Wederrechtelijke zaken in wetsontwerp over zorgfraude

wederrechtelijkeHeel langzaam schuift de behandeling van het Wetsontwerp bevorderen samenwerking en rechtmatige zorg(Wbsrz) in de Tweede kamer richting plenaire behandeling.  Agendering vindt thans plaats. Op 15 december 2020 reageerde de minister voor de zorg Tamara van Ark op de vele vragen in een Nota naar aanleiding van Verslag. Daarin antwoordt zij op de zeer vele, bijzonder kritische vragen die haar gesteld waren in het zogeheten Verslag. Uit de beantwoording van die kritische vragen door van Ark is af te leiden dat het wetsontwerp meerdere illegale aspecten heeft, hoe vreemd dat ook klinkt. Vanaf september 2020 publiceerde ik meermaals over dit wetsontwerp en kwamen enkele facetten al aan de orde. Dat was op 9 september, 19 oktober, 12 november en 14 november. In het wetsontwerp speelt de oprichting van twee organen: het Waarschuwingsregister en de stichting InformatieKnooppunt Zorgfraude(KIZ).

Waarschuwingsregister en IKZ

Het Waarschuwingsregister moet zorgaanbieders vastleggen waarbij sprake is van de “gerechtvaardigde overtuiging” dat zij fraude hebben gepleegd met zorg. Niet na een veroordeling. Dat zonder dat er sprake hoeft te zijn van een rechterlijke veroordeling. Het opnemen in dat register heeft grote consequenties. Als iemand onterecht erin is opgenomen dan kunnen de in dit register samenwerkende partners, namelijk de gemeenten en de zorgverzekeraars grote beperkingen in de contractering opleggen. Juist als er op die wijze geen rechter heeft geoordeeld of sprake is van fraude in de zorg, kunnen de consequenties voor de betrokkenen heel groot kunnen zijn. De op te richten stichting IKZ moet signalen van fraude in een database “verrijken” met een data uit  een groot aantal private en publieke bronnen. Dat gaat om CIZ, de colleges van B&W van gemeenten, de IGJ, inspectie SZW, de rijksbelastingdienst, waaronder de FIOD, de zorgautoriteit en alle zorgverzekeraars.

Wederrechtelijk(1)

Zeer problematisch is dat de minister het begrip zorgfraude operationeel definieert. Ze definieert het als “‘het opzettelijk misleidend handelen binnen het zorgdomein, met het oog op eigen of andermans gewin, voor zover het in de wet strafbaar gestelde feiten betreft”. In de Nota erkent zij dat men zorgfraude moet zien als een verzamelbegrip.  Daarvan is  geen specifieke juridische definiërende bepaling vastgelegd in het Wetboek van Strafrecht of andere wet. Vervolgens hangt zij de zorgfraude op aan een aantal “kapstokbepalingen” uit het Wetboek van Strafrecht, zoals valsheid in geschrifte, bedrog en witwassen. Tegen onterechte opname in het register kan men zich verzetten bij de Autoriteit persoonsgegevens of bij de rechter, maar opname erin heeft meteen consequenties terwijl bezwaarprocedures meestal lang duren.

Wederrechtelijk(2)

In de tweede plaats zie ik de beargumentering voor de opzet van het Waarschuwingsregister als wederrechtelijk. De minister gebruikt als argument voor de oprichting onder andere de lange wachttijd en doorlooptijd in de gewone (straf)rechtsgang. Daarbij hanteert zij het argument dat het Openbaar Ministerie en de rechterlijke macht het te druk hebben met allerhande strafzaken en zij de gemeenten en zorgverzekeraars wel de mogelijk wil geven zelf zorgfraude aan te pakken met behulp van het Waarschuwingsregister. Daarmee creëert ze een rechtsongelijkheid voor zorgaanbieders.

Wederrechtelijk(3)

In de derde plaats is er in het wetsontwerp en bij het werken met een stichting IKZ sprake van het fabriceren van een nieuwe doelbinding voor het verwerken van gegevens. Het wetsontwerp creëert een nieuw verwerkingsdoel. Deze doelbinding doorbreekt de doelbinding die speelt bij het verzamelen van data door de partijen die samenwerken in het IKZ. Deelnemers als IGJ, inspectie SZW , belastingdienst etc verzamelen voor waar ze voor opgericht zijn namelijk elk gegevens met een specifiek doel. Wat we in dit wetsontwerp nu zien is iets wat de overheid de laatste jaren stelselmatig probeert. Dat als data niet hergebruikt mogen worden buiten het doel waarvoor ze verzameld werden, de overheid een wetje aanmaakt met een nieuwe doelbinding. Dat spoort niet  met de Algemene Verordening Gegevensbescherming(AVG) en haar uitzonderingsbepalingen voor het gebruik van data voor andere doelen. Ik schreef daar al eerder over op 31 juli 2019.

