Gepubliceerd: 28 augustus 2016

Naar aanleiding van de “Beslissing op Bezwaar” van de AP (Autoriteit Persoonsgegevens) op 11-7-2016 heeft onze stichting het noodzakelijk geacht om naar de rechter te stappen.

De KDVP heeft op 16-8-2016 formeel beroep ingesteld tegen de beslissing op bezwaar van de AP. Voor de “aanloop” naar deze stap raden we u aan om een eerder nieuwsbericht - gedateerd  6-3-2015 - te lezen en/of de berichtgeving in onze laatste KDVP Nieuwsbrief van 28-4-2016, ad punt 1, nog eens door te nemen. Beide zijn op deze website te vinden.

Hieronder zijn onze belangrijkste bezwaren verwoord:

Het eerste bezwaar van de KDVP is primair gericht tegen het uitblijven van aanpassing van procedures en bedrijfsprocessen door zorgverzekeraars voor de verwerking van medische gegevens zoals vastgelegd in de Gedragscode Zorgverzekeraars. Na de uitspraak van de rechtbank Amsterdam op 13-11-2013, waarbij de door het CBP (vanaf 1-1-2016 AP) verleende goedkeuring van de Gedragscode werd vernietigd, hadden de in de Gedragscode vastgelegde procedures voor de verwerking van medische gegevens verkregen bij declaraties moeten worden aangepast aan de oordelen van de rechter.  De rechter heeft namelijk geoordeeld dat de in de Gedragscode beschreven procedures en bedrijfsprocessen geen juiste uitwerking vormen van Wbp (Wet bescherming persoonsgegevens)  en EVRM (Europees Verdrag voor de Rechten van de Mens).

De door de rechter opgelegde verplichting tot aanpassing van die procedures en bedrijfsprocessen is tot op heden niet gebeurd,  terwijl zorgverzekeraars wèl nadrukkelijk hebben laten weten dat zij zich aan deze Gedragscode gehouden weten ook nadat de door het CBP verleende goedkeuring daarvan door de rechter is vernietigd. Het uitblijven van aanpassing van verwerkingsprocedures aan de uitspraak van de rechter heeft inmiddels geleid tot het jarenlang op onrechtmatige wijze verwerken van medische persoonsgegevens door zorgverzekeraars. Op dit bezwaar van de KDVP heeft de AP tot op heden geen actie ondernomen.

Een ander bezwaar heeft te maken met het standpunt van de AP dat na de bijstelling van de Regeling Zorgverzekering op 8-7-2010 een goedkeuring van de Gedragscode Zorgverzekeraars niet meer noodzakelijk was. De bijstelling van deze regeling was noodzakelijk gebleken nadat de KDVP had gesteld dat van de Gedragscode Zorgverzekeraars geen “derdewerking” kan uitgaan. De bijstelling van de Regeling Zorgverzekering in 2010  moest een wettelijke basis verschaffen voor het uitvoeren van materiële controleprocedure. De wijzigingen in de Regeling Zorgverzekering  hadden verder geen gevolgen voor vorm en inhoud van de in de Gedragscode beschreven procedures en bedrijfsprocessen voor de verwerking van medische gegevens door zorgverzekeraars.

Hieruit kan de KDVP maar èèn conclusie trekken: de bijstelling van de Regeling Zorgverzekering in 2010 brengt geen verandering in nut en noodzaak van een goedkeuring door de AP van de in de Gedragscode vastgelegde verwerkingsprocedures van medische persoonsgegevens.

Een nieuwe, aan de uitspraak van de rechter aangepaste Gedragscode dient dan ook  alsnog ter goedkeuring te worden voorgelegd aan de AP.

Hier kunt U het volledige beroep dat de KDVP onlangs heeft ingediend tegen het besluit van de AP vinden.

Gepubliceerd: 27 augustus 2016

In 2015 heeft Burgerrechtenorganisatie Vrijbit (www.vrijbit.nl) de Autoriteit Persoonsgegevens (AP) verzocht een onderzoek in te stellen naar- mogelijk onrechtmatige - gegevensverstrekkingen vanuit het DBC Informatie Systeem (DIS) aan andere partijen. In het DIS worden vanaf 2006 door hulpverleners stelselmatig gegevens aangeleverd over bij de zorgverzekeraar gedeclareerde zorg. Ook in de GGZ geven hulpverleners alle data over hun behandelingen vanaf 2006 door aan het DIS. Het DIS is de grootste medische databank van ons land. Vanuit het DIS worden gegevens doorgestuurd naar verschillende vaste afnemers en daarnaast kunnen andere partijen een verzoek doen om uitlevering van data.

Het DIS is bij de oprichting in 2006 door het CBP (nu AP) de meest risicovolle database van Nederland genoemd. In de afgelopen 10 jaar is er vaak kritiek geuit op dit systeem, aangezien gepseudonimiseerde gegevens bij koppeling aan gegevens in andere bestanden zonder veel moeite kunnen worden herleid tot persoonsgegevens. Zoals het CBP toentertijd heeft gesteld, zou het DIS in dat geval moeten worden opgeheven.

In 2015 heeft de NZa zelf - als toezichthouder en juridisch verantwoordelijke voor gegevensverwerking door het DIS - moeten toegeven dat data in het DIS zonder al teveel inspanning te herleiden zijn tot “personen van vlees en bloed”. Naar aanleiding van het handhavingsverzoek van Burgerrechtenorganisatie Vrijbit – met steun van de KDVP - en erkenning van herleidbaarheid van DISgegevens door de NZa zelf werd de AP gedwongen zich te bezinnen op haar standpunt over de veiligheid van de in het DIS opgeslagen gegevens. De AP besloot dan ook in november 2015 in actie te komen door een onderzoek in te stellen.

In reactie op dit onderzoek van de AP heeft de NZa als verantwoordelijke partij van het DIS besloten om het verstrekken van gegevens uit het DIS met onmiddellijke ingang te reduceren tot leveringen aan een paar partijen. Van de partijen die volgens de NZa na november 2015 nog gegevens mochten ontvangen stelde de AP vast dat zelfs van deze partijen twee overheidsorganen ten onrechte gegevens uit het DIS ontvingen, te weten het Ministerie van VWS en het Centraal Planbureau.

Het is onbegrijpelijk en onjuist dat de AP haar onderzoek alleen heeft gericht op dataleveringen die aan partijen in de periode vanaf november 2015 zijn gedaan, zijnde het moment waarop de NZa naar aanleiding van het door de AP gestarte onderzoek het verstrekken van gegevens uit het DIS drastisch had beperkt. Dit betekent dat slechts een klein deel van alle data-leveringen die in de afgelopen 10 jaar werden gedaan zijn getoetst op rechtmatigheid! Er kan maar één conclusie worden getrokken en die luidt dat het onderzoek van de AP naar wat vermoedelijk het grootste datalek van Nederland is een verhullende “wassen neus” mag worden genoemd.

Ronald Huissen heeft over dit onderzoek van de AP op 16-8-2016 een artikel gepubliceerd op www.platformburgerrechten.nl met de titel: ”Wat onderzocht de Autoriteit Persoonsgegevens allemaal niet aan het DIS?”

Huisarts in ruste en publicist Wim Jongejan plaatste op 8-8-2016 een artikel op www.zorgictzorgen.nl getiteld: “Autoriteit Persoonsgegevens ondergraaft stelselmatig eigen gezag”. Ook in dit artikel wordt ingegaan op het gebrekkige en onvolledige karakter van het onderzoek van de AP naar de rechtmatigheid van gegevensuitleveringen vanuit het DIS aan derden.

Gepubliceerd: 20 juli 2016

Oproep om het manifest ”Zelf aan het roer” te ondertekenen!

Eerder dit jaar hebben huisartsen landelijk aandacht gevraagd voor “minder regels, meer ruimte voor samenwerking en meer vertrouwen in de deskundigheid van de zorgverlener” via een manifest getiteld “Het roer moet om” (zie www.vvaa.nl). Deze actie heeft veel reacties uitgelokt en uiteindelijk voor verandering gezorgd.

Onlangs hebben 30 verschillende zorgprofessionals de handen ineen geslagen en in het verlengde van de vorige actie een manifest opgesteld getiteld “Zelf aan het roer”. Onze stichting heeft deelgenomen aan dit samenwerkingsverband en onderschrijft de inhoud van dit manifest.

Zoals de titel al zegt is het streven om de hulpverlener het roer weer in handen te geven om samen met de patiënt/cliënt te kunnen bepalen wat goede zorg is. Verzekeraars, managers en consultants zitten ten onrechte op de stoel van de behandelaar. Het manifest roept deze derde partijen op zich terug te trekken en de regie van de behandeling weer terug te geven aan hulpverlener en patiënt/cliënt. Ook kan er alleen sprake zijn van vertrouwelijkheid als zgn. derde partijen zich uit de spreekkamer terugtrekken.

Wij nodigen hulpverleners in de GGZ van harte uit om dit manifest te ondertekenen. Ook vragen wij u met klem om collega’s of anderen in uw omgeving attent te maken op de mogelijkheid dit manifest te ondertekenen. Zegt het voort!

Hier kunt u het manifest vinden.

Gepubliceerd: 12 juli 2016

In het kader van het voorzitterschap van Nederland van de Europese Unie vond in de beurs van Berlage te Amsterdam van 8 tot 10 juni een driedaags congres over e-health plaats. Dit congres werd georganiseerd door de Europese Commissie, HIMMS Europe en “ons” ministerie van VWS. Het was het tot nu toe grootste Europese congres over de toepassingsmogelijkheden van e-health.

Zowel minister Schippers als staatssecretaris van Rijn hopen dat e-health in de toekomst breed kan worden ingezet in de zorg voor mensen die daar baat bij zouden kunnen hebben. In een interview met NRC Handelsblad liet de minister zelfs weten dat, vanwege de vele mogelijkheden die e-health kan bieden, ziekenhuizen in 2030 overbodig zouden kunnen zijn.

In verband met dit congres had het ministerie van VWS een officiële brochure uitgegeven. In deze brochure staat letterlijk dat”privacy niet langer een issue is”. In diezelfde brochure beweert Lucien van Engelen – directeur van het innovatiecentrum van het Radboud Universitair Medisch Centrum – het volgende: “ We hebben echt te maken met een privacymaffia. We zijn hierin doorgeschoten”. En Jeroen Tas – directeur bij Philips Health – wist te melden: “Verandering is voor iedereen lastig en dat geldt zeker in een conservatieve markt als de zorg”.

Kortom; de privacy zou nieuwe technologische ontwikkelingen in de zorg in de weg staan en belemmeren. Kennelijk hebben bovengenoemde personen nog nooit gehoord van het begrip”privacy by design”. Het is namelijk heel goed mogelijk om nieuwe ICT technologie te ontwikkelen en tegelijk rekening te houden met privacywetgeving. Goede zorg betekent ook dat medische persoonsgegevens zorgvuldig en vertrouwelijk worden behandeld en dat het toestemmingsvereiste goed is geregeld.

Op de site van de Privacy Barometer ( www.privacybarometer.nl) is op 12-6-2016 een artikel verschenen van Reinout Barth  waarin wordt gesteld dat men zozeer verblind lijkt te zijn door de technologische mogelijkheden die e-health kan bieden, dat over het hoofd wordt gezien dat burgers ook behoefte hebben aan een adequate bescherming van hun privacy.

Via “privacy by design”valt te realiseren dat èn nieuwe zorg ICT-mogelijkheden worden ontwikkeld èn de privacy van burgers toch gewaarborgd blijft. Waar een wil is, is een weg!

Gepubliceerd: 07 juli 2016

In het kader van de decentralisatie hebben gemeentes vanaf 2015 de jeugdhulpverlening onder hun hoede gekregen. Gemeentes zijn dus al anderhalf jaar verantwoordelijk voor de beoordeling van hulpvragen, de uitvoering van de hulpverlening aan jeugdigen/gezinnen en het controleren van declaraties. Voor het uitvoeren van al deze taken hebben gemeentes de beschikking over vertrouwelijke persoonsgegevens. Tot op heden was er wettelijk echter niets geregeld over het waarborgen van de privacy en daarmee over hoe om moet worden gegaan met gevoelige persoonsgegevens in de jeugdhulpverlening.

Inmiddels is er wel een concept Regeling Jeugdzorg geformuleerd waarin de tot nu toe ontbrekende privacyregels zijn beschreven. Het is de bedoeling dat deze RegelingJeugdzorg onder de Jeugdwet komt te “hangen”als een nadere uitwerking.

In het artikel van Ronald Huissen – “Alle jeugdzorginformatie verplicht vanuit de gemeente naar het Rijk” – dat op 22-6-2016 op de site van het Platform Burgerrechten (www.platformburgerrechten.nl)  is geplaatst wordt gesteld dat die nieuwe Regeling Jeugdzorg wat de privacy waarborging betreft helaas tekort schiet. Hoewel de regeling in het leven is geroepen om de privacy beter te borgen, wordt met deze regeling de privacy van jongeren en ouders juist verder uitgehold!

Er wordt in de Regeling Jeugdzorg erg veel aan de willekeur van gemeentes overgelaten wat betreft het opvragen en doorleveren van vertrouwelijke informatie. Nog verontrustender is het dat in de Regeling een artikel is opgenomen waarin wordt bepaald dat alle informatie die gemeentes verzamelen bij het uitvoeren van de jeugdzorg, moet worden doorgestuurd naar het Rijk, te weten zowel naar de Minister van Volksgezondheid als die van Veiligheid & Justitie.

Gepubliceerd: 07 juli 2016

In april 2016 is het Europees Parlement erin geslaagd om een nieuwe Algemene Verordening Gegevensbescherming (AVG) overeen te komen. Deze verordening regelt de privacybescherming voor alle lidstaten van de EU en definieert een rechtmatig gebruik van persoonsgegevens.

In deze recent overeengekomen verordening zijn een aantal nieuwe regels opgenomen waaronder de mogelijkheid voor overheden om onbeperkt persoonsgegevens van burgers te koppelen. Dit voorstel komt van Nederlandse kant. Minister van der Steur van “Veiligheid en Justitie” heeft bewerkstelligd dat het mogelijk wordt om in de publieke sector persoonsgegevens voor andere doeleinden te gebruiken dan waar ze oorspronkelijk voor waren verzameld. Daarmee wordt het zgn. doelbindingsbeginsel met voeten getreden.

 “Doelbinding” houdt in dat door de overheid verzamelde privégegevens over burgers alleen gebruikt mogen worden voor het doel waarvoor ze oorspronkelijk zijn afgegeven. Zo weten wij als burgers precies wat er met onze persoonsgegevens wordt gedaan. In de nieuwe AVG is dus overeengekomen, op initiatief van onze Minister, om het doelbindingsbeginsel verder los te laten. Hiermee wordt een onbeperkte (risico) profilering van burgers mogelijk en zijn burgers niet meer beschermd tegen willekeurige inmenging in hun privéleven.

Dit is een wijziging vergeleken met de richtlijnen uit 1995. Daarin waren ook uitzonderingen op de regel opgenomen, zoals de bevoegdheid van de Belastingdienst, die gegevens wel voor andere doeleinden mocht gebruiken dan waarvoor ze aanvankelijk waren verzameld. Met de huidige AVG is de mogelijkheid om privégegevens van burgers voor andere doeleneinden te gebruiken nog verder verruimd.

Hetgeen Minister van der Steur in Brussel heeft voorgesteld is echter in strijd met moties die onlangs in de Tweede Kamer zijn gepresenteerd. Het was de wens van het Nederlandse parlement om het huidige privacybeschermingsniveau te handhaven. Waarom dan toch deze uitbreiding van informatiemacht?

Op www.platformburgerrechten.nl is op 24-5-2016 een uitgebreid artikel van de hand van Ronald Huissen over dit heikele punt verschenen. In dit artikel getiteld “Nederland had niet akkoord mogen gaan met nieuwe privacyregels EU” leest u meer over de mogelijkheden die de nieuwe AVG onze overheid biedt om haar burgers te profileren en hoe dit op gespannen voet staat met het recht op eerbiediging van het privéleven zoals vastgelegd in het Europees Verdrag van de Rechten van de Mens.