Geacht LVVP bestuur,

In uw Nieuwsbrief dd 12-3-2020 staat het volgende misleidende, want onjuiste bericht:

“Als een patiënt niet wil dat de hoofddiagnose bij de zorgverzekeraar terechtkomt, dan kan deze een privacyverklaring invullen en ondertekenen. Een format hiervoor vindt u als bijlage bij de regeling gespecialiseerde ggz 2020 (zie bijlage 5) en tevens op Mijn LVVP. In dat geval kunt u gebruikmaken van een zogenoemde dummycode. Met die code is het voor de verzekeraar niet mogelijk om de diagnose alsnog vanuit het dbc-tarief te herleiden. De declaratiecode bij gespecialiseerde ggz is 10B999 of 25B999. De prestatiecode is dan 101999999999 bij een initiële dbc of 202999999999 bij een vervolg-dbc”.

Dit summiere bericht over de aangepaste declaratieprocedure welke kan worden gebruikt bij afgifte van de NZa-privacyverklaring is helaas onvolledig en daarmee misleidend, dan wel leidend tot misverstanden. Het bericht suggereert namelijk ten onrechte dat de diagnose - bij gebruikmaking van de aangepaste declaratieprocedure - niet meer kan worden herleid uit het dbc-tarief, indien voor declaratiecode en prestatiecode dummycodes zijn ingevoerd. Omdat de NZa tarieven echter dbc-specifiek zijn, is herleiding van diagnose-informatie niet alleen mogelijk via diagnose informatie die besloten zit in declaratiecodes en prestatiecodes, maar ook via het gehanteerde dbc-tarief.

Een aangepaste digitale declaratieprocedure waarmee voorkomen kan worden dat bij declaratie diagnose-informatie wordt verstrekt is pas correct en effectief als de declaratie niet is gebaseerd op een dbc-specifiek tarief. In het LVVP-bericht over de aangepaste declaratieprocedure wordt echter niets gezegd over de wijze waarop een declaratie kan worden opgesteld zonder deze te baseren op een dbc-specifiek tarief.

Omdat zorgverzekeraars en zorgverleners contractueel gehouden zijn om gebruik te maken van digitale declaratieprocedures moet de aangepaste digitale declaratie-procedure die kan worden gebruikt bij afgifte van een privacyverklaring zo zijn ingericht dat de zorgverlener duidelijk wordt geïnformeerd over de wijze waarop kan worden gedeclareerd zonder daarbij uit te gaan van een dbc-specifiek tarief.

Voor zorgverleners is het van groot belang dat duidelijk is op welke wijze bij een aangepaste digitale declaratie-procedure effectief kan worden voorkomen dat via een dbc-specifiek tarief alsnog diagnose-informatie wordt verstrekt aan zorgverzekeraars en DIS. Het is namelijk aan zorgverleners om overeenkomstig de uitdrukkelijke wens van cliënten te voorkomen dat bij declaratie ten onrechte, want door de cliënt expliciet niet gewenste diagnose-informatie wordt doorgegeven. Mocht de cliënt achteraf ontdekken dat zijn privacy helemaal niet gewaarborgd is geweest, kan dat eventueel aanleiding zijn om een aanklacht tegen de betreffende psychotherapeut in te dienen. Naar ons oordeel is het een taak van de LVVP als beroeps- en belangenorganisatie om haar leden tegen een dergelijk ongewenst effect te beschermen. Het is aan de LVVP als beroepsorganisatie om namens haar leden aan te dringen op aanpassing van de digitale declaratieprocedure die moet worden gebruikt bij afgifte van een privacyverklaring, zodat zorgverleners effectief uitvoering kunnen geven aan de expliciete wens van cliënten om geen diagnose-informatie te verstrekken aan zorgverzekeraars en DIS.