Wederrechtelijk(4)

In de vierde plaats stelt de minister dat met het InformatieKnooppunt Zorgfraude profilering uitgesloten is. Door het verrijken van data door koppeling met andere databases kunnen percepties van zorgfraude ontstaan die mogelijkerwijs niet op zorgfraude berusten. Bijv. door administratieve onduidelijkheden bij regels omtrent declareren. Daardoor ontstaan verzamelingen van data die al dan niet correcte verdenkingen bevatten. De onderscheiden partners in het IKZ moeten wel nader onderzoek doen. Maar niettemin is het mogelijk dat men zo in het Waarschuwingsregister verdaagt. De facto kan men wel degelijk spreken van profileren en spreekt de minister zich zelf tegen.

Wederrechtelijk(5)

Last but not least wil ik nogmaals wijzen op de niet legale notie van de minister van het medisch beroepsgeheim. De minister stelt dat er van uitwisseling van persoonsgegevens waarop het medisch beroepsgeheim rust geen sprake is. Maar, voegt ze er aan toe: het mag wel als de zorgbehoevende zelf toestemming heeft gegevens uit te wisselen. De minister wil of lijkt niet te begrijpen dat het medisch beroepsgeheim wettelijk gezien de geheimhouder, de arts/therapeut betreft, niet de zorgbehoevende. De arts/therapeut dient los van een eventuele toestemming van een zorgbehoevende eigenstandig een beslissing te nemen over het wel of niet delen van de medische informatie met anderen. Door het grote aantal publieke en private deelnemers aan het beoogde IKZ is het alleszins denkbaar dat bij deze partijen medische informatie een zeer ongewenst eigen leven gaan leiden.

W.J. Jongejan, 6 januari 2020

Afbeelding van Fathromi Ramdlon via Pixabay




Hoe een stoffig lijkend dossier opeens actueel wordt

HoeIn de Kamerbrief dd. 14 december van minister Tamara van Ark(VWS), staat op pagina 8 een passage over gedragscodes en de positie van de Autoriteit Persoonsgegevens(AP) daarbij. Het is volgens haar aan branches of sectoren in de zorg of deze een gedragscode aan de AP voorleggen voor het verwerken van (bijzondere) persoonsgegevens en wanneer. Daarnaast heeft de AP sinds het begin van de Algemene Verordening Gegevensbescherming(AVG) de bevoegdheid een gedragscode goed te keuren. Dit betekent dat er werkwijzen en processen in een gedragscode beschreven kunnen staan, maar dat het  wel afhangt van hoe de pet hangt bij de indieners ervan en/of van de AP of het tot een beoordeling c.q. goedkeuring komt. Daardoor is het mogelijk dat zorgverzekeraars jarenlang werkten met een door de rechter afgekeurde gedragscode zorgverzekeraars en dat een nieuwe niet voorgelegd is aan de AP. En dat de AP geen oordeel velde/velt over een nieuwe.

Wat staat er?

Minister van Ark schrijft

“Daarnaast is door uw Kamer aangegeven dat er onduidelijkheid bestaat over de bevoegdheid van de Autoriteit Persoonsgegevens om gedragscodes goed te keuren voor de wijze waarop een branche of sector omgaat met persoonsgegevens. Artikel 40,vijfde lid van de Algemene Verordening Gegevensbescherming (AVG) geeft de Autoriteit Persoonsgegevens de bevoegdheid om gedragscodes goed te keuren. Een branche of sector die een gedragscode heeft opgesteld, kan aan de Autoriteit Persoonsgegevens vragen om deze goed te keuren.”

Taak AP, als ze het wil

Ze vervolgt:

“De Autoriteit gaat hiertoe over wanneer aan de eisen wordt voldaan. Het is hierbij vooral belangrijk dat de gedragscode een concrete uitwerking van de AVG biedt. In een dergelijke gedragscode worden de algemene normen uit de AVG immers concreter gemaakt. Deze zomer is voor het eerst een gedragscode goedgekeurd. Het gaat om de code van branchevereniging NL digital. Het is aan de branche of sector een gedragscode voor te leggen en wanneer dat gebeurt. De Autoriteit Persoonsgegevens heeft immers al sinds de inwerkingtreding van de AVG de bevoegdheid een gedragscode goed te keuren.”

