkt aardig maar het blijft gaan om data die zonder expliciete toestemming van de cliënt de zorginstelling verlaten richting een verwerkende instantie: de SBG.

Plan

Wat nu in het modelprivacyreglement zich aftekent is dat instellingen vastleggen dat niet de cliënt of de zorgverlener bepaalt of persoons-/behandelgegevens van de cliënt in de vorm van ingevulde vragenlijsten de instelling verlaten, maar de zorgaanbieder, zijnde het bestuur en de directie van de zorginstelling. Daarbij wordt een beroep gedaan op artikelen in de AVG, bijvoorbeeld artikel 9 punt 2  lid h en i, van de AVG(blz L119/38). Dat gaat over argumenten als “het  beheren van gezondheidszorgstelsels”(lid h). Dit is in het model privacyreglement terug te vinden in hoofdstuk 3.2.3. De notie van de zorgbestuurder als verwerkingsverantwoordelijke is trouwens direct al te zien in de definitielijst, waarin gesteld wordt dat deze verantwoordelijke meestal de bestuurder van de zorgaanbieder(lees: instelling) is. Even de tekst doorzoeken op “verwerkingsverantwoordelijke” laat zien dat deze bevoegdheid in dit reglement alleen de zorgbestuurder toekomt.

Verdere verwerking

In het hoofdstuk 3.2. getiteld: “Verwerking van persoonsgegevens van cliënten in overeenstemming met de AVG” staan onder 3.2.1 tot en met 3.2.3 een aantal punten die het doorleveren van persoonsgegevens in de ogen van GGZ Nederland zouden mogen rechtvaardigen. Allereerst gaat het daarbij om de omschrijving die in artikel 9 punt 2 lid j en later ook in punt 53 van de AVG beschreven staan: “de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (“doelbinding”).” Het probleem is echter dat de genoemde redenen te vaag en te breed zijn en “wetenschappelijk” en “statistisch” niet een duidelijk omschreven en gespecificeerd doel zijn, maar een methode aangeven van verwerking.

Verraderlijk

Ronduit verraderlijk is de vermelding in 3.2.2 dat het doorleveren van de data toegestaan is als de gegevensverwerking noodzakelijk is voor de goede vervulling van een taak in het algemeen belang, dat elders in een wet is vastgelegd met eventuele nadere bepalingen. Dat opent de mogelijkheid dat als er maar een wetje gemaakt wordt en er zo een wettelijke basis voor de gegevensdoorlevering zou zijn, de doorlevering zo maar zou mogen. Ondanks een wettelijke basis volgens Nederlands recht moet een verstrekking van persoonsgegevens aan derden te allen tijde voldoen aan de norm van een duidelijk omschreven doel, dat niet te algemeen mag zijn, en moet er voldaan zijn aan de principes van noodzakelijkheid, proportionaliteit en subsidiariteit. Dat vloeit namelijk voort uit toetsing van elke nationale wetgeving aan datgene wat vermeld staat in het Europees Verdrag voor de Rechten van de Mens, specifiek in artikel 8 daarvan. Ik beschreef dit in een artikel op deze website op 13 maart 2018.

Besef

Zowel cliënten als individuele zorgverleners in dienst bij zorginstellingen dienen zich te realiseren wat zich thans op bestuursniveau bij hun instellingen plaats vindt. Het besef dat er onherroepelijke dingen gebeuren als men niet waakzaam en assertief is moet gaan groeien. Ongetwijfeld zullen in het kader van de inwerkingtreding van de AVG de contracten van  zorgverleners bij instellingen aangepast gaan worden en zal daarin gerefereerd gaan worden aan het privacyreglement. Cliënten zullen het nieuwe privacyreglement ter inzage krijgen en zich dienen te realiseren wat er onder dat reglement dreigt te gebeuren. Cliëntenverenigingen en beroepsverenigingen van psychotherapeuten, psychologen en psychiaters dienen tegen deze kaping van zeggenschap over patiëntgegevens in het geweer te komen.   Als cliënten en zorgverleners hun behandelcontract respectievelijk het nieuwe dienstverbandcontract ongewijzigd tekenen, dienen zij zich ervan bewust te zijn dat ze daarmee het medisch beroepsgeheim mee om zeep helpen. Daarnaast is dan ook de mogelijkheid om expliciet toestemming te kunnen geven verdwenen.

W.J. Jongejan