Het is onbegrijpelijk en verwijtbaar onzorgvuldig dat door NZa en/of ZN bij de aangepaste digitale declaratieprocedure nog steeds geen duidelijke toelichting is geformuleerd waarin concreet staat beschreven hoe zorgverleners digitaal kunnen declareren zonder dat bij afgifte van een privacyverklaring tot de diagnose herleidbare informatie wordt aangeleverd bij zorgverzekeraars en DIS. Dit is een ernstige en voor zorgverleners gevaarlijke tekortkoming die op eenvoudige wijze voorkomen had kunnen worden. Zo had de NZa er bij de jaarlijkse vaststelling van dbc-tarieven allang voor kunnen zorgen dat tarieven niet langer DBC specifiek worden gemaakt op basis van minimale tariefvariaties. We kunnen niet anders concluderen dat de NZa dit bewust niet heeft willen doen.

De stichting KDVP is nog steeds van mening dat het de verantwoordelijkheid van zorgverzekeraars en NZa – als toezichthouder – is en blijft om een duidelijke procedure (inclusief toelichting bij gebruikte digitale schermen) uit te werken waarmee het voor alle hulpverleners (en daarmee ook voor hun cliënten) duidelijk is op welke wijze bij afgifte van een privacyverklaring digitaal kan worden gedeclareerd zonder dat de diagnose kan worden herleid uit het DBC tarief.

Wij dringen erop aan – en zullen dat ook via onze website kenbaar maken – dat de LVVP stelling neemt in deze kwestie.

Nu ZN/NZa weigerachtig zijn en blijven om een duidelijke, eenduidige en in de praktijk makkelijk te hanteren regeling te maken waarmee digitaal kan worden gedeclareerd bij afgifte van een privacyverklaring is door zorgverleners zelf voorlopig een privacy proof tarievenlijst opgesteld. In deze lijst hebben meerdere diagnoses hetzelfde tarief waardoor het niet mogelijk is om eenduidige diagnose-informatie te herleiden uit het gehanteerde aangepaste tarief. De KDVP ziet deze mogelijkheid als een tijdelijke noodoplossing om er voor te zorgen dat cliënten en hulpverleners niet de dupe zijn van het ontbreken van een correct uitgewerkte digitale declaratieprocedure. 

De privacyproof tarievenlijsten voor de G GGZ en B GGZ zijn te vinden op de site van de “Contractvrije Psycholoog” (Privacy Proof Tarieven) en op de site van de stichting KDVP onder de Nieuwsberichten 2019 (Opt-outregeling en Privacy Proof Tarieven).

Het is overigens problematisch dat het summiere, bovenstaande LVVP bericht onvolledig is waar niet wordt vermeld dat bij gebruik van de NZa privacyverklaring (via de opt-outregeling) ook geen diagnose-informatie bij het DIS mag worden aangeleverd. (In het verlengde van eerdere procedures is het verstrekken van zogenaamde MDS informatie per 15-4-2019 beperkt tot de hoofddiagnose op As I.  Ingeval van de privacyverklaring mag uiteraard helemaal geen diagnose-informatie worden verstrekt aan het DIS).

Wij hopen dat de LVVP als belangenorganisatie voor integere zorgverlening door haar leden alsnog stappen onderneemt om aan te dringen op een nadere uitwerking en aanpassing van een aangepaste digitale declaratieprocedure, zodat zorgverleners bij afgifte van een privacyverklaring effectief uitvoering kunnen geven aan de wens van cliënten dat er geen diagnose-informatie bij zorgverzekeraars en DIS terecht komt. In afwachting van de noodzakelijke aanpassing van de digitale declaratieprocedure is het voor uw leden van belang de onvolledige en daarmee evenzeer misleidende informatie in uw (summiere) bericht over deze zaak te corrigeren.

Minister de Jonge onderzoekt de mogelijkheid van het gebruik van een app op de smartphone die een signaal kan afgeven wanneer men in de buurt is geweest van iemand die besmet is met het coronavirus. Deze “corona-app” zou de verspreiding van het virus moeten helpen indammen als tegelijkertijd de lock-down geleidelijk wordt teruggedraaid. Uit allerlei recente nieuwsberichten blijkt dat de overheid inmiddels druk bezig is om een app te (laten) ontwerpen die ingezet kan worden in de strijd tegen het corona virus.

