Mw. Berkelaar heeft als direct belanghebbende ex-cliënte in maart 2017 een handhavingsverzoek ingediend bij de Autoriteit Persoonsgegevens (AP) om op te treden tegen Stichting Benchmark GGZ (SBG). Inmiddels is SBG per 1 januari 2019 opgegaan in “Alliantie Kwaliteit in de GGZ” (AKWA GGZ). Dit handhavingverzoek is in februari 2019 - na vele malen uitstel- door de AP afgewezen. Mw Berkelaar heeft vervolgens bezwaar gemaakt tegen deze afwijzing en wil beroep aantekenen tegen dit besluit van de AP. De KDVP ondersteunt deze juridische procedure tegen het afwijzende besluit van de AP. In het kader van deze procedure wordt medio juli een hoorzitting gepland bij de AP.

Achtergrond van deze procedure over onrechtmatige verwerking en gebruik van ROM-data:

Op 13-7-2017 vond bij de rechtbank Midden-Nederland het kort geding plaats tegen de stichting SBG inzake onrechtmatige gegevensverwerking met ROMdata

De partijen bestaande uit actiegroep “StopBenchmarkmetROM”, LOC en de KDVP eisten in dit Kort Geding dat SBG de onrechtmatige verwerking van ROM-data met onmiddellijke ingang zou moeten staken en clienten zou moeten informeren over het verwijderen of laten verwijderen van de tot dan toe onrechtmatig verkregen gegevens. Tijdens de zitting kregen enkele (ex-)cliënten de gelegenheid om hun ervaringen en zorgen (tekst 1 en tekst 2) met de rechter te delen waar het gaat om het feit dat gevoelige informatie op individueel niveau over hun behandeling zonder hun toestemming en zonder hun medeweten is ontvangen en verwerkt door SBG.

Zoals nogmaals benadrukt hebben eisende partijen geen enkel bezwaar tegen het gebruik van ROM als evaluatie-instrument in de individuele behandeling. In dat geval blijven de data ook binnen het patiëntdossier en worden niet aan een derde partij, zoals SBG of per 1-1-2019 AKWA GGZ, verstrekt. De groep is wel tegen het gebruik van ROM-data voor andere doeleinden zoals zorginkoop, benchmark en toekomstig “onderzoek”. Voor zorginkoop zijn deze data niet nodig en voor benchmarking zijn deze data niet geschikt. Behalve de uitkomsten van de ROM-vragenlijsten kreeg SBG ook de “Minimale Data Set” van elke cliënt. Deze gegevens worden voor benchmarking gebruikt, maar ook bewaard in een “kluisje” om op een later moment gebruikt te kunnen worden voor “onderzoek”/andere doeleinden.

Zoals bekend heeft de voorzieningenrechter in dit kortgeding de eis dat SBG de verwerking van ROM-gegevens staakt en cliënten informeert over de manier waarop de verwerking van hun ROM-data tot nu toe heeft plaatsgevonden afgewezen, omdat in het kader van deze spoedprocedure niet met zekerheid kon worden geconcludeerd dat het bij de verwerking van ROM-data door SBG ging om de verwerking van persoonsgegevens.

Naar aanleiding van het rapport van de Algemene Rekenkamer dd 26-3-2017 (www.rekenkamer.nl/Publicaties/ Onderzoeksrapporten/Introducties/2017/01/ Bekostiging_van_de_curatieve_geestelijke_gezondheid) en de brief van de AP uit maart 2016, heeft de minister in maart 2017 zelf moeten erkennen dat ROM-data moeten worden aangemerkt als medische persoonsgegevens en dat aanlevering van deze data bij SBG (nu AKWA GGZ) zonder geïnformeerde toestemming van cliënten onrechtmatig is. Ook na pseudonimisering van de aangeleverde medische gegevens kunnen ROM-data door koppeling aan data in andere bestanden eenvoudig worden herleid tot “personen van vlees en bloed”. Naar aanleiding van deze ontwikkelingen zou de aanlevering van ROM-data door verschillende GGZ-instellingen zijn gestaakt.

Vervolgens heeft GGZ Nederland in oktober 2017 echter het advies uitgebracht om de aanleveringen weer te hervatten, maar dan op basis van “veronderstelde toestemming”.

