Uitgelicht

Een groep maatschappelijke organisaties, bestaande uit het Nederlands Juristen Comité voor de Mensenrechten (NJCM), Stichting Privacy First, Stichting Platform Bescherming Burgerrechten, Stichting KDVP en de Landelijke Cliëntenraad hebben de staat aangeklaagd vanwege het risico profileringsysteem SyRI. De auteur Tommy Wieringa en publicist/filosoof Maxim Februari hebben zich op persoonlijke titel als eisers aangesloten.

Deze coalitie van eisers is van mening dat SyRI een regelrechte bedreiging vormt voor onze democratische rechtsstaat, omdat de profilering van burgers op basis van SyRI in strijd is met het recht op privacy zoals neergelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Doel van de rechtszaak is het doen stoppen van de risicoprofilering van ONverdachte burgers in Nederland. De voorbereiding van deze aanklacht heeft in 2017 plaatsgevonden en uiteindelijk is op 27 maart jl. de dagvaarding uitgebracht en is de staat formeel aangeklaagd. De volledige dagvaarding is te raadplegen op de website van Deikwijs Advocaten www.deikwijs.nl.

 Het Systeem Risico Indicatie van het ministerie van SZW maakt het mogelijk om persoonsgegevens van onverdachte burgers uit allerlei databanken te koppelen. Met behulp van geheime - voor iedereen onbekende – algoritmen vindt een risico-analyse van burgers plaats. Wanneer volgens SyRI sprake is van een verhoogd risico kunnen burgers worden opgenomen in het Register Risicomelding. Dit register is door een groot aantal instanties in te zien.

Het is echter onduidelijk welke gegevens voor welk soort risico-analyses worden gebruikt, ook onduidelijk is welke analyses worden uitgevoerd en wat een burger precies tot een risico maakt. Het is voor burgers onmogelijk om te achterhalen hoe een risicomelding tot stand is gekomen en bijgevolg is het ook niet mogelijk om een onjuiste melding te weerleggen. Bovendien zijn onvoldoende waarborgen gerealiseerd om te voorkomen dat de risicoprofielen die SyRI over burgers maakt vervolgens worden ingezet in andere domeinen. SyRI wordt dan ook getypeerd als een “Black Box” voor het profileren van burgers.

In 2014 is de wetgeving voor SyRI goedgekeurd door zowel de Tweede als Eerste Kamer ondanks fundamentele bezwaren van de Raad van State en de Autoriteit Persoonsgegevens over de rechtmatigheid van het systeem. Vanaf dat moment zijn er al talloze wijken in Nederlandse steden met behulp van SyRI doorgelicht.

Parallel aan en in samenhang met de huidige juridische procedure tegen de Nederlandse staat is op 19 januari jl. de publiekscampagne (www.bijvoorbaatverdacht.nl) van start gegaan met een kick-off bijeenkomst in “De nieuwe liefde” te Amsterdam. Deze campagne heeft als doel een publieke discussie op gang te brengen over de profilering van burgers door de overheid en de invloed die dit kan hebben op fundamentele rechten en vrijheden die de grondslag vormen van onze democratische rechtsstaat.

De LVVP heeft haar leden in een recent nieuwsbericht laten weten, dat de automatische aanlevering van ROMdata aan SBG via SVR (Stichting Vrijgevestigden ROMmen) per 20 maart op “niet aanleveren” is gezet. Vervolgens is er onlangs door de LVVP een “switch” gerealiseerd waarmee vrijgevestigde hulpverleners zelf kunnen kiezen of ze wel/niet ROMdata aanleveren aan SBG. Vanaf 28 maart is het in principe mogelijk om de switch zelf weer op “aanleveren” te zetten.

Met dit besluit wordt de verantwoordelijkheid voor de aanlevering van ROMdata aan SBG neergelegd bij de individuele hulpverlener. Hoewel dat op zich geen verkeerde keuze is, is de technische maatregel die in dit LVVP nieuwsbericht wordt aangekondigd onjuist, onvolledig en in strijd met de wet. In de eerste plaats moet deze maatregel technisch op zodanige wijze worden uitgevoerd dat het mogelijk is om per cliënt aan te geven of toestemming is verkregen voor aanlevering van ROMdata. Daarnaast had de LVVP haar leden er nadrukkelijk op moeten wijzen dat hervatting van aanlevering van ROMdata alleen mogelijk is als de cliënt daarvoor voorafgaand expliciet toestemming heeft verleend.

