Zorgdata verwerken, MRDM en gepseudonimiseerde data

big data

Recent zorgde een bericht in het Algemeen Dagblad op 30 maart 2019 voor flink wat rumoer. Het zorgdata verwerkende bedrijf Medical Research Data Management(MRDM) blijkt deze data opgeslagen te hebben in de Google Cloud(locatie Eemshaven). Het gegeven dat het om gepseudonimiseerde data gaat, die volgens de vigerende wet- en regelgeving gewoon als bijzondere persoonsgegevens beschouwd moeten worden maakt het één en ander nog interessanter. Binnen MRDM heeft men zelf ook wel door dat er sprake is van bijzondere persoonsgegevens. Op 17 mei 2018 hield het bedrijf een informatiebijeenkomst gegevensbescherming  waarin dit onderwerp en de relatie tot de Algemene Verordening Gegevensverwerking(AVG) ter sprake kwam. Sprekers waren onder andere de “zorg”-jurist Theo Hooghiemstra en zijn confrater Evert-Ben van Veen, directeur van het bedrijf MedLaw. Bij het doorspitten van de positie van het bedrijf MRDM stuitte ik op een kluwen van zorg-data-verwerkende bedrijven die plotseling de Value Based HealthCare(VBHC) hoog in het vaandel hebben staan.

Kluwen

Bij het uitzoeken wat nu precies de positie is van het bedrijf MRDM bleek het lastig om de positie die het bedrijf in zorgdataverwerking in kaart te brengen. Het bedrijf is gevestigd op de Leeuwenbrug 115 te Deventer. Op dat adres blijken ook LOGEX Participatie II B.V, Brightingale B.V., Value2Health, en One2Many B.V. gevestigd te zijn. Ook de servicedesk van het Leidse Dutch Institute of Clinical Auditing(DICA) blijkt er aanwezig te zijn. De samenhang tussen enkelen van deze wordt enigszins duidelijk in de presentatie van de directeur Paul Crauwels. (sheet 4)

LOGEX

LOGEX en Value2Health hangen onder de LOGEX-groep, waarbij MRDM de dataverwerking doet en weer data door levert aan bijv. DICA. Het blijkt nog iets ingewikkelder omdat ZorgInvest B.V. de moeder maatschappij van Value2Health blijkt te zijn.  Binnen ZorgInvest zien we ook het uit  het voorbije jaren bekende Prismant weer terug. Dat heette tijdelijk, als onderdeel van Kiwa, Kiwa Carity, maar werd onder de naam Prismant bij Zorginvest ingelijfd.  De LOGEX-groep blijkt naar eigen zeggen de eerste Europese speler te zijn in geavanceerde software en analytics voor het meten van uitkomsten en kosten van zorg. We zien hier een ontwikkeling waarbij op grote schaal het uitbaten van zorgdata het businessmodel vormt voor een woud aan bedrijven. Alle bedrijven zijn met zorgdata bezig, maar het is lastig aan te geven waarin ze van elkaar verschillen. Men stelt dat op basis van deze zorgdata therapieën verbeterd kunnen worden en zorg efficiënter ingericht kan worden. Toch bekruipt mij bij dit alles het gevoel van data-harvesting op grote schaal.

AVG

Op de in de inleiding genoemde informatieavond belichtten ieder vanuit een andere hoek Theo Hooghiemstra en Evert-Ben van Veen de situatie van het verwerken van bijzondere persoonsgegevens. De AVG staat op zich het verwerken van medische gegevens als zijnde bijzondere persoonsgegevens toe maar er dient toestemming voor gevraagd te worden. In het geval van MRDM door de ziekenhuizen die de data aanleveren aan de patiënten. Dat gebeurt nu niet. Hooghiemstra ziet wel dat bij gepseudonimiseerde data de AVG van toepassing is en dat wel toestemming van de betrokkene nodig is. Hij komt in de discussie toch tot een wat vreemde toelichting. Hij stelt bij de Autoriteit Persoonsgegevens en bij de koepels gezegd te hebben dat je er niet tegen moet verzetten, maar dat het tijd kost om dit goed in te regelen. Het als bijzondere persoonsgegevens moeten beschouwen van gepseudonimiseerde zorgdata is echter een gevolg van vigerende wet- en regelgeving. Daarbij dient gewoon gehandhaafd te worden door de toezichthouder en niet afgewacht tot het goed ingeregeld is.

MedLaw

Evert-Ben van Veen van het juridisch adviesbureau MedLaw ziet dat duidelijk anders. In zijn presentatiesheets en in zijn tekst wijst hij de tegenstelling toestemming vragen of anders volledig anonimiseren van data af. Hij zegt uit te willen gaan van de gedachte dat als we een solidair zorgsysteem hebben datasolidariteit vanzelfsprekend moet zijn. Dat liet hij op deze website ook weten in een reactie op een op 1 april 2019 verschenen artikel van mij. Het is een wat makkelijk redenatie, want waar stopt die solidariteit dan.  Dezelfde redenatie kan men ook ophangen over een solidaire samenleving en zo veronderstellen dat alle data van burgers daardoor uit solidariteit uitgewisseld mogen worden. Hij stelde op de bijeenkomst ook dat gegevens niet direct-identificerend moeten zijn en in een veilig systeem gebruikt worden. Maar ja, wat versta je onder “direct identificerend” en wie bepaalt wat ‘veilig” is of “veilig genoeg”. Hij gaat voorbij aan de vigerende wet- en regelgeving en wil eigenlijk de gegroeide, niet legale manier van dataverwerking faciliteren. Van Veen voelt wel wat voor een optout-regeling. De patiënt moet dan wel weten dat hij deze vorm van negatieve toestemming kan uitoefenen. Dus dat betekent toch een extra actie richting patiënten wat hij eigenlijk niet wil.

Nog even dit

De data die MRDM van ziekenhuizen aangeleverd krijgt zijn minimaal voor een groep van zeven ziekenhuizen van de Santeon-groep niet-gepseudonimiseerd, nog ruwe data, als ze het ziekenhuis via een beveiligde verbinding verlaten richting MRDM. Pas bij dat bedrijf vindt zo nodig pseudonimisatie plaats. Zie hoofdstuk 3.1 van het Dataprotocol dd 10 januari 2017 van de Santeongroep.  De opgeslagen data zijn wel versleuteld.  Het gaat om de volgende ziekenhuizen: Canisius Wilhelmina Ziekenhuis(Nijmegen), Catharina Ziekenhuis (Eindhoven), Maasstad Ziekenhuis(Rotterdam), Martini Ziekenhuis(Groningen), Medisch Spectrum Twente(Enschede), OLVG(Amsterdam) en het St. Antonius Ziekenhuis(Utrecht/Nieuwegein/Woerden).

Als het ruwe data zijn, had toestemming aan de patiënt sowieso gevraagd moeten worden. Mij is het als zorggebruiker van één van die ziekenhuizen nooit gevraagd. Het werken met een veronderstelde toestemming is niet correct.

W.J. Jongejan, 9 april 2019

 




VBHC-evangelie gepredikt op een door zorgverzekeraars gekochte leerstoel

preekstoel

NRC-Handelsblad plaatste op 5 september 2018 een bijdrage van prof. dr. Edwin de Beurs in haar Opinie-katern.  De kop van het stuk was: “Succes bij depressie is wel meetbaar”. Hij is hoogleraar Routine Outcome Monitoring(ROM) en benchmarken, aan de Universiteit Leiden. Hij schreef het artikel vanwege de ophef die ontstaan is doordat zorgverzekeraar Menzis een vorm van prestatiebekostiging wil invoeren bij de behandeling van depressie en angststoornissen.  De Stichting Benchmark GGZ(SBG) betaalt de 0,4 fte leerstoel, die de Beurs sinds eind 2015 in Leiden bezet, zo meldt NRC. Weinigen realiseren zich dat SBG volledig gefinancierd wordt door de zorgverzekeraars, verenigd in Zorgverzekeraars Nederland. Het gaat met deze leerstoel om het onderzoeken en propageren van een thans duidelijk omstreden methodiek van “kwaliteitsbeoordeling”, die ROM-data gebruikt voor benchmarking en zorginkoop. Sinds het in de mode raken van de Value Based Health Care(VBHC), een managementfilosofie gebaseerd op het gedachtengoed van de Amerikaan Michael Porter maken, is deze filosofie ook bij SBG en haar leerstoel in Leiden duidelijk in beeld. Deze VBHC leunt volledig op het met data uit de zorg meten van resultaten om daarmee  bereikte “waarde” te kwantificeren.

Ontstaan leerstoel

Volgens informatie op de website van SBG is in 2015 besloten om een parttime leerstoel aan de universiteit Leiden te sponsoren. Met als één van de hoofddoelen onderzoek naar het effect van benutting van ROM en Benchmarkgegevens (procesonderzoek). Bij het aangaan van die verplichting door SBG of beter gezegd de zorgverzekeraars ging men er vanuit dat verzamelen en verwerken van ROM-data een onomstreden zaak was. In het structuurrapport bij de leerstoel staat: “Gezien de vlucht die ROM nu maakt in de GGZ zal er al op korte termijn behoefte ontstaan aan psychologen die kennis hebben van ROM-methodiek, meetinstrumenten en geaggregeerde therapie-uitkomst gegevens (benchmarken).”.

Niet onomstreden

Hoewel acht hoogleraren psychiatrie al in 2012 al op niet mis te verstane wijze kenbaar maakten dat benchmarken op basis van ROM-data in Nederland, zoals voorgesteld door SBG en zorgverzekeraars, noch wetenschappelijke noch medisch-ethische toetsing kan doorstaan, nam SBG het verzamelen en verwerken van ROM-data SBG krachtig te hand genomen. In 2017 kreeg de tegenstand tegen het gebruik van ROM-data voor benchmarking en zorginkoop een forse boost toen de Algemene Rekenkamer het gebruik van ROM-data voor de financiering van de GGZ in het huidige, maar ook beoogde nieuwe stelsel ongeschikt achtte als basis.

Hele keten in bezit

Met de leerstoel in Leiden hebben de zorgverzekeraars de hele keten om ROM als vermeend instrument om kwaliteit in de GGZ te meten in handen. In de contracten van de zorgverzekeraars met zorgaanbieders is het aanleveren van deze data verplicht en kunnen deze financieel gekort worden bij onvoldoende aanlevering. Dat de zorgverzekeraars vanwege de ROM-discussie en hangende een uitspraak van de Autoriteit Persoonsgegevens over de vraag of de aangeleverde ROM-data als bijzondere persoonsgegevens beschouwd dienen te worden uit coulance de zojuist genoemde contractuele dwang niet uitoefenen (Zie alinea Haarkloverij in de link), doet niets af aan de inhoud van de contracten.

Daarnaast stuurt Zorgverzekeraars Nederland met de volledige financiering van SBG de verwerking van de ROM-data en met de leerstoel krijgt de wetenschappelijke raad van SBG nog een extra kleurtje. Tenslotte propageren SBG en hoogleraar de Beurs VBHC, waarbij men met de ROM-data kwaliteit van zorg wil meten, kwantificeren en  aldus de gecreëerde waarde in kaart brengen. Overigens is Edwin de Beurs geen onbekende bij SBG omdat hij voor het betrekken van de SBG-leerstoel al jaren deel uitmaakte van de wetenschappelijke raad van SBG en na het betrekken van de leerstoel in Leiden nog steeds..

VBHC en hechte connecties

Waarde-gedreven zorg zoals men de VBHC thans noemt, houdt een flink aantal zorgaanbieders in de somatische zorg en de GGZ bezig. Het ene na het andere artikel of symposium er over ziet het licht.  Zorgbestuurders van diverse grote GGZ-instellingen voeren daar uitgebreid het woord. Zorgverzekeraars en werkgevers in de GGZ in de GGZ hebben wel zeker iets gemeenschappelijks. We moeten namelijk niet uit het oog verliezen dat SBG in 2011 door omzetting van een stichting( opgericht in 2010) in een B.V. ontstaan is (zie feiten 1 en 2 in deze link) waarbij de twee deelnemende partijen de brancheorganisatie van werkgevers in de GGZ, GGZ Nederland,  en de brancheorganisatie van de zorgverzekeraars(Zorgverzekeraars Nederland) waren.

Drijfzand

Het lijkt er nog steeds op dat diverse partijen in en rond de GGZ blijven doorbouwen aan een bouwwerk met gebruik van ROM-data, terwijl gaandeweg het steeds duidelijker wordt dat het fundament op drijfzand berust.

W.J. Jongejan, 21 september 2018

Wilt u meer artikelen lezen over de ROM-problematiek? Klik dan in de rechter kolom bij categorie op ROM of gebruik ROM als zoekterm in het zoekvenster rechtsboven.