Actiecomité “StopbenchmarkmetROM” heeft in reactie hierop een oproep aan bestuurders en cliëntenraden van alle GGZ instellingen in Nederland gestuurd om de aanlevering van ROM-data op basis van “veronderstelde toestemming” aan de SBG te staken. Om deze data te mogen doorleveren aan derde partijen die niet bij de behandeling zijn betrokken zoals ZorgTTP/SBG (nu AKWA GGZ), is expliciete toestemming van de cliënt vereist.

Persbericht: GGZ-zorgbestuurders gesommeerd te stoppen met aanlevering van bijzondere persoonsgegevens aan SBG – Stop Benchmark met ROM

Al vanaf 2017 heeft de KDVP bij de Nederlandse Zorgautoriteit (NZa) en Zorgverzekeraars Nederland (ZN) aandacht gevraagd voor het aanpassen van de opt-outregeling om het mogelijk te maken dat na het afsluiten van de behandeling – bij afgifte van een privacyverklaring - digitaal kan worden gedeclareerd zonder dat uit het DBC-tarief de diagnose is af te leiden.

Hiertoe heeft onze stichting in 2017 een juridische procedure aangespannen tegen de Autoriteit Persoonsgegevens (AP) omdat deze hardnekkig weigert op te treden tegen het uitblijven van een aangepaste, digitale declaratieprocedure, waarmee effectief kan worden voorkomen dat diagnose-informatie via het gehanteerde, toepasselijke DBC tarief alsnog terecht komt bij de zorgverzekeraar en het Diagnose Informatie Systeem (DIS). Het is namelijk aan de Zorgverzekeraars al dan niet in samenwerking met NZa en AP om een officiële (uniforme) regeling uit te werken waarmee in de praktijk van de hulpverlening - bij afgifte van een privacyverklaring - op een betrouwbare manier digitaal “privacyproof” kan worden gedeclareerd. In feite had de NZa er bij hun jaarlijkse bijstelling van DBC tarieven al lang voor kunnen zorgen dat de DBC tarieven niet langer onnodig “DBC specifiek” zijn. Zolang de NZa hier geen actie in onderneemt, is het aan de zorgverzekeraars om bijvoorbeeld “Privacy proof tarieven” te publiceren die voorlopig kunnen worden gehanteerd bij afgifte van een privacy verklaring om zo toch uitvoering te geven aan de uitspraken van het College van Beroep voor het bedrijfsleven (CBb) uit 2010 en van de rechtbank Amsterdam uit 2013.

Op 18 juli 2017 heeft de zitting over deze juridische procedure tegen de AP plaatsgevonden. Hier kunt u de pleitnotitie van de KDVP lezen.

Op 25 september 2018 heeft de rechtbank Amsterdam uitspraak gedaan in de hierboven genoemde juridische procedure tegen de Autoriteit Persoonsgegevens. In haar uitspraak van 25-9-2018 heeft de rechtbank ons beroep afgewezen. Omdat wij echter van mening zijn dat de rechtbank zich in haar uitspraak voornamelijk heeft laten leiden door de conclusies uit een rapport van de NZa dat helemaal geen betrekking had op onze bezwaren tegen de bestaande digitale declaratieprocedure die kan worden gehanteerd bij afgifte van een privacyverklaring, hebben wij besloten om onze bezwaren alsnog te laten toetsen door de Raad van State. Daartoe heeft de KDVP op 15 november 2018 Hoger Beroep ingesteld.

Inmiddels hebben wij bericht ontvangen dat de zitting bij de Raad van State zal plaatsvinden op 26 juni om 11:30 uur. Indien u de zitting wilt bijwonen, dient u zich een kwartier voor aanvang te melden bij de receptie. De locatie is Kneuterdijk 22 te Den Haag.

Bijna exact 2 jaar na de eerdere rechtszittingen over de Gedragscode en het DIS vonden op 15-2-2019 bij de rechtbank Midden-Nederland opnieuw zittingen plaats. Vanaf 2015 vraagt Burgerrechtenvereniging Vrijbit (www.vrijbit.nl) via juridische procedures tegen de Autoriteit Persoonsgegevens (AP) al aandacht voor de onrechtmatige verwerking van bijzondere persoonsgegevens, die een aantasting betekent van het recht op privacy van de burger. Stichting KDVPg is vanaf de start van deze procedures actief betrokken bij beide zaken.

In een KDVP nieuwsbericht (dd 4 april 2016) kunt u informatie vinden over de hoorzittingen welke op 15 maart 2016 bij de AP zijn gehouden naar aanleiding van de handhavingsverzoeken die Vrijbit in 2015 bij de AP heeft ingediend en waar de AP vervolgens afwijzend op heeft gereageerd. In reactie op de afwijzende beslissing van de AP ten aanzien van deze handhavingsverzoeken is Vrijbit in beroep gegaan en op 10-3-2017 heeft de rechtbank Midden-Nederland beide zaken voor de eerste keer behandeld, hetgeen op 11-7-2017 tot een “tussen-uitspraak” heeft geleid.

In haar tussen-uitspraak van 11-7-2017 heeft de rechtbank beslist om de Autoriteit Persoonsgegevens (AP) de gelegenheid te geven de “gebreken” in hun (onrechtmatige) verwerkingsprocedures aan te passen aan de uitspraken van de rechter. De AP kreeg toen 2 weken de tijd om te beslissen of ze van dit “aanbod” gebruik wilde maken en zo ja, dan moest er binnen 8 weken resultaat worden geboekt. De AP heeft vervolgens echter uitstel op uitstel gevraagd - en van de rechtbank gekregen - met als gevolg dat pas ruim anderhalf jaar na de tussen-uitspraak in 2017 nu op 15 februari 2019 zittingen hebben plaatsgevonden over deze beide zaken.

De voorzitster van Burgerrechtenvereniging Vrijbit (Mw. Wijnberg) en de voorzitter van de stichting KDVP (Ab van Eldijk) deden ook op 15-2-2019 als gemachtigden het woord namens de eisende partij.

De eerstgenoemde juridische procedure betreft het beroep tegen de Beslissing op Bezwaar van de AP om niet handhavend op te willen treden tegen de onrechtmatige verzameling, verwerking en doorlevering van medische diagnose- en behandelgegevens (DBC’s) in het DIS, die reeds plaatsvindt vanaf 2006. In 2006 had het CBP (nu AP) al aangegeven dat het DIS geen tot personen herleidbare gegevens mocht bevatten. Door koppeling van data uit het DIS met in andere bestanden beschikbare gegevens bleken deze data wel degelijk herleid te kunnen worden tot concrete “personen van vlees en bloed”. Dat heeft inmiddels ook de NZa - waar het DIS sinds mei 2015 onder ressorteert - zelf moeten erkennen. Hier kunt u de tussen-uitspraak vinden in het beroep (zaaknummer UTR 16/4199 WBP V93) over het feit dat jarenlang op onrechtmatige wijze gegevens door het DIS worden verwerkt. 

De tweede zaak gaat over de procedures voor de verwerking van medische persoonsgegevens zoals die zijn vastgelegd in de Gedragscode Zorgverzekeraars. De goedkeuring van die gedragscode door het CBP (nu AP) is in de uitspraak van de rechtbank Amsterdam op 13-11-2013 vernietigd, omdat de in de gedragscode beschreven verwerkingsprocedures geen juiste uitwerking vormden van wet (Wbp) en verdrag (EVRM). Tot op heden zijn er door gezamenlijke zorgverzekeraars geen aan het oordeel van de rechter aangepaste verwerkingsprocedures uitgewerkt die wèl een juiste uitwerking vormen van vereisten voortvloeiend uit wet en verdrag. Hier kunt u de tussen-uitspraak vinden in het beroep (zaaknummer UTR 16/3326 WBP V97) over het feit dat nog steeds op onrechtmatige wijze gegevens door zorgverzekeraars worden verwerkt ondanks het rechterlijk oordeel uit 2013. De oordelen in dit tussenvonnis van de rechtbank waren taakstellend voor de AP.

Hier kunt u de slotbetogen over zowel de Gedragscode als het DIS vinden die door de eisende partij zijn gepresenteerd in de rechtszittingen op 15-2-2019.

Op 18-2-2019 is in reactie op de zittingen door niet-praktiserend huisarts W.J. Jongejan een artikel gepubliceerd getiteld: “Onbegrijpelijke gebeurtenis met geheime stukken in rechtszaak Vrijbit”.

De rechter heeft aangegeven zijn best te zullen doen om binnen 6 weken na 15-2 uitspraak te doen, maar gaf meteen al aan dat het vanwege de complexiteit van beide zaken heel goed mogelijk is dat de uitspraak later komt.

In 2018 is door een coalitie van partijen een bodemprocedure gestart tegen de Nederlandse staat over het Systeem Risico Indicatie (SyRI). De stichting KDVP is één van de officiële procespartijen in deze juridische procedure tegen de staat. SyRI vormt namelijk ook een bedreiging voor het medisch beroepsgeheim.

SyRI beoogt burgers te kunnen profileren door persoonsgegevens die bij de overheid in allerlei databanken aanwezig zijn te verzamelen en te koppelen. Dit kan ook bijzondere persoonsgegevens, zoals medische data, betreffen.

Met behulp van geheime - voor de burger onbekende - algoritmen vindt een risico-analyse van de verzamelde en gekoppelde gegevens plaats. Als uit deze analyse van data naar voren komt dat een burger een verhoogd risico voor vormen van fraude of overtredingen zou zijn, wordt hij/zij in het “Register Risicomelding” geplaatst. Burgers worden niet geïnformeerd over het feit dat ze in dit Register Risicomelding zijn geplaatst en kunnen ook niet achterhalen waarom ze daarin zijn opgenomen. De overheid houdt zich hier niet aan haar informatieplicht.

Het Systeem Risico Indicatie heeft gevolgen voor de relatie tussen burgers en overheid. Doordat de overheid informatie die bij verschillende overheidsinstanties over burgers ligt opgeslagen op niet-transparante wijze tegen onverdachte burgers gebruikt, wordt wantrouwen de basis van de verhouding tussen de overheid en haar onderdanen.

Over deze fundamentele maatschappelijke kwestie is door Ronald Huissen vanuit het Platform Bescherming Burgerrechten in het tijdschrift “Sociaal bestek” een uiterst lezenswaardig het artikel gepubliceerd met de titel: “De overheid zet de verhouding met haar burgers op scherp”.

Verwacht wordt dat in de loop van 2019 de eerste zitting zal plaatsvinden over de juridische procedure tegen het Systeem Risico Indicatie (SyRI). Vermoedelijk zal de zittingsdatum in de periode tussen mei en september vallen. Het is de verwachting dat de rechtbank binnen 6 maanden na de zitting uitspraak zal doen.

Naar aanleiding van het “winnen” van de Big Brother Award (BBA) 2018 zegt minister De Jonge van Volksgezondheid dat in de nieuwe “Wet bevorderen samenwerking en rechtmatige zorg” (Wbsrz) met geanonimiseerde gegevens moet worden gewerkt en dat aan patiënten expliciete toestemming moet worden gevraagd voor het verwerken van hun data.

Op 22 januari 2019 zijn in De Rode Hoed te Amsterdam voor de veertiende keer de Big Brother Awards door Bits of Freedom (www.bof.nl) uitgereikt. In een feestelijke show werden de “winnaars” van 2018 bekend gemaakt. Personen, bedrijven en/of overheden die zich in het afgelopen jaar bij uitstek schuldig hebben gemaakt aan inbreuken op de privacy werden ook dit jaar weer op ludieke wijze “te kijk gezet”.

Eén van de ”winnaars” was dit jaar minister Hugo de Jonge van Volksgezondheid. De “expertprijs” werd hem toegekend door een panel van deskundigen vanwege zijn wetsvoorstel (Wbsrz) dat het voor allerlei instanties mogelijk moet maken om medische gegevens te kunnen uitwisselen. Dit wetsvoorstel zou het ondermeer mogelijk moeten maken om zorgfraude beter op te sporen. Artsenfederatie KNMG vindt de nieuwe fraudewet een onnodige inbreuk op het beroepsgeheim omdat er met die wet op grootschalige wijze tot personen herleidbare medische data kunnen worden uitgewisseld. Volgens Bits of Freedom schendt dit voorstel op onacceptabele wijze de privacy van patiënten.

Helaas heeft de minister aangegeven op 22 januari niet aanwezig te kunnen zijn om de prijs in ontvangst te nemen. Via zijn woordvoerder liet de minister echter het volgende weten:

“Geld voor de zorg, moet besteed worden aan de zorg en aan niks anders. Jaarlijks kosten onrechtmatigheden en fraude met zorggeld de samenleving miljoenen euro’s. Dat is geld dat wordt opgebracht door ons allemaal. Daarom is er een wetsvoorstel in de maak dat ervoor zorgt dat toezichthouders, opsporingsdiensten en handhavende partijen hun kennis beter kunnen delen. Fraudeurs lopen zo eerder tegen de lamp. Maar dat betekent niet dat het medisch beroepsgeheim doorbroken wordt. Er wordt namelijk vastgelegd dat er met geanonimiseerde gegevens gewerkt moet worden, tenzij de patiënt zelf toestemming geeft om zijn gegevens te gebruiken. Privacy blijft dus beschermd. Want patiënt en arts moeten in vertrouwen informatie met elkaar kunnen delen. Met deze nieuwe wet kan er wel eerder en harder ingegrepen worden bij vermoedens van zorgfraude”.

Het is opmerkelijk dat de minister in bovengenoemde reactie nu alsnog te kennen geeft dat met geanonimiseerde - niet tot personen herleidbare -  gegevens zal worden gewerkt en dat de patient zelf toestemming moet geven om behandeldata in brondossiers van zorgverleners te doen gebruiken door derden.

Dit standpunt van de minister betekent dat het wetsvoorstel Wbsrz niet kan worden ingevoerd en dat ook andere systemen voor de uitwisseling van tot personen herleidbare medische gegevens in de zorg moeten worden getoetst aan deze criteria wil het medisch beroepsgeheim behouden blijven.

Gelukkig zijn er inmiddels informatiesystemen voor de zorg ontwikkeld die geen inbreuk vormen op het medisch beroepsgeheim. Verwacht mag worden dat de minister deze serieus zal gaan betrekken bij de invoering en ontwikkeling van veilige systemen voor toegang en gebruik van medische data die geen inbreuk vormen op het medisch beroepsgeheim.

Op 25 september 2018 heeft de rechtbank Amsterdam uitspraak gedaan in de juridische procedure die onze stichting had aangespannen tegen de Autoriteit Persoonsgegevens.

De KDVP voert deze procedure omdat de AP nog steeds niet handhavend is opgetreden tegen het uitblijven van een aangepaste, digitale declaratieprocedure waarmee effectief kan worden voorkomen dat diagnose-informatie via het gehanteerde DBC tarief terecht komt bij de zorgverzekeraar en bij het Diagnose Informatie Systeem (DIS).

Het gaat hier om het daadwerkelijk gebruik van de opt-outregeling. De opt-outregeling moet het mogelijk maken om digitaal te kunnen declareren zonder vermelding van diagnose- en behandelinformatie en zonder dat uit het DBC-tarief alsnog de diagnose is af te leiden. Ondanks eerdere acties en een mediationtraject is er nog steeds geen effectieve, officiële regeling, waarmee in de praktijk van de hulpverlening bij afgifte van een privacyverklaring op een duidelijke en betrouwbare manier digitaal en toch “privacyproof” kan worden gedeclareerd.

De rechtbank Amsterdam heeft ons beroep afgewezen. De KDVP is echter van oordeel dat deze rechterlijke uitspraak onvoldoende gemotiveerd is. Ons inziens heeft de rechtbank ten onrechte de niet- afdoende, afwijzende beslissing van de AP overgenomen. Dit besluit van de AP is niet gebaseerd op eigen onafhankelijk onderzoek, maar wordt vooral onderbouwd door te verwijzen naar conclusies uit een rapport van de NZa dat echter helemaal geen betrekking had op onze bezwaren tegen de bestaande digitale declaratieprocedure die gehanteerd zou moeten worden bij afgifte van een privacyverklaring.  

Bovengenoemde overwegingen heeft de KDVP doen besluiten om op 15-11-2018 bij de Raad van State Hoger Beroep tegen de uitspraak van de rechtbank Amsterdam in te stellen om deze uitspraak – en daarmee óók de misleidende , niet affectieve digitale declaratieprocedure te gebruiken bij afgifte van een privacyverklaring – opnieuw te laten toetsen.