Zonder de expliciete geïnformeerde toestemming van de cliënt is aanlevering van ROMdata alsnog onrechtmatig. In een dergelijk geval lopen vrijgevestigde hulpverleners het risico door cliënten te worden aangeklaagd vanwege het feit dat zij bij aanlevering van ROMdata - ROM-vragenlijsten èn complete MDS dataset - in strijd handelen met hun medisch beroepsgeheim. Het is aan de LVVP om het nieuwsbericht over deze switch/maatregel zo snel mogelijk aan te passen om te voorkomen dat hun leden worden geconfronteerd met een “terechte” aanklacht van de kant van de cliënt.

Actiecomité “StopbenchmarkmetROM” stuurt oproep aan bestuurders en cliëntenraden van alle GGZ instellingen om de aanlevering van ROMdata op basis van “veronderstelde toestemming” aan de Stichting Benchmark GGZ (SBG) te staken. Onze stichting KDVP ondersteunt dit initiatief van harte.

In oktober 2017 is er door GGZ Nederland een advies uitgebracht aan de GGZ instellingen die eerder besloten hadden het aanleveren van ROM-data (tijdelijk) op te schorten om die bewuste aanlevering aan de Stichting Benchmark GGZ te hervatten op basis van veronderstelde toestemming.

Naar aanleiding van het rapport van de Algemene Rekenkamer dd 26-3-2017 (www.rekenkamer.nl/Publicaties/ Onderzoeksrapporten/Introducties/2017/01/ Bekostiging_van_de_curatieve_geestelijke_gezondheid) en de brief van de Autoriteit Persoonsgegevens (AP) uit maart 2016, heeft de minister in maart 2017 zelf moeten toegeven dat de aanlevering van ROM-data aan de Stichting Benchmark GGZ onrechtmatig is. Ook na pseudonimisering van de aangeleverde medische gegevens kunnen ROM-data door koppeling aan andere data eenvoudig  worden herleid tot “personen van vlees en bloed”.  En dit is ruimschoots gebeurd zonder dat cliënten hiervan op de hoogte waren.

Het feit dat GGZ Nederland gekozen heeft voor het hervatten van aanlevering op basis van “veronderstelde toestemming” duidt er overigens op dat men wel degelijk beseft dat het bij deze aanlevering om persoonsgegevens gaat.

Om deze data te mogen doorleveren aan derde partijen die niet bij de behandeling zijn betrokken zoals ZorgTTP/SBG, is echter expliciete toestemming van de cliënt vereist.

Het actiecomité “StopbenchmarkmetROM” heeft op 14 maart jl. de bestuurders van alle GGZ instellingen per aangetekende brief gesommeerd om het aanleveren van ROM-data alsnog te staken. Hier kunt u de brief aan bestuurders van de GGZ instellingen vinden.

Op 15 maart is er een aangetekende mail uitgegaan naar de cliëntenraden van diezelfde GGZ instellingen met daarin opgenomen een kopie van de hierboven vermelde brief aan de besturen. Volgens de Wet medezeggenschap cliënten zorginstellingen (Wmcz) moeten cliëntenraden betrokken worden bij beslissingen die te maken hebben met deze aanlevering van medische gegevens aan ZorgTTP/SBG.

Hier vind U een persbericht van het actiecomité “StopbenchmarkmetROM”over dit initiatief:

Persbericht: GGZ-zorgbestuurders gesommeerd te stoppen met aanlevering van bijzondere persoonsgegevens aan SBG – Stop Benchmark met ROM

Onlangs verscheen over dit onderwerp een artikel van de hand van niet-praktiserend huisarts W.J. Jongejan getiteld: “Besturen van GGZ-instellingen de wacht aangezegd over ROMdata”.

Op 19-1 vond in debatcentrum “De nieuwe liefde” te Amsterdam de startbijeenkomst plaats van de publiekscampagne “Bij Voorbaat Verdacht”. Deze publiekscampagne wil aandacht vragen voor het grootschalig verzamelen, koppelen en analyseren van informatie door de overheid om burgers te kunnen profileren.

Tijdens de lancering van de publiekscampagne “Bij Voorbaal Verdacht” (www.bijvoorbaatverdacht.nl) op 19 januari hebben o.a. Tommy Wieringa, Maxim Februari, hoogleraar theoretische sterrenkunde Vincent Icke en hoogleraar aan de Universiteit Groningen Aline Klingenberg zeer interessante voordrachten gehouden over de profilering van burgers door “onze” overheid.

Met de kick off van de publiekscampagne “Bij Voorbaat Verdacht” werd ook de start aangekondigd van een juridische procedure tegen het Systeem Risico Indicatie (SyRI).

In 2018 zal het Platform Bescherming Burgerrechten (www.platformburgerrechten.nl)samen met een aantal andere privacy organisaties een juridische procedure starten tegen het gebruik van SyRI voor het op grote schaal koppelen en analyseren van informatie met als doel burgers te kunnen profileren. Ook de stichting KDVP is officieel procespartij. Deze procedure is in 2017 voorbereid in samenwerking met Public Interest Litigation Project (PILP) van het NJCM (Nederlands Juristen Comité Mensenrechten) en Deikwijs advocaten.

Op de site van de publiekscampagne is tevens een interview met Tommy Wieringa bij Jinek te zien waarin hij waarschuwt voor het risico op onnodige inbreuken op onze privacy door de wet Systeem Risico Indicatie (SyRI). 

Zoals u in een eerder nieuwsbericht hebt kunnen lezen, heeft Bits of Freedom (www.bof.nl) in 2017 opnieuw de uitreiking van de Big Brother Awards georganiseerd. Hiermee beoogt men overheid, personen, organisaties en/of bedrijven die zich in het afgelopen jaar schuldig hebben gemaakt aan privacyschendingen op humoristische en ludieke wijze in een theatershow te confronteren met hun privacy schendend handelen. Op 11 december 2017 vond in de stadsschouwburg te Amsterdam de uitreiking van de awards plaats.

Er zijn 3 prijzen mogelijk; de publieksprijs, expertprijs en de Felipe Rodriquez Award. De eerste twee prijzen zijn voor de privacyschenders bij uitstek en de laatstgenoemde prijs is juist een lovende prijs voor diegene die zich heel erg heeft ingezet voor bescherming van de privacy in het afgelopen jaar.

De 3 genomineerden voor de publieksprijs - gekozen uit door het publiek naar voren geschoven kandidaten - waren het kabinet, Sybrand Buma en GGZ Nederland.

GGZ Nederland kreeg de nominatie vanwege haar oproep om privacygevoelige informatie van cliënten/patiënten – zonder hun toestemming en meestal zonder hun medeweten– te delen met andere partijen die niet bij de behandeling zijn betrokken. Het gaat hier ondermeer (naast aanlevering van MDS data aan DIS) om gegevens uit ROM-vragenlijsten die door cliënten/patiënten zijn ingevuld om de voortgang van de behandeling te evalueren. Zolang deze data in het patiëntendossier van de zorgverlener blijven, is er niets aan de hand. Deze data moeten echter door de zorgverlener vanaf januari 2017 verplicht worden opgestuurd naar een derde partij, te weten de Stichting Benchmark GGZ (ofwel SBG), die niets met de behandeling op zich te maken heeft. Cliënten/patiënten worden doorgaans niet om hun expliciete, geïnformeerde toestemming gevraagd.

Sybrand Buma werd tot genomineerde gekozen vanwege zijn uitlating dat het kabinet een negatieve uitslag van het in maart 2018 te houden referendum over de Wet op de Inlichtingen en Veiligheidsdiensten (WIV) maar moet negeren en dient door te gaan met het zo snel mogelijk invoeren van de bewuste wet.

Ons kabinet is door de jury echter tot absolute winnaar van de publieksprijs uitgeroepen. Vicepremier Kajsa Ollongren was op de uitnodiging om aanwezig te zijn ingegaan en nam de Big Brother Award 2017 persoonlijk in ontvangst. Het kabinet kreeg deze prijs uitgereikt vanwege het doordrukken van de nieuwe Wet op de Inlichtingen en Veiligheidsdiensten (WIV), ook wel “sleepwet” genoemd. De reden dat het kabinet deze prijs kreeg toegekend lag vooral in het feit dat alle kritiek van burgers, maatschappelijke organisaties als ook adviesorganen structureel werd genegeerd of gebagatelliseerd. David Korteweg van Bits of Freedom noemde het kabinet daarom een “terechte winnaar”. “De stem van de kiezer wordt bij voorbaat uitgesloten. Die moet je juist serieus nemen.”

De Felipe Rodriquez Award -bedoeld voor personen die zich juist inzetten voor het bevorderen van de privacy - werd dit jaar toegekend aan journaliste Kashmir Hill, die veel over technologie en privacy schrijft. Naar de mening van Bits of Freedom “maakt zij de privacyproblematiek op originele en begrijpelijke manier inzichtelijk”.

Naar aanleiding van het rapport van de Algemene Rekenkamer dd 26-3-2017 http://www.rekenkamer.nl/Publicaties/ Onderzoeksrapporten/Introducties/2017/01/ Bekostiging_van_de_curatieve_geestelijke_gezondheid en de brief van de Autoriteit Persoonsgegevens (AP) uit maart 2016, kan de minister er niet langer omheen dat de aanlevering van ROM-data aan de SBG onrechtmatig is. In haar antwoord op Kamervragen van de SP geeft ze dit feit op 23 maart jl. uiteindelijk toe. Het pseudonimiseren van gegevens leidt er wel toe dat privacyrisico’s worden verminderd, maar ze zijn niet geheel uit te sluiten. ROM-data kunnen door koppeling aan data in andere systemen tot “personen van vlees en bloed” worden. En dit is gebeurd zonder dat zorgverleners en cliënten hiervan op de hoogte waren.

De constatering dat de aanlevering van ROM-data aan SBG onrechtmatig is betekent niet alleen dat zorgverleners onmiddellijk moeten stoppen met de aanlevering van ROM-gegevens aan SBG, maar ook dat verwerkte, gekoppelde en doorgeleverde ROM-gegevens afkomstig van eerdere ROM-aanleveringen moeten worden vernietigd, zodat deze onrechtmatig verwerkte data niet verder kunnen worden gebruikt en/of doorgeleverd. Het is van belang dat SBG als verantwoordelijke voor deze onrechtmatige verwerkingen nu direct de logging gegevens beschikbaar maakt die inzicht geven in gebruik, koppeling en doorlevering van eerder verkregen ROM-gegevens.

Hier kunt u de Kamervragen van SP Kamerlid Renske Leijten lezen, die mede tot dit besluit van minister Schippers hebben geleid.

Hieronder twee artikelen over de onrechtmatige aanlevering van ROM-data aan SBG:

https://www.privacybarometer.nl/nieuws/3905/Schippers:_doorsluizen_medische_gegevens_GGZ_onrechtmatig 

https://www.zorgictzorgen.nl/minister-vws-erkent-onwettige-levering-rom-data-aan-sbg

Schippers opteert voor een even bedrieglijke als onrechtmatige “oplossing”

Nu zou minister Schippers zichzelf niet zijn als ze deze kwalijke, onrechtmatige praktijk niet via een omweg voort zou willen zetten. En dat is precies de bedoeling van de door haar voorgestelde “oplossing”: creëer met reparatiewetgeving alsnog een wettelijke grondslag voor de verplichte aanlevering van medische persoonsgegevens aan de SBG. Lees hierover: https://www.skipr.nl/actueel/id29927-schippers-wil-niet-tornen-aan-verplichting-rom-gebruik.html

Voor het ROM-informatiesysteem is de aanlevering van medische persoonsgegevens met doorbreking van het medisch beroepsgeheim niet noodzakelijk. Het plan van de minister om via reparatiewetgeving zorgverleners te verplichten medische persoonsgegevens aan te leveren voor ROM-procedures is in strijd met het Europees Verdrag voor de Rechten van de Mens (EVRM) en het Europees Handvest. Een dergelijk reparatiewetje is bijgevolg onverbindend.

Het wordt echt tijd dat eindelijk serieus wordt gewerkt aan veilige en effectieve informatiesystemen in de zorg opdat met behoud van beroepsgeheim en vertrouwelijkheid bij zorgverlening gegevens gericht kunnen worden uitgewisseld, verzameld, verwerkt en geanalyseerd op een manier die niet in strijd is met fundamentele waarden zoals vastgelegd in het EVRM. Een dergelijke “privacy-by-design” aanpak is eerder bepleit door zowel de regering als de Autoriteit Persoonsgegevens (voorheen CBP), maar helaas is het bij lippendienst gebleven. De huidige regelgeving en procedures voor informatieverwerking in de zorg staan haaks op het door regering en AP met de mond beleden uitgangspunt van “privacy-by-design”.

In samenwerking met ICT-experts zijn in de afgelopen tijd al eenvoudigere (en goedkopere)en veiligere systemen ontwikkeld voor informatieverwerking in de zorg. De minister heeft daar nooit van willen weten.

De “oplossing” van de minister is het maken van een “reparatiewetje” om een “verkeerd” ROM-systeem verplichtend te kunnen doorzetten. Dit is niet alleen juridisch onhoudbaar maar ook politiek gezien niets anders als beschamend volksbedrog.

Als de overheid de aanlevering van ROM-gegevens niet op een verplichtend “reparatiewetje” maar op toestemming van de cliënt wil gaan baseren, dan is ook dat een onbegaanbare weg aangezien het verlenen van verzekerde zorg door hulpverleners afhankelijk is van een bepaald percentage gegeven ROM-toestemmingen. In deze context kan geen sprake zijn van vrijwillig verleende toestemming.

De oplossing

De oplossing is simpel en betekent dat bij het uitwerken van aangepaste, realistische en valide ROM-procedures vastgehouden moet worden aan het bestaande uitgangspunt dat voor ROM-procedures geen medische gegevens op persoonsniveau aangeleverd hoeven te worden.