Volgens een coalitie van maatschappelijke organisaties waar ook het Platform Bescherming Burgerrechten (de KDVP is daar bij aangesloten) deel van uitmaakt  lijkt de overheid zich bij de keuze vooral te laten leiden door technologische aspecten van een te ontwikkelen app en wordt er onvoldoende nagedacht over de noodzaak en nut/effectiviteit van een dergelijke app. De KDVP vreest dat er bij de overhaaste besluitvorming over een “corona app” door de overheid niet kritisch wordt nagedacht over het problematische karakter van een tracing app in een democratische rechtsstaat.

Hier kunt U het persbericht – getiteld “Burgerrechtenorganisaties slaan alarm over werkwijze Ministerie Volksgezondheid” - van 17-4 lezen dat door Bits of Freedom en het Platform Burgerrechten is gepubliceerd:

www.platformburgerrechten.nl/2020/04/17/burgerrechtenorganisaties-slaan-alarm-over-werkwijze-ministerie-volksgezondheid

Via onderstaande link is een live interview te beluisteren met filosoof en schrijver Maxim Februari over de inzet van de “corona app”. Dat interview werd bij de Balie te Amsterdam op 17 april afgenomen: www.youtu.be/hgfV3arZxqU

Met het wetsvoorstel “Contractering Zorg” hoopt het Ministerie van VWS vòòr het zomerreces de vergoeding van patiënten die naar niet-gecontracteerde zorgverleners gaan via een Algemene Maatregel van Bestuur te kunnen maximeren. In de praktijk betekent dit een afschaffing van de vrije artsenkeuze. Tevens komt er nog meer macht aan de kant van de zorgverzekeraars te liggen.

Waar het gaat om de borging van de vrije artsenkeuze heeft de KDVP ook eerder al samengewerkt met partijen die opkwamen voor het behoud van de vrije artsenkeuze. Ook nu blijft de KDVP in overleg met partijen om te zien op welke wijze in coalitieverband kan worden opgekomen tegen maatregelen die een inbreuk vormen op de vrije artsenkeuze.

Onze stichting KDVP ondersteunt dan ook het voornemen van de Stichting Handhaving Vrije Artsenkeuze tot het starten van een Kort Geding procedure in de hoop dit wetsvoorstel van tafel te krijgen. Donaties ter financiering van het kort geding kunnen worden gestort op rekening NL42RABO0181661578 t.n.v. “Stichting Handhaving Vrije Artsenkeuze” te Zeist.

Hier kunt u de brief lezen die door de stichting “Handhaving Vrije Artsenkeuze” naar de Eerste Kamer is gestuurd in verband met de behandeling van dit wetsvoorstel “Contractering Zorg” waarbij de vrije artsenkeuze voor de tweede keer op de tocht komt te staan.

De rechtbank Amsterdam heeft de Stichting KDVP laten weten dat de geplande rechtszitting over de Gedragscode Zorgverzekeraars die op 31 maart a.s. zou plaatsvinden, vanwege de coronacrisis is uitgesteld tot een nader te bepalen datum. Helaas betekent dat opnieuw vertraging in een juridische procedure over het in strijd met wet en verdrag verwerken van medische persoonsgegevens door zorgverzekeraars.

De door de KDVP tegen de Autoriteit Persoonsgegevens (AP) aangespannen juridische procedure over verwerking en gebruik van medische persoonsgegevens door zorgverzekeraars ging oorspronkelijk over het feit dat procedures en bedrijfsprocessen voor de verwerking van medische persoonsgegevens – zoals die werden vastgelegd in de Gedragscode Zorgverzekeraars – nog steeds niet zijn aangepast en bijgesteld op basis van de rechterlijke uitspraak op 13-11-2013. De rechtbank Amsterdam had in november 2013 de goedkeuring van die Gedragscode door het College Bescherming Persoonsgegevens (sinds 1-1-2016 AP) vernietigd, omdat de in de Gedragscode Zorgverzekeraars beschreven procedures en bedrijfsprocessen geen juiste uitwerking vormden van Wbp (Wet bescherming persoonsgegevens) en EVRM (Europees Verdrag voor de Rechten van de Mens). Volgens de rechtbank Amsterdam heeft het CBP bij de goedkeuring van de gedragscode op 13 december 2011 de in deze gedragscode vastgelegde verwerkingsprocedures onvoldoende dan wel onjuist getoetst aan vereisten voor de bescherming van privacyrechten van patiënten/cliënten zoals vastgelegd in wet en verdrag.

Omdat er door de AP vervolgens niets werd ondernomen om de verwerking van medische persoonsgegevens door zorgverzekeraars alsnog te doen aanpassen aan de door de rechter geconstateerde bezwaren heeft de KDVP een handhavingverzoek ingediend bij de AP teneinde deze toezichthouder er toe te brengen handhavend op te treden tegen verwerkingsprocedures bij zorgverzekeraars die naar het oordeel van de rechter geen juiste uitwerking vormden van wet en verdrag. Aangezien de AP ook hierna in gebreke bleef om handhavend op te treden tegen de zorgverzekeraars is de KDVP een beroepsprocedure gestart om alsnog adequaat handhavend optreden van de kant van de AP af te dwingen. In de zitting op 18 juli 2017 over dit beroep tegen de AP is door de rechter voorgesteld een mediation procedure te starten om zo samen met de AP, NZA (Nederlandse Zorgautoriteit) en ZN (Zorgverzekeraars Nederland) te kunnen komen tot aanpassingen zoals gevergd door de rechterlijke uitspraak. Tijdens de mediation bleek helaas herhaaldelijk dat de andere partijen niet bereid waren tot een constructieve samenwerking. Ondanks aandringen van onze kant is na een half jaar noch door de AP noch door één van de andere partijen een inhoudelijk voorstel gedaan voor aanpassing van de gewraakte werkwijzen van zorgverzekeraars. De KDVP heeft vervolgens besloten de mediation procedure te staken en de kwestie opnieuw bij de rechter neer te leggen.

Inmiddels zijn er jaren verstreken sinds de rechterlijke uitspraak van 2013 en vormt de verwerking van medische persoonsgegevens bij zorgverzekeraars nog steeds geen juiste uitwerking van wet en verdrag. Wel hebben zorgverzekeraars de Minister van VWS laten weten dat zij bezig zijn een nieuwe Gedragscode Zorgverzekeraars op te stellen die ter goedkeuring zal worden voorgelegd aan de AP.

Het is spijtig te moeten constateren dat de KDVP als belanghebbende partij in deze kwestie tot nu toe in het geheel niet is geïnformeerd over deze ontwikkeling, zoals dat feitelijk wél de bedoeling was toen in 2017 op voorstel van de rechtbank een mediation procedure werd gestart in de hoop de gewraakte werkwijzen van zorgverzekeraars aan te passen aan het oordeel van de rechter. Het is wel heel ongelukkig dat er nu opnieuw vertraging optreedt in deze al jarenlang slepende juridische procedure.

Helaas is door gezamenlijke partijen NZa en ZN nog steeds geen officiële, effectieve en in de praktijk makkelijk te hanteren regeling uitgewerkt, waarmee zorgverleners digitaal kunnen declareren zonder dat bij afgifte van een privacyverklaring het toepasselijke DBC tarief alsnog wordt verstrekt aan de zorgverzekeraar. De KDVP is nog steeds van mening dat het de verantwoordelijkheid van zorgverzekeraars en NZa is en blijft om voor het gebruik van de opt-outregeling een officiële, eenduidige regeling te maken, zodat voor alle hulpverleners duidelijk is op welke wijze digitaal kan worden gedeclareerd zonder dat de diagnose kan worden herleid uit het toepasselijke DBC tarief. Via juridische procedures heeft de KDVP hier bij herhaling op gewezen.

Binnen afzienbare tijd zal het hele stelsel worden gewijzigd en zal de DBC structuur worden losgelaten. Zolang dat echter nog niet het geval is, willen wij ook dit jaar verwijzen naar een privacyproof tarievenlijst 2020 met niet eenduidig herleidbare tarieven, zoals deze door een collega aan ons is toegestuurd.

Hier kunt U de lijst met privacyproof tarieven vinden voor 2020:

Privacy Proof Tarieven GGGZ 2020

De lijst met privacyproof tarieven voor 2019 vind U in een eerder nieuwsbericht.

De rechtbank Den Haag heeft op 5 februari jl. uitspraak gedaan in de SyRI (Systeem Risico Indicatie) procedure. Een coalitie van 8 maatschappelijke partijen had ervoor gepleit om het gebruik van het SyRI risicoprofileringssysteem te stoppen, aangezien dit systeem onvoldoende waarborgen bevat om het recht op privacy van burgers te garanderen. Zie voor meer informatie over deze procedure het nieuwsbericht van 2 april 2018 en tevens de nieuwsberichten van 2 februari 2020 en 7 februari 2020.

De rechtbank heeft in haar uitspraak geoordeeld dat de wetgeving die de inzet van SyRI regelt in strijd is met hoger recht. De rechtbank heeft het oogmerk van SyRI – het opsporen en bestrijden van fraude – afgezet tegen de inbreuk die SyRI maakt op het privéleven van burgers en is tot de conclusie gekomen dat hier geen sprake is van een “fair balance” die het EVRM wel vergt om te kunnen spreken van een gerechtvaardigde inbreuk op de privacy. Het op grote schaal koppelen van persoonsgegevens – waaronder ook gegevens uit de zorg – wordt door de rechter in strijd geacht met het fundamentele recht op bescherming van de persoonlijke levenssfeer. De rechter oordeelde dat SyRI noch transparant, noch controleerbaar is. De inbreuk op het privéleven is voor burgers niet te voorzien en burgers kunnen zich vervolgens ook niet verweren. Dat geldt niet alleen voor de burgers die door SyRI als een verhoogd risico worden aangemerkt, maar voor iedereen van wie de gegevens door SyRI worden geanalyseerd.

De rechter heeft zich in de SyRI procedure uitgesproken over het SyRI risicoprofileringssysteem, maar er bestaan tal van dergelijke systemen, waarbij met behulp van algoritmes beslissingen over mensen worden genomen, die voor degenen die het treft niet inzichtelijk zijn, omdat onbekend is voor betrokkenen welke data zijn vergaard en gekoppeld en op basis van welke data beslissingen worden genomen.

In een op 6 maart jl. verschenen artikel van de NRC - https://www.nrc.nl/nieuws/2020/03/06/schimmige-algoritmes-bij-uwv-en-syri-zijn-topje-van-de-ijsberg-a3992851 - over de risico’s van profileringsystemen waarbij via algoritmes risicoprofielen van burgers worden opgesteld, wordt voor het volgende gepleit:

“Alle overheden en bedrijven die algoritmische systemen gebruiken om mensen automatisch in categorieën in te delen, zouden goed naar de SyRI-uitspraak moeten kijken. Het systeem diende volgens de rechtbank weliswaar een legitiem doel: de bestrijding van fraude is „cruciaal” voor het draagvlak voor het stelsel van sociale zekerheid in Nederland. Maar de rechters vonden dat oncontroleerbaar is hoe de algoritmes van SyRI onder de motorkap werken. De kern van de uitspraak is dat er in dat geval te weinig waarborgen zijn voor burgers: zij kunnen niet uitzoeken of hun gegevens wel juist zijn verwerkt en weten niet waartegen ze precies bezwaar moeten maken”.

Het is nu aan de overheid om orde op zaken te stellen en werkwijzen die niet voldoen aan de door de rechter in de uitspraak geformuleerde voorwaarden stop te zetten. En het is aan de Autoriteit Persoonsgegevens om er op toe te zien dat dit ook daadwerkelijk gebeurt.

In de uitspraak van 5 februari j.l. heeft rechtbank Den Haag geoordeeld dat het Systeem Risico Indicatie (SyRI) in strijd is met het Europees Verdrag voor de Rechten van de Mens. Volgens de rechter bevat SyRI onvoldoende waarborgen om de privacy van burgers te beschermen.

Op 5-2-2020 heeft de rechtbank Den Haag uitspraak gedaan over het Systeem Risico Indicatie (SyRI) in een procedure die door een coalitie van maatschappelijke organisaties is aangespannen in 2018.  Deze coalitie van partijen heeft er tijdens de zitting op 29 oktober 2019 voor gepleit om het gebruik van SyRI te stoppen, aangezien dit risicoprofileringssysteem onvoldoende waarborgen bevat om het recht op privacy van burgers te garanderen. Zie voor meer informatie over deze procedure het nieuwsbericht van 2 april 2018 op deze site.

De rechtbank heeft in haar uitspraak geoordeeld dat de wetgeving die de inzet van SyRI regelt in strijd is met hoger recht. Deze SyRI wetgeving acht de rechter in strijd met de vereisten zoals vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens, die het recht op respect voor het privéleven moeten waarborgen. De rechtbank heeft het oogmerk van SyRI – het opsporen en bestrijden van fraude – afgezet tegen de inbreuk die SyRI maakt op het privéleven van burgers en is tot de conclusie gekomen dat hier geen sprake is van een “fair balance” die het EVRM echter wel vergt om te kunnen spreken van een gerechtvaardigde inbreuk op de privacy. Het op grote schaal koppelen van persoonsgegevens – waaronder ook gegevens uit de zorg – wordt door de rechter in strijd geacht met het fundamentele recht op bescherming van de persoonlijke levenssfeer. 

Hier kunt u het persbericht lezen dat naar aanleiding van deze uitspraak is opgesteld door de coalitie van partijen die de juridische procedure in 2018 heeft aangespannen.

In reactie op de uitspraak heeft staatssecretaris van Ark van Sociale Zaken en Werkgelegenheid diezelfde dag publiekelijk aangegeven dat het systeem SyRI niet meer zal worden ingezet. Het is te hopen dat deze uitspraak in de toekomst zal doorwerken in beleid en wetgeving met betrekking tot verwerking en gebruik van bijzondere persoonsgegevens in Nederland. Omdat in deze zaak voor het eerst middels non-gouvernementele organisaties door burgers wordt opgekomen tegen het profileren van burgers via het op grote schaal verzamelen, koppelen en analyseren van persoonsgegevens is deze uitspraak ook internationaal van groot belang. In The Guardian is in reactie op de uitspraak onderstaand artikel verschenen:
https://www.theguardian.com/technology/2020/feb/05/welfare-surveillance-system-violates-human-rights-dutch-court-rules

Op 29 oktober 2019 vond bij de rechtbank Den Haag onder grote belangstelling de rechtszitting plaats over de aanklacht die door een maatschappelijke coalitie van 8 partijen was aangespannen tegen de Nederlandse staat betreffende de inzet van het Systeem Risico Indicatie (SyRI). De coalitie van partijen bestaat uit Platform Bescherming Burgerrechten, Stichting KDVP, Privacy First, Nederlands Juristencomité voor de Mensenrechten, Landelijke Cliëntenraad, vakbond FN, evenals de auteurs Maxim Februari en Tommy Wieringa.

In het kader van het opsporen van fraude verschaft SyRI de overheid een onbeperkte bevoegdheid om zonder concrete verdenking op grote schaal persoonsgegevens van onverdachte burgers – waaronder ook gegevens uit de zorg – op te eisen en deze data op geheime en oncontroleerbare wijze te koppelen en analyseren om zodoende een risicoprofiel van deze burgers te kunnen opstellen. De coalitie van partijen is van mening dat deze ontwikkeling een onaanvaardbare bedreiging vormt voor onze democratische rechtsstaat en heeft in de rechtszitting gepleit voor het buiten werking stellen van SyRI.

De rechtbank doet op woensdag, 5-2, mondeling uitspraak in deze procedure.

Adres rechtbank: Prins Clauslaan 60, 2595 AJ Den Haag

Aanvang zitting: 10:00 uur