Gepubliceerd: 17 december 2017

De Vereniging van Praktijkhoudende Huisartsen (VPH) heeft in 2013 een bodemprocedure aangespannen tegen de Vereniging van Zorgaanbieders voor Zorgcommunicatie ( VZVZ) met als doel om via een rechtsgang het LSP te doen afschaffen. VZVZ is de organisatie die verantwoordelijk is voor het beheer van het LSP. Hoewel de Eerste Kamer in 2011 tegen de private doorstart van het Elektronische Patiënten Dossier (EPD) ofwel Landelijk schakelpunt (LSP) heeft gestemd, heeft dat niet mogen baten. In 2012 is het LSP er toch gekomen.

De KDVP is vanaf het begin actief betrokken geweest bij de juridische procedure(s) van VPH tegen het LSP, omdat ook bij de uitwisseling van medische persoonsgegevens zowel inbreuk wordt gemaakt op het medisch beroepsgeheim alsook op de privacy van patiënten/cliënten. Bij gegevensuitwisseling via het LSP kunnen patiënt/cliënt en hulpverlener niet langer samen bepalen welke informatie voor welk doel mag worden uitgewisseld met welke andere hulpverleners die betrokken zijn of via verwijzing betrokken raken bij een behandeling. Bij uitwisseling van gegevens via het LSP kunnen medisch beroepsgeheim en privacy niet meer gegarandeerd worden (voor meer informatie over het LSP zie KDVP Nieuwsbrief dd 20-9-2014, punt 2).

Omdat de uitkomst van de bodemprocedure bij de rechtbank Midden-Nederland tegen de doorstart van het LSP en daarna het hoger beroep bij het gerechtshof te Arnhem onvoldoende hebben opgeleverd, is VPH in cassatie gegaan bij de Hoge Raad.

Op 1 december 2017 heeft de Hoge Raad in dit cassatieberoep uitspraak gedaan. Helaas is het beroep verworpen, maar toch heeft het tevens een duidelijke leidraad voor de toekomst aangereikt. De Hoge Raad baseert haar uitspraak op stellingnames over de te verwachten aanpassing van het huidige LSP op basis van toekomstige wet- en regelgeving. Omdat het is gebaseerd op toekomstige regelgeving houdt dit voor VZVZ in dat zij dient te weten welke aanpassingen er van haar worden gevergd. Zo stelt de Hoge Raad in haar oordeel dat: 

 “De inrichting van de zorginfrastuctuur (LSP) is thans aanvaardbaar omdat zij berust op in vrijheid gegeven, voldoende specifieke toestemming van de patient. Het hof heeft daarbij echter onderkend dat de zorginfrastructuur ook kan worden ingericht op een wijze waarbij meer onderscheid tussen (soorten) gegevens en (categorieën) zorgaanbieders kan worden gemaakt, en waarbij in het bijzonder gegevensuitwisseling op basis van toestemming bij voorbaat desgewenst kan worden beperkt tot spoedeisende gevallen”.

De Hoge Raad zegt hiermee feitelijk dat de toestemming voorlopig “aanvaardbaar” is, maar alleen omdat het nu nog niet mogelijk lijkt om het uitwisselen, delen van medische persoonsgegevens te baseren op een meer specifieke toestemming. Deze uitspraak is uiteindelijk een “opdracht” voor ICT experts om een oplossing te vinden voor het probleem van de gebrekkige, vooralsnog onvoldoende gerichte uitwisseling van medische persoonsgegevens op basis van een echte specifieke toestemming zoals dat mogelijk en gebruikelijk was voor invoering van het LSP. Hiermee wordt bevestigd dat de huidige (te) brede generieke toestemming zodra dat mogelijk is alsnog moet worden vervangen door een specifieke toestemming om medische persoonsgegevens meer gericht te kunnen delen. De Hoge Raad verwacht van VZVZ dat het systeem wordt aangepast zodra dit technisch uitvoerbaar blijkt. Dit oordeel van de Hoge Raad wijst daarmee in feite op de noodzaak om de gegevensverwerking via het LSP te toetsen aan het subsidiariteitsbeginsel.

Feit blijft echter dat er al betere en vooral privacyvriendelijker systemen mogelijk zijn voor de uitwisseling van gegevens dan de centrale uitwisseling zoals deze nu via het LSP plaatsvindt. De “white-box” is hiervan een voorbeeld (voor meer informatie zie het KDVP Nieuwsbericht dd 12-11-2015).

Gepubliceerd: 26 november 2017

Als u direct wilt stemmen click hier en ga naar “Publieksprijs”:

www.bof.nl/2017/11/20/publiek-nomineert-ggz-nederland-voor-big-brother-award

Op 11 december 2017 zal in de stadsschouwburg te Amsterdam door Bits of Freedom (www.bof.nl) de jaarlijkse uitreiking van de Big Brother Awards worden georganiseerd. In een feestelijke show zal op ludieke wijze de bekendmaking van de “winnaars” plaatsvinden. Personen, bedrijven en/of overheden die zich in het afgelopen jaar bij uitstek schuldig hebben gemaakt aan inbreuken op de privacy zullen “te kijk worden gezet”.

Voor dit jaar is GGZ Nederland genomineerd voor de Publieksprijs van de Big Brother Awards. GGZ Nederland heeft deze nominatie gekregen vanwege haar oproep om privacygevoelige gegevens van cliënten/patiënten - zonder hun toestemming - te delen met derden/andere partijen. Het gaat hier om de gegevens uit ROM-vragenlijsten die door cliënten/patiënten zijn ingevuld om de voortgang van de behandeling te evalueren. Zolang deze data in het patiëntendossier van de behandelaar blijven, is er niets aan de hand. Echter, deze data moeten door de behandelaar vanaf januari 2017 verplicht worden opgestuurd naar Stichting Benchmark GGZ (ofwel SBG). Tot begin van dit jaar werden deze data – meestal zonder dat de cliënt/patiënt hiervan wist of toestemming had gegeven- opgestuurd naar SBG. Zorgverzekeraars willen de database van SBG raadplegen om de kwaliteit van zorginstellingen/behandelaars te bepalen en/of zorginstellingen/behandelaars via benchmarking met elkaar te kunnen vergelijken. Ook wil SBG deze data bewaren om er later “onderzoek” mee te kunnen verrichten. De ROM-vragenlijsten zijn weliswaar ontdaan van naam en burgerservicenummer ofwel gepseudonimiseerd, maar door koppeling van data aanwezig in andere bestanden kunnen deze data worden herleid tot “personen van vlees en bloed”.

In de uitspraak op 2-8-2017 in het kort geding tegen de Stichting Benchmark GGZ (SBG) is door de voorzieningenrechter gesteld dat op dit moment niet met zekerheid kan worden geconcludeerd dat de verwerking van ROM-gegevens door SBG veilig is. Eerder heeft de AP betoogd dat “pseudonimiseren van gegevens” onvoldoende is om privacyrisico’s uit te sluiten, waarop de minister van VWS zorginstellingen heeft gesommeerd om te stoppen met het aanleveren van ROM-data aan SBG. Bovendien heeft de Algemene Rekenkamer in een rapport dd 26-1-2017 geconcludeerd dat de aan SBG aangeleverde ROM-data noch geschikt zijn voor het meten van de kwaliteit van zorginstellingen, noch geschikt zijn voor benchmarking.

Naar aanleiding van deze ontwikkelingen en ondanks de sommatie van de minister heeft GGZ Nederland besloten om juridisch advies te vragen over het aanleveren van ROM-data aan SBG om te onderzoeken of de levering toch kan worden doorgezet. De door GGZ Nederland geraadpleegde juristen hebben echter geconcludeerd dat betwijfeld moet worden of ROM gegevens ook op basis van veronderstelde toestemming aangeleverd mogen worden bij SBG. Wij als KDVP maar ook externe juristen met wie wordt samengewerkt zijn er van overtuigd dat aanlevering op basis van veronderstelde toestemming alleen is toegestaan als het gaat om de uitwisseling van medische gegevens met personen die direct betrokken zijn bij de behandeling. GGZ Nederland heeft de waarschuwing van de door hen geraadpleegde juristen echter in de wind geslagen en heeft zorginstellingen in oktober van dit jaar aangespoord om weer ROM-data aan te leveren aan SBG. Met als gevolg dat het nu de zorgverleners zelf zijn die tuchtrechtelijk kunnen worden aangesproken op de beslissing van hun instellingsbesturen om zonder toestemming van cliënten/patiënten ROM data te verstrekken aan SBG.

Inzenders van de nominatie van GGZ Nederland voor de Publieksprijs van de Big Brother Awards hebben aangegeven het onbegrijpelijk te vinden dat GGZ Nederland ondanks alle bezwaren die door verschillende partijen zijn opgeworpen, toch weer heeft geadviseerd om privacygevoelige informatie van cliënten/patiënten op te sturen naar een derde partij zonder dat aan die cliënten/patiënten expliciete, geïnformeerde toestemming is gevraagd. Vaak zijn cliënten/patiënten niet eens op de hoogte gebracht van het feit dat privacygevoelige informatie over henzelf en hun behandeling via ROM-data naar een derde partij wordt gestuurd.

Ook HIER kunt u stemmen op de nominatie van GGZ Nederland.

Gepubliceerd: 05 oktober 2017

De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) hebben allerlei bevoegdheden, die zijn vastgelegd in de Wet op de inlichtingen- en veiligheidsdiensten (Wiv). In 2016 heeft de overheid het noodzakelijk geacht om de mogelijkheden om veel meer informatie te verzamelen over burgers sterk te vergroten.

Het voorstel voor een nieuwe, sterk verruimde Wiv van Minister Plasterk en Minister Hennis is inmiddels zowel door de Tweede als Eerste Kamer geaccepteerd en zal per 1-1-2018 van kracht worden.

Om een concreet idee te krijgen hoe deze Wiv uw eigen, dagelijkse leven kan beïnvloeden, is het aardig en vooral verhelderend om het fragment dat daarover gaat in de uitzending van “Zondag met Lubach” van 1-10-2017 te bekijken.

 

Nu is de aangepaste Wiv ook nog eens zo “ruim” geformuleerd, dat veiligheidsdiensten zich tevens toegang zouden kunnen verschaffen tot ICT systemen die medische informatie bevatten. De mogelijkheid van toegang tot ICT-systemen met medische gegevens vormt een serieuze ondermijning van het medisch beroepsgeheim en de privacy van patiënten.

In dit opzicht is het volgende artikel dd 24-7-2017 van W.J. Jongejan lezenswaardig: “Nieuwe wet staat aantasting beroepseed artsen toe. Oproep aan KNMG”.

Een groep Amsterdamse studenten heeft onlangs het initiatief ontwikkeld om een referendum af te dwingen over de invoering van de zgn. sleepwet ofwel aftapwet. Hiermee willen zij de burgers de gelegenheid geven om zich uit te spreken over de Wiv vanwege de niet geringe risico’s voor de privacy. Onze stichting KDVP steunt het initiatief voor dit referendum.

Om het referendum daadwerkelijk te laten plaatsvinden, zijn vòòr 16 oktober a.s. in totaal 300.000 handtekeningen nodig. Als u ook wilt dat dit referendum doorgaat, onderteken dan via www.sleepwet.nl en zegt het voort aan collega’s en/of andere mensen om u heen.

Gepubliceerd: 18 september 2017

Wat is er nog meer nodig om ervoor te zorgen dat de AP haar rol als privacy toezichthouder daadwerkelijk oppakt? Er zijn sinds 2013 al een paar rechterlijke uitspraken geweest die voor de AP taakstellend waren.

Zowel de uitspraak over de onterechte goedkeuring van de Gedragscode Zorgverzekeraars als die over de niet-legitieme verwerkingen van persoonsgegevens in het DIS waren taakstellend voor de AP. In beide gevallen heeft de AP de opdracht gekregen om maatregelen te bedenken teneinde de privacy van burgers – in dit geval patiënten – beter te beschermen. Helaas is daar tot nu toe weinig van terecht gekomen. En als de AP van zich liet horen, dan was het meestal om uitstel te vragen.

Het zou natuurlijk heel laakbaar zijn als onze toezichthouder niet in actie wil of durft te komen teneinde de overheid die het helemaal niet zo nauw neemt met de privacybescherming, maar daarentegen zoveel mogelijk data wil vergaren over ons als burgers, naar de mond te praten. Lijkt deze opstelling niet verdacht veel op die van een andere toezichthouder, de NVWA, over wie Pieter van Vollenhoven onlangs het volgende in het Algemeen Dagblad heeft gezegd: “Bij bedrijven staat het economisch belang al snel voorop. De NVWA zou moeten opkomen voor het publieke belang, de voedselveiligheid. Helaas is de inspectie in de praktijk geen voedselwaakhond, maar een verlengstuk van het economisch beleid.”

Via onderstaande link kunt u een artikel vinden dat op 14-9-2017 op het Platform Bescherming Burgerrechten (www.platformburgerrechten.nl) is geplaatst over de laakbare opstelling van de AP:

www.platformburgerrechten.nl/2017/09/13/autoriteit-persoonsgegevens-moet-zich-hoognodig-bezinnen-op-haar-rol

Gepubliceerd: 07 augustus 2017

Op 2 augustus 2017 heeft de voorzieningenrechter een uitspraak gedaan in het kort geding dat door de actiegroep “Stop Benchmark met ROM” was aangespannen. De actiegroep heeft in het kort geding geëist dat SBG de verwerking van ROM-data staakt en patiënten informeert over de onrechtmatige verwerking van deze data zoals die heeft plaatsgevonden. De groep is niet tegen het gebruik van ROM ter evaluatie van een individuele behandeling. In dat geval blijven de gegevens van de ingevulde ROM-vragenlijsten namelijk in het patiëntdossier van de zorgverlener. Wel is “Stop Benchmark met ROM” tegen het gebruik van ROM-data voor andere doeleinden, zoals benchmark, zorginkoop en eventueel toekomstig “onderzoek”. Zowel de resultaten van de door de cliënt ingevulde ROM-vragenlijsten als de “Minimale Data Set” worden niet alleen voor benchmarking gebruikt maar tevens bij SBG opgeslagen in een “kluisje” om in de toekomst te kunnen worden gebruikt voor onderzoek. 

 

Helaas heeft de voorzieningenrechter de eis dat SBG de verwerking van ROM- gegevens staakt en cliënten informeert over de manier waarop de verwerking van hun ROM-data tot nu toe heeft plaatsgevonden, in zijn vonnis afgewezen. De rechter stelt dat op dit moment weliswaar niet met zekerheid kan worden geconcludeerd dat de verwerking van ROM-data door SBG helemaal veilig is, maar zegt hier geen voorlopige maatregelen tegen te kunnen nemen. Dan moet eerst duidelijker aangetoond worden dat de maatregelen, zoals die tot nu toe  in reactie op de “dreiging” van dit kort geding door SBG zijn genomen, onvoldoende zijn, aldus de rechter. Zowel voor cliënten als zorgverleners is deze uitspraak van de rechter waarin geen voorlopige maatregelen worden getroffen om verdere schade voor cliënten te voorkomen, zeer teleurstellend. De groep “Stop Benchmark met ROM” beraadt zich nu op vervolgstappen.

 

Hier is een uitgebreid persbericht te lezen over de uitspraak van 2-8-2017 in het kort geding tegen SBG.

Gepubliceerd: 25 juli 2017

Op 10 maart 2017 vonden uiteindelijk bij de rechtbank Midden-Nederland te Utrecht de twee rechtszittingen plaats die door Vrijbit waren aangespannen tegen de Autoriteit Persoonsgegevens. Onze stichting KDVP is betrokken bij beide juridische procedures en Ab van Eldijk, voorzitter van de KDVP, trad tijdens de zittingen (ook) op als gemachtigde. Nadat de uitspraak eerst nog drie keer was uitgesteld, heeft de rechter op 11 juli 2017 een tussenuitspraak gedaan.

Over de “aanloop” naar deze beide rechtszittingen op 10 maart 2017 kunt u informatie vinden in een eerder op onze KDVP-site gepubliceerd nieuwsbericht (dd 4 april 2016) over de hoorzittingen welke op 15 maart 2016 bij de AP zijn gehouden naar aanleiding van herhaalde handhavingsverzoeken die Vrijbit bij de AP eerder had ingediend en waar de AP afwijzend op had gereageerd. Onze voorzitter Ab van Eldijk heeft samen met de voorzitster van Vrijbit, Miek Wijnberg, het woord gevoerd op deze hoorzittingen.

De eerstgenoemde juridische procedure betreft het beroep tegen de Beslissing op Bezwaar van de AP om niet handhavend op te willen treden tegen de onrechtmatige verzameling, verwerking en doorlevering van medische diagnose- en behandelgegevens (DBC’s) in het DIS, die reeds plaatsvindt vanaf 2006. In 2006 had het CBP (nu AP) al aangegeven dat het DIS geen tot personen herleidbare gegevens mocht bevatten. Door koppeling van data uit het DIS met in andere bestanden beschikbare gegevens bleken deze data wel degelijk herleid te kunnen worden tot concrete “personen van vlees en bloed”. Dat heeft de NZa - waar het DIS sinds mei 2015 onder ressorteert - zelf moeten erkennen.

Hier kunt u de tussen-uitspraak vinden in het beroep (zaaknummer UTR 16/4199 WBP V93) over het feit dat al 10 jaar lang op onrechtmatige wijze gegevens door het DIS worden verwerkt. 

De tweede juridische procedure gaat over de Gedragscode Zorgverzekeraars. De goedkeuring van die gedragscode door het CBP is in de uitspraak van de rechtbank Amsterdam op 13-11-2013 vernietigd. Tot op heden is er geen aan het oordeel van de rechter aangepaste Gedragscode ter goedkeuring voorgelegd aan de AP en worden sinds jaar en dag medische gegevens van burgers dus onrechtmatig verwerkt.

Hier kunt u de tussen-uitspraak vinden in het beroep (zaaknummer UTR 16/3326 WBP V97) over het feit dat er nog steeds op onrechtmatige wijze gegevens door zorgverzekeraars worden verwerkt ondanks het rechterlijk oordeel uit 2013, dat taakstellend was.

In beide procedures heeft de rechtbank in een zgn. tussen-uitspraak besloten de AP de gelegenheid te bieden om alsnog de “gebreken” die door de rechter zijn bevestigd te herstellen of te laten herstellen. De AP moet binnen 2 weken aangeven of zij van deze gelegenheid gebruik zal maken en zo ja, dan moet de AP die gebreken binnen 8 weken herstellen met inachtneming van de overwegingen en aanwijzingen in de tussen-uitspraken. Zie voor meer en uitgebreide informatie www.vrijbit.nl.

Gepubliceerd: 23 juli 2017

De eerste zitting (zaaknummer AMS 15/6762 WBP) betrof de juridische procedure tegen de AP omdat de toezichthouder tot nu toe niet handhavend is opgetreden tegen het uitblijven van een aangepaste, digitale declaratieprocedure, waarmee effectief kan worden voorkomen dat diagnose-informatie via het gehanteerde, toepasselijke DBC tarief alsnog terecht komt bij de zorgverzekeraar en het Diagnose Informatie Systeem (DIS). Het gaat hier om het feit dat er nog steeds geen officiele (uniforme) regeling is uitgewerkt door de NZa waarmee in de praktijk van de hulpverlening bij afgifte van een privacyverklaring op een duidelijke en betrouwbare manier effectief digitaal een “privacyproof” tarief kan worden gedeclareerd.

Hier kunt u de pleitnotitie (zaaknummer AMS 15/6762 WBP) van de KDVP lezen.

De tweede zitting (zaaknummer AMS 16/5329 BESLU) ging over het uitblijven van aanpassing van procedures en bedrijfsprocessen voor de verwerking van medische persoonsgegevens bij zorgverzekeraars zoals die eerder zijn vastgelegd in de Gedragscode Zorgverzekeraars. De rechtbank Amsterdam heeft op 13-11-2013 de goedkeuring van die Gedragscode door het CBP (sinds 1-1-2016 AP) vernietigd, aangezien de daarin beschreven procedures en bedrijfsprocessen geen juiste uitwerking vormden van Wbp en EVRM. Sindsdien heeft ZN geen nieuwe, aan het oordeel van de rechter aangepaste verwerkingsprocedures en bedrijfsprocessen doorgevoerd. Dit heeft tot gevolg gehad dat medische gegevens jarenlang op onrechtmatige wijze zijn verwerkt door zorgverzekeraars die via websites en contracten met zorgverleners hadden laten weten dat zij zich ook na de vernietiging van de door het CBP verleende goedkeuring gehouden wisten aan het bepaalde in de Gedragscode Zorgverzekeraars.

Overigens is in deze procedure ook gesteld dat de aanpassing van de Regeling Zorgverzekering in 2010 onjuist en onverbindend is omdat de daarin opgelegde algemene verplichting van zorgverleners om met doorbreking van hun beroepsgeheim zorgverzekeraars bij materiële controles inzage te geven in patiëntdossiers niet bij ministeriële regeling kan worden opgelegd, maar een regeling vergt in een wet in formele zin die toetsing aan noodzakelijkheid, proportionaliteit, subsidiariteit en voorzienbaarheid kan doorstaan.

Hier kunt u de pleitnotitie (zaaknummer AMS 16/5329 BESLU) van de KDVP lezen.

Gepubliceerd: 23 juli 2017

In dit kort geding komt de eis van partijen, bestaand uit cliënten/actiegroep “Stop Benchmark met ROM”, LOC en KDVP, er op neer dat SBG de onrechtmatige verwerking van ROM-gegevens met onmiddellijke ingang moet staken en cliënten duidelijk moet informeren over de wijze waarop deze gegevensverwerking tot nu toe heeft plaatsgevonden. Deze informatieplicht houdt ook in dat SBG cliënten moet informeren over de actie zij onderneemt om onrechtmatig verwerkte gegevens alsnog te verwijderen of te doen verwijderen om de schade voor cliënten zo veel mogelijk te beperken.

 

De groep “Stop Benchmark met ROM” heeft geen bezwaar tegen het gebruik van ROM als een evaluatie-instrument binnen de individuele behandeling; in dat geval blijven de gegevens binnen het patiëntdossier van de behandelaar en worden zij niet zonder toestemming van de cliënt aan een derde, hier SBG, verstrekt.

 

De groep is wel tegen het gebruik van ROM-data voor andere doeleinden zoals benchmark, zorginkoop en toekomstig “onderzoek”. Voor zorginkoop zijn deze data overigens niet nodig en voor benchmarking zijn deze data niet geschikt.

Behalve de uitkomsten van de ROM-vragenlijsten krijgt SBG ook de “Minimale Data Set” van elke cliënt. Deze gegevens worden voor benchmarking gebruikt, maar ook bewaard in een “kluisje” om op een later moment gebruikt te kunnen worden voor “onderzoek”/andere doeleinden.

 

Tijdens de zitting kregen enkele (ex-)cliënten de gelegenheid om hun ervaringen en zorgen (tekst 1 en 2) met de rechter te delen waar het gaat om het feit dat gevoelige informatie op individueel niveau over hun behandeling zonder hun toestemming en zonder hun medeweten is ontvangen en verwerkt door SBG.

 

Hoewel de uitspraak in een kort geding normaal gesproken binnen twee weken wordt gedaan, heeft de rechter vanwege de complexiteit van deze materie aangegeven dat zijn uitspraak mogelijk pas na drie weken, uiterlijk begin augustus is te verwachten.

 

Hieronder een kritische reflectie op de zitting van de hand van mr. Ab van Eldijk, voorzitter van de stichting KDVP:

 

Een kort geding over een grote kwestie

Het is en blijft een even lastige als netelige kwestie: gegevensverwerking in de zorg met behoud van vertrouwelijkheid en met respect voor het medisch beroepsgeheim. Zo lijkt in de kwestie die op 13 juli 2017 in kort geding werd voorgelegd aan de rechter vrijwel door iedereen,  maar niet door de rechter,  een essentieel punt over het hoofd te worden gezien! Dit betreft het feit dat de uitkomsten van zogenaamde ROM(Routine Outcome monitoring)-vragenlijsten – op individueel niveau – naar Stichting Benchmark GGZ (SBG) worden verzonden SAMEN met de (alles behalve) minimale dataset (MDS) met gedetailleerde medische en sociaal economische informatie op individueel niveau. Dit is dezelfde MDS dataset die via de op computers van zorgverleners geïnstalleerde software eveneens automatisch en geruisloos vanuit patiëntdossiers naar het DBC-Informatie Systeem(DIS) wordt verzonden. Voor de ontvangst en verwerking van deze gegevens ontbreekt bij SBG, net als eerder is geconstateerd bij aanlevering aan het DIS, een wettelijke grondslag.

Zowel de minimale dataset als de uitkomsten van vragenlijsten worden bij SBG opgeslagen in een bestand dat zij de naam “kluisje” hebben gegeven. Deze gegevens liggen daar om later gebruikt te kunnen gaan worden voor “onderzoek”. En het is volstrekt onduidelijk voor welk soort onderzoek ze zullen worden gebruikt, of welke partijen betrokken zullen worden bij dergelijke onderzoeksprojecten, en over welke gegevens/databestanden samenwerkingspartijen bij een onderzoek zullen of kunnen beschikken (denk bijv. aan projecten die worden gestart via het Inlichtingenbureau). De beslissing over het gebruik van de data in het “kluisje” (gebruik voor “onderzoek”) ligt bij SBG.

Omdat deze gegevens bij onderzoek worden gebruikt voor een ander doel – de Wet bescherming persoonsgegevens(Wbp) vereist dat dit doel welomschreven is – dan waarvoor zij oorspronkelijk verzameld zijn, stelt SBG dat daarvoor elke keer toestemming zal worden gevraagd aan de zorgverlener. En laat SBG hier de plank nu helemaal mis slaan, aangezien zij kennelijk niet beseft dat een dergelijke toestemming niet aan zorgverleners moet worden gevraagd maar daarentegen aan patiënten/cliënten.
En het wordt nog erger vanwege het feit dat SBG kennelijk ook niet beseft dat deze toestemming vrijelijk moet worden verkregen en niet onder druk van het niet-vergoeden van behandelingen (niet contracteren zorgverleners indien norm voor doorgifte m.b.t. ROM-gegevens niet wordt gehaald).
Of het nu gaat om de aanlevering van gegevens aan SBG, aan het DIS, aan gemeenten en “onze ministers” in het kader van de jeugdzorg, dan wel om de verwerking van medische persoonsgegevens door zorgverzekeraars op basis van verwerkingsprocedures waarvan de rechter heeft bepaald dat deze geen juiste uitwerking vormen van het Wbp, in al deze gevallen zien we dat bij de opzet van informatiesystemen in de zorg op z’n zachts gezegd onvoldoende aandacht is besteed aan de privacy van patiënten/cliënten, aan de privacy van burgers.

Zo wordt heel geleidelijk via aanpassingen van verschillende wetten, regelingen en procedures voor gegevensverwerking de vertrouwelijkheid van de spreekkamer volledig opgeheven. Met volle steun van onze overheid wordt stap voor stap en liefst zo geruisloos mogelijk (of onder de noemer van verbetering “cliëntenrechten”) het medisch beroepsgeheim afgeschaft.  Om zonder de vereiste toestemming van patiënten het verwerken van medische gegevens door SBG te legitimeren heeft demissionair minister Schippers zich direct bereid verklaard om een “reparatiewetje” te maken om zo de toestemming van patiënten en het medisch beroepsgeheim te omzeilen door zorgverleners wettelijk te verplichten de verre van minimale MDS dataset “verrijkt” met informatie van ROM-vragenlijsten aan te leveren bij SBG.

Verdient het opheffen van vertrouwelijkheid en medisch beroepsgeheim in de zorg niet een serieus maatschappelijk debat en meer aandacht in de media? Is afschaffing van vertrouwelijkheid in de zorg nu echt wat we als burgers willen?

Gepubliceerd: 29 juni 2017

Onlangs hebben de samenwerkende partijen rond de beweging “Stop benchmark met ROM” besloten om naar de rechter te stappen. Deze groep “Stop benchmark met ROM” heeft op 24 mei jl. een formele “sommatiebrief” aan SBG gestuurd met het verzoek de gegevensverwerking met ROMdata te staken en bovendien de al in hun bezit zijnde data te vernietigen. In hun antwoord geeft SBG o.a. te kennen dat ROMdata volgens hen geen persoonsgegevens zijn en dat de Wet bescherming persoonsgegevens aldus niet van toepassing is.

 

Naar aanleiding van deze weigering van SBG om de verwerking van ROMdata te staken is er besloten tot een kortgeding. Inmiddels is bekend geworden dat de rechtszitting zal plaatsvinden op donderdag, 13-7, om 9:00 uur bij de Rechtbank Midden-Nederland te Utrecht.De vordering luidt dat SBG de verwerking van ROMdata moet staken, omdat deze verwerking in strijd is met de wet. Bovendien wordt geëist dat SBG alle ROMdata die reeds in hun bezit zijn zal vernietigen.

 

Het is een openbare zitting; mocht u tijd en gelegenheid hebben om aanwezig te zijn, dan zien we u daar graag!

 

Via deze link kunt u het persbericht dd 22-6-2017 lezen over het “waarom van het kortgeding”. Dagblad “Het Parool” heeft de kwestie al opgepikt en reageert als volgt:

  Mag een databank zomaar patiëntgegevens gebruiken? - Binnenland - PAROOL
Gepubliceerd: 08 mei 2017

De samenwerkende partijen rond de beweging “Stop benchmark met ROM” hebben besloten tot een kortgeding tegen de stichting SBG vanwege het verwerken en gebruiken van onrechtmatig verkregen ROMdata.

De verwerking van ROMdata is in strijd met de Wet bescherming persoonsgegevens en het Europees Verdrag voor de Rechten van de Mens. Waar het verzamelen van ROMgegevens aanvankelijk was bedoeld om de voortgang van specifieke behandeltrajecten inzichtelijk te maken, moeten ROMgegevens nu als beleidsinformatie worden aangeleverd bij SBG - een door zorgverzekeraars gefinancierde stichting - om te worden gebruikt voor benchmarking. En de uitkomsten hiervan zijn bepalend voor het inkoopbeleid van de zorgverzekeraar.

In een rapport van de Algemene Rekenkamer dd 26-1-2017 over de bekostiging van de curatieve geestelijke gezondheidszorg www.rekenkamer.nl wordt de conclusie getrokken dat de verzamelde ROMgegevens niet geschikt zijn om gebruikt te worden voor benchmarking in de GGZ. Dit betekent dat de stichting Benchmark GGZ (SBG) met doorbreking van privacy en beroepsgeheim tot personen herleidbare gegevens verwerkt terwijl dit noch zinvol noch noodzakelijk is.

In achterliggende periode hebben Minister, NZa en Autoriteit persoonsgegevens moeten erkennen dat de aanlevering van medische persoonsgegevens ten behoeve SBG, DIS en ARGUS onrechtmatig is. Inmiddels heeft demissionair minister Schippers gesuggereerd dat ze een “reparatiewet” wil maken om de aanlevering van ROM-gegevens aan SBG alsnog te legitimeren. Waar de aanlevering van medische persoonsgegevens niet noodzakelijk was en is voor dit beleidsinformatiesysteem, wil de minister dit alsnog mogelijk te maken middels een reparatiewet. Een dergelijke reparatiewet is onzinnig, onjuist en nietig wegens strijd met zowel het Europees Verdrag voor de Rechten van de Mens als met het Europees Handvest.

De KDVP is door de samenwerkende partijen rond de beweging “Stop benchmark met ROM” gevraagd om zich naast andere partijen formeel procespartij te stellen in het kortgeding over onrechtmatige verwerking van ROMgegevens door SBG. Onze stichting is een rechtspersoon die op grond van haar statuten als belanghebbende procespartij kan optreden in deze procedure. Voor de bekostiging van dit kortgeding is een bedrag van ongeveer €20.000, - nodig. Om dit voornemen uit te kunnen voeren wordt een financiële bijdrage van uw kant zèèr op prijs gesteld. U kunt uw donatie onder vermelding van “KG “ storten op de KDVP bankrekening NL51INGB0005343705.

Laten we het ijzer smeden nu het heet is!

Gepubliceerd: 29 maart 2017

Naar aanleiding van het rapport van de Algemene Rekenkamer dd 26-3-2017 "Bekostiging van de curatieve geestelijke gezondheid" en de brief van de Autoriteit Persoonsgegevens (AP) uit maart 2016, kan de minister er niet langer omheen dat de aanlevering van ROM-data aan de SBG onrechtmatig is. In haar antwoord op Kamervragen van de SP geeft ze dit feit op 23 maart jl. uiteindelijk toe. Het pseudonimiseren van gegevens leidt er wel toe dat privacyrisico’s worden verminderd, maar ze zijn niet geheel uit te sluiten. ROM-data kunnen door koppeling aan data in andere systemen tot “personen van vlees en bloed” worden. En dit is gebeurd zonder dat zorgverleners en cliënten hiervan op de hoogte waren.

De constatering dat de aanlevering van ROM-data aan SBG onrechtmatig is betekent niet alleen dat zorgverleners onmiddellijk moeten stoppen met de aanlevering van ROM-gegevens aan SBG, maar ook dat verwerkte, gekoppelde en doorgeleverde ROM-gegevens afkomstig van eerdere ROM-aanleveringen moeten worden vernietigd, zodat deze onrechtmatig verwerkte data niet verder kunnen worden gebruikt en/of doorgeleverd. Het is van belang dat SBG als verantwoordelijke voor deze onrechtmatige verwerkingen nu direct de logging gegevens beschikbaar maakt die inzicht geven in gebruik, koppeling en doorlevering van eerder verkregen ROM-gegevens.

Hier kunt u de Kamervragen van SP Kamerlid Renske Leijten lezen, die mede tot dit besluit van minister Schippers hebben geleid.

Hieronder twee artikelen over de onrechtmatige aanlevering van ROM-data aan SBG:

https://www.privacybarometer.nl/nieuws/3905/Schippers:_doorsluizen_medische_gegevens_GGZ_onrechtmatig 

https://www.zorgictzorgen.nl/minister-vws-erkent-onwettige-levering-rom-data-aan-sbg

 

Schippers opteert voor een even bedrieglijke als onrechtmatige “oplossing”

Nu zou minister Schippers zichzelf niet zijn als ze deze kwalijke, onrechtmatige praktijk niet via een omweg voort zou willen zetten. En dat is precies de bedoeling van de door haar voorgestelde “oplossing”: creëer met reparatiewetgeving alsnog een wettelijke grondslag voor de verplichte aanlevering van medische persoonsgegevens aan de SBG. Lees hierover: https://www.skipr.nl/actueel/id29927-schippers-wil-niet-tornen-aan-verplichting-rom-gebruik.html

Voor het ROM-informatiesysteem is de aanlevering van medische persoonsgegevens met doorbreking van het medisch beroepsgeheim niet noodzakelijk. Het plan van de minister om via reparatiewetgeving zorgverleners te verplichten medische persoonsgegevens aan te leveren voor ROM-procedures is in strijd met het Europees Verdrag voor de Rechten van de Mens (EVRM) en het Europees Handvest. Een dergelijk reparatiewetje is bijgevolg onverbindend.

Het wordt echt tijd dat eindelijk serieus wordt gewerkt aan veilige en effectieve informatiesystemen in de zorg opdat met behoud van beroepsgeheim en vertrouwelijkheid bij zorgverlening gegevens gericht kunnen worden uitgewisseld, verzameld, verwerkt en geanalyseerd op een manier die niet in strijd is met fundamentele waarden zoals vastgelegd in het EVRM. Een dergelijke “privacy-by-design” aanpak is eerder bepleit door zowel de regering als de Autoriteit Persoonsgegevens (voorheen CBP), maar helaas is het bij lippendienst gebleven. De huidige regelgeving en procedures voor informatieverwerking in de zorg staan haaks op het door regering en AP met de mond beleden uitgangspunt van “privacy-by-design”.

In samenwerking met ICT-experts zijn in de afgelopen tijd al eenvoudigere (en goedkopere)en veiligere systemen ontwikkeld voor informatieverwerking in de zorg. De minister heeft daar nooit van willen weten.

De “oplossing” van de minister is het maken van een “reparatiewetje” om een “verkeerd” ROM-systeem verplichtend te kunnen doorzetten. Dit is niet alleen juridisch onhoudbaar maar ook politiek gezien niets anders als beschamend volksbedrog.

Als de overheid de aanlevering van ROM-gegevens niet op een verplichtend “reparatiewetje” maar op toestemming van de cliënt wil gaan baseren, dan is ook dat een onbegaanbare weg aangezien het verlenen van verzekerde zorg door hulpverleners afhankelijk is van een bepaald percentage gegeven ROM-toestemmingen. In deze context kan geen sprake zijn van vrijwillig verleende toestemming.

 

De oplossing

De oplossing is simpel en betekent dat bij het uitwerken van aangepaste, realistische en valide ROM-procedures vastgehouden moet worden aan het bestaande uitgangspunt dat voor ROM-procedures geen medische gegevens op persoonsniveau aangeleverd hoeven te worden.

Gepubliceerd: 04 februari 2017

Rapport Algemene Rekenkamer maakt gehakt van ROMdata!

ROMdata zijn ongeschikt voor beoordeling kwaliteit van hulpverlening en bijgevolg is gebruik van deze data ONRECHTMATIG en in strijd met privacy en medisch beroepsgeheim

In een recent rapport van de Algemene Rekenkamer dd 26-1-2017 over de bekostiging van de curatieve geestelijke gezondheidszorg http://www.rekenkamer.nl wordt de conclusie getrokken dat de verzamelde ROMgegevens niet geschikt zijn om gebruikt te worden voor benchmarking in de GGZ. Dit heeft tot gevolg dat de stichting benchmark GGZ (SBG) met niet-noodzakelijke doorbreking van privacy en beroepsgeheim gegevens verwerkt. Vanwege het feit dat ROMdata niet geschikt zijn voor de beoordeling van de kwaliteit van de hulpverlening ten behoeve van benchmarking, is de niet zinvolle en niet noodzakelijke aanlevering van medische persoonsgegegevens onrechtmatig. De regelgeving over de wettelijk verplichte aanlevering van ROMdata aan SVR/SBG doet niets af aan deze conclusie. Ook die onderliggende regelgeving moet voldoen aan kernwaarden van het privacyrecht zoals vastgelegd in het Europees Verdrag voor de Rechten van de Mens (EVRM).

Eind januari 2017 is een petitie gestart om het aanleveren en verwerken van ROM-informatie te stoppen, nu de Algemene Rekenkamer heeft geconcludeerd dat op basis van ROMdata de kwaliteit van behandelingen niet kan worden vergeleken en daarmee ook niet kan worden gebruikt voor benchmarking. In de petitie staat letterlijk: “Al in 2012 werd door onder meer alle acht kernhoogleraren psychiatrie gewaarschuwd voor grootschalige invoering van deze ROM om de kwaliteit van behandelingen te vergelijken. Daarvoor is het totaal ongeschikt. Dit is nog weer eens bevestigd door een onafhankelijk rapport van de rekenkamer van 26 januari 2017”.

De KDVP wil deze petitie graag ondersteunen. Wij nodigen u van harte uit om de petitie te ondertekenen via deze link: http://stoprom.com 

Voor meer informatie over het standpunt van onze stichting met betrekking tot de onrechtmatigheid van aanlevering en verwerking van medische persoonsgegevens middels het “ROMMEN”, verwijzen wij hier graag zowel naar een artikel dd 3-2-2017 van niet praktiserend huisarts Wim Jongejan als naar onze brief aan Menno Oosterhof als een van de initiatiefnemers van de petitie, waarin wij onze steun geven aan de campagne “stoprom.com”.

Wij willen u vragen om dit bericht met het verzoek de petitie te tekenen naar zoveel mogelijk collega’s door te sturen.

Gepubliceerd: 22 januari 2017

Er is door zorgverzekeraars en NZa nog steeds geen procedure uitgewerkt die het mogelijk maakt om bij afgifte van een privacyverklaring digitaal te declareren zonder dat via het DBC tarief diagnose-informatie wordt verstrekt aan de zorgverzekeraar.

De KDVP heeft de Autoriteit Persoonsgegevens (AP) herhaaldelijk verzocht handhavend op te treden tegen zorgverzekeraars om alsnog een digitale declaratieprocedure te realiseren waarbij de diagnose niet kan worden herleid uit het gehanteerde tarief.

Omdat de AP het verzoek om handhavend op te treden heeft afgewezen loopt nu een beroepsprocedure bij de rechtbank Amsterdam. De behandeling van dit beroep is op 30 maart 2016 geschorst op verzoek van de AP om de toezichthouder maximaal 6 maanden de tijd te geven om alsnog onderzoek te doen en/of te laten doen naar de nu bestaande, niet effectieve digitale declaratie procedures, bedoeld om gebruikt te worden bij afgifte van een privacyverklaring. Nu, bijna een jaar later, heeft door uitstelgedrag van de toezichthouder nog steeds geen behandeling van deze zaak plaatsgevonden bij de Rechtbank Amsterdam.  Wel hebben zorgverzekeraars in het kader van de lopende beroepsprocedure gesteld dat zij bij afgifte van een privacyverklaring het gedeclareerde bedrag zullen uitbetalen zonder alsnog te vragen naar diagnose-informatie. Dat is om verschillende redenen feitelijk een onhoudbare werkwijze, maar wel een werkwijze die gevolgd kan worden in afwachting van een definitieve regeling.

Daarmee is het voor patiënten/cliënten en zorgverleners in de geestelijke gezondheidszorg nog steeds niet duidelijk op welke wijze bij zorgverzekeraars digitaal gedeclareerd kan worden bij afgifte van een privacyverklaring zonder dat er diagnose-informatie kan worden afgeleid uit het toepasselijke tarief.

Het is aan zorgverzekeraars en NZa - laatstgenoemde had er allang voor kunnen zorgen dat de tarieven die zeer dicht bij elkaar liggen niet langer “DBC specifiek” zijn - om een effectieve digitale declaratieprocedure op te stellen waarmee uitvoering wordt gegeven aan de eerdere uitspraak van het CBb uit 2010.

Nu de bestaande niet-effectieve digitale declaratieprocedures nog steeds niet zijn aangepast, kunnen wij slechts verwijzen naar (privacyproof) tarievenlijsten 2016 en 2017 met niet eenduidig herleidbare tarieven, zoals deze door een collega aan ons zijn toegestuurd.

Hieronder staan beide privacyproof lijsten vermeld:

Tarievenlijst 2016

Tarievenlijst 2017