Slepende zaak

In een artikel op 11 december 2020 stipte ik al aan dat er sinds 2011 een procedure loopt van de Stichting KDVP richting de AP over het in strijd met wet en verdrag verwerken van medische persoonsgegevens door zorgverzekeraars. De verwerking legden de zorgverzekeraars vast in een Gedragscode zorgverzekeraars. Dit was omdat de in de Gedragscode Zorgverzekeraars beschreven procedures en bedrijfsprocessen in de ogen van de KDVP geen juiste uitwerking vormden van Wbp (Wet bescherming persoonsgegevens) en EVRM (Europees Verdrag voor de Rechten van de Mens). De zorgverzekeraars legden die gedragscode voor aan de toenmalige privacy-toezichthouder, het College Bescherming Persoonsgegevens(de voorganger van de AP).

Vervolg

De AP keurde de gedragscode in 2013 goed. De rechter in Amsterdam oordeelde op 13 november 2013 hierover. In die zaak tegen de AP, aangespannen door de KDVP, sprak de rechtbank uit dat het CBP bij de goedkeuring van de gedragscode op 13 december 2011 de in deze gedragscode vastgelegde verwerkingsprocedures onvoldoende dan wel onjuist getoetst had aan vereisten voor de bescherming van privacy-rechten van patiënten/cliënten zoals vastgelegd in wet en verdrag. Enigszins verongelijkt trok na aandringen het CBP de goedkeuring van de gedragscode in. Nadien hebben de zorgverzekeraars geen herziene gedragscode voorgelegd aan het CBP of haar opvolger, de AP.

Dat is opmerkelijk te noemen omdat er sinds 2019 wel een nieuwe gedragscode van de zorgverzekeraars bestaat met betrekking tot verwerking van (bijzondere) Persoonsgegevens. Noch heeft de AP sinds 2019 enig signaal afgegeven dat zij eigenstandig die gedragscode onderzoekt.

Bizarre situatie

De minister verwoordt in haar brief aan de Tweede kamer een bizarre situatie. In een situatie waarin een eerdere versie van de gedragscode na rechterlijke tussenkomst uiteindelijk geen goedkeuring kreeg, blijkt dat de zorgverzekeraars de herziene versie zonder een goedkeurend oordeel van de privacy-toezichthouder gebruiken. Zulks in een constructie waarbij de makers van de gedragscode blijkbaar niet verplicht zijn die ter goedkeuring voor te leggen. En de AP niet verplicht is eigenstandig onderzoek te doen naar die nieuwe versie van de gedragscode. Doordat beide partijen, gepardonneerd door VWS op de handen blijken te kunnen gaan zitten, gebeurt er niets terwijl wel op basis van die gedragscode (bijzondere)  persoonsgegevens verwerkt worden.

Wat een land, wat een land, waar dat allemaal maar kan! Wim Kan: uit het lied “twaalf miljoen oliebollen dansen in de pan.

W.J. Jongejan, 18 december 2020

Afbeelding van freestocks-photos via Pixabay

 

 

 

 

 




Minister van Ark verhult stroperigheid digitale zorgcommunicatie met veel managementtaal

stroperigheidOp 14 december 2020 stuurde minister van Ark van VWS een brief naar de Tweede Kamer over de elektronische gegevensuitwisseling in de zorg. Deze brief is het vervolg op drie “regie”-brieven van haar voorganger Bruno Bruins (december 2018, april 2019 en juli 2019). De brief bruist van de ambitie en stuwend taalgebruik, bedoeld om daadkracht uit te stralen. Bij goede lezing van de brief blijkt echter dat de materie veel weerbarstiger is dan eerder Bruno Bruins en nu Tamara van Ark voorstelt. Uit de brief blijkt dat het volledig digitaal uitvoeren van het receptenverkeer pas wettelijk verplicht kan worden gesteld in 2026 te liggen. Ja u leest het goed: over zes jaar. Alle “krachtige” woorden ten spijt blijkt de minister zich toch ook te realiseren dat er met het maken van een wetsontwerp elektronische gegevens uitwisseling in de zorg(Wegiz) men ook afhankelijk is van het zorgveld en de leveranciers.   

Managementtaal

Een kort tekstuele analyse laat zien dat het woord “regie” elf keer voorkomt, even vaak als “Infrastructuur”.  “Verplichting” komt tien maal voor, waarvan acht maal in één alinea op pagina 3. “Randvoorwaardelijk” tel ik acht maal, “sturing” zeven maal en “ambitie “drie maal.

2026

Op pagina 3 van haar brief schrijft ze:

“Ik zet mij in om vier van de prioritaire gegevensuitwisselingen – zijnde digitaal receptenverkeer, basisgegevensset zorg (BGZ), beelduitwisseling en verpleegkundige overdracht- uit te werken tot een AMvB waarin elektronische uitwisseling een wettelijke verplichting wordt. Deze wettelijke verplichting is bedoeld als een sluitstuk, het veld moet hier immers aan kunnen voldoen. Zo geldt voor digitaal receptenverkeer dat ondanks dat er veel gebeurt, het zorgveld en de leveranciers nog niet dusdanig gereed zijn dat wettelijke verplichting op korte termijn verantwoord is. De daadwerkelijke wettelijke verplichting op basis van deze norm komt daarmee pas rond 2026 te liggen(vet door WJJ).”

En enkele regels verder:

“Wettelijke verplichting vormt namelijk het slotakkoord van omvangrijke trajecten zoals eOverdracht en Medicatieoverdracht. Deze trajecten gaan onverminderd door en zijn gericht op het gaan voldoen aan de naderende wettelijke verplichting.”

Opvallend

Het is in dit kader opvallend dat van Ark zich hier uitspreekt over de wettelijke verplichting als sluitstuk van een proces waarin zorgwerkers en ICT-leveranciers komen tot hanteerbare digitale uitwisselpraktijk. Haar voorganger, lichtgewicht Bruno Bruins, zag een wettelijke verplichting(Wegiz) als de stok waarmee hij de in zijn ogen onwillige zorgwerkers en leveranciers in beweging kon brengen. Het aardige is wel dat van Ark duidelijk ziet dat je met alleen een wettelijke verplichting je er niet bent. Dat het allemaal veel stroperiger gaat men op VWS wil doen voorkomen beschreef ik al op 15 juli 2019.

Prioritaire processen

Bij deze opmerkingen van de minister moet men zich realiseren dat de volledig digitale uitvoering van het receptenverkeer slecht één van de elf prioritaire processen is die Bruno Bruins in zijn brief van december 2018 beschreef. En één van de vier die van Ark beschrijft in haar brief. De andere drie van Van Ark zijn de basisgegevensset zorg, de beelduitwisseling en de verpleegkundige overdracht. Het aantal niet beschreven, niet geprioriteerde processen is vele malen groter. Dit geeft aan hoe moeizaam progressie plaats gaat vinden.

Stiekem richting opt-out

Op pagina 6 van haar brief ontvouwt Van Ark het plan om te komen tot een “oplossing” van het probleem rond het verlenen van toestemming bij de elektronische gegevensuitwisseling. Dat probleem is het gevolg van een eerder overheidskeuze voor de gegevensuitwisseling, namelijk via het Landelijk SchakelPunt(LSP) door het raadpleegbaar maken van bij de bron vastgelegde zorgdata. Daardoor is toestemming nodig van de burger. Toen het LSP in 2012 in private handen kwam, eiste de privacy-toezichthouder, toen het College Bescherming Persoonsgegevens(CBP), dat zoiets alleen kon met een opt-in-toestemming. Dat betekent een “Neen, tenzij”(toestemming gegeven is).  Nu zegt Van Ark dat ze wil ingaan op de toepasbaarheid van het Estlandse model van toestemmingsverlening, die een opt-out-systeem inhoudt(“Ja, tenzij”). Dit is een gevaarlijke paradigma-shift die de Autoriteit Persoonsgegevens niet over haar kant kan laten gaan.

Opvallend aan brief

Wat opvalt aan de brief van Van Ark is dat in tegenstelling tot haar voorganger Bruins rechts boven op elke pagina de personen en afdelingen staan die mede-verantwoordelijk zijn voor die brief.

Dat zijn:

  • de secretaris-generaal(sg) van VWS: Erik Gerritsen
  • de plaatsvervangend sg: Abigail Norville
  • de Chief Information Officer(CIO): Ron Roozendaal
  • de directie Informatiebeleid
  • de cluster iBeleid team A

Het lijkt erop dat de minister zeer duidelijk wil maken dat deze brief mede op gezag van beschreven personen en afdelingen gemaakt is.

Tenslotte komt het uitermate onprofessioneel over dat deze negen pagina’s tellende brief geen fatsoenlijk paginanummering kent. Alle pagina’s, behalve pagina 1,  staan aangeduid als pagina 9 van 9.

W.J. Jongejan, 17 december 2020

Afbeelding van Steve Buissinne via Pixabay