Aparte uitspraken van SBG over anonimiseren, privacy en toestemming patiënt
Op donderdag 14 september 2017 organiseerde het Landelijk Overleg Cliëntenraden(LOC) een bijeenkomst voor cliëntenraden over het gebruik van ROM in de geestelijke gezondheidszorg(GGZ). Het LOC maakte er een verslag van. Over het gebruik van data van Routine Outcome Monitoring(ROM) is sinds januari 2017 veel te doen. Ik schreef er meerdere keren over(A, B, C, D, E, F). Overheid en zorgverzekeraars hebben bedacht dat ROM-gegevens, die door eigenlijk bedoeld zijn om op individueel niveau tussen patiënt en therapeut de voortgang van de therapie te evalueren, te gaan gebruiken om kwaliteit van zorg te meten. De data worden dan gebruikt voor zogeheten benchmarking(vergelijken van zorgaanbieders), maar ook voor zorginkoop. Tijdens die bijeenkomst, waar schrijver dezes bij aanwezig was, deden de directeur van de Stichting Benchmark GGZ(SBG), Maarten Erenstein en professor Edwin de Beurs, hoogleraar Routine Outcome Monitoring en benchmarking, en tevens hoofd wetenschappelijk onderzoek bij SBG, enkele opmerkelijke uitspraken over privacy, de toestemmingsverlening door de patiënt en over het “ vrijwel geanonimiseerd” zijn van de verzamelde data.
Persoonsgegevens en herleidbaarheid
Los van de vraag of ROM-data überhaupt geschikt zijn voor benchmarking en zorginkoop is er over de ROM-data die door SBG verzameld worden de nodige reuring ontstaan. De data worden dubbel gepseudonimiseerd door SBG verwerkt. Ze dienen door het standpunt van de artikel 29 werkgroep van privacy-toezichthouders in de Europese Unie echter ondanks de pseudonimisering beschouwd te worden als bijzondere persoonsgegevens. SBG heeft bij monde van haar directeur bij herhaling laten weten dat men de vraag of het al dan niet persoonsgegevens zijn een lastige te vinden, omdat naar het oordeel van SBG de gedachten daarover bij de Nederlandse toezichthouder, de Autoriteit Persoonsgeggevens, in het verleden ook wisselden. Voor het verwerken van de ROM-data is expliciete toestemming van de patiënt nodig en dat is bij de ROM-data veelal niet gebeurd. De rechter in het kort geding dat de werkgroep StopBenchmarkmetROM had aangespannen vond de vraag of de ROM-data tot individuen herleidbaar waren te ingewikkeld om in het geding te beoordelen. Indien het in plaats van (dubbel) gepseudonimiseerde gegevens om volledig geanonimiseerde data zou gaan, is de herleidbaarheid onmogelijk.
Vrijwel anoniem?
Tijdens de bijeenkomst bij het LOC hadden zowel Maarten Erenstein als Edwin de Beurs het bij herhaling over “vrijwel anonieme” gegevens. Daarmee suggererend, dat er geen sprake is van herleidbaarheid tot een individu. Dubbel pseudonimiseren leidt echter niet tot “vrijwel anoniem”. Dat laatste bestaat ook niet. Data zijn anoniem of zijn niet anoniem, maar een beetje of vrijwel anoniem bestaat niet. Het is hetzelfde als het begrip steriliteit bij operaties. “Vrijwel steriel” of “een beetje steriel” bestaat niet. In de discussie is een dergelijk woordgebruik beslist niet correct.
Toestemming
Over de toestemmingsverlening door de patiënt werd tijdens de bijeenkomst lang gediscussieerd. Veel van de aanwezige vertegenwoordigers van cliëntenraden waren het er over eens dat toestemming onontbeerlijk is voor het verwerken van ROM-data. De minister van VWS had recent trouwens al in een antwoord op Kamervragen duidelijk gemaakt dat een patiënt het recht had doorlevering van ROM-data aan SBG te weigeren. De directeur van SBG, Maarten Erenstein verzuchtte tijdens de gedachtewisseling hardop of het niet mogelijk was het hele proces zo in te richten dat het verlenen van toestemming van de patiënt geen issue meer zou zijn. Dat is een zeer opmerkelijke gedachtegang. Die gaat er vanuit dat het verlenen van toestemming op te heffen zou zijn door voorlichting etc. De gedachte ontkent volledig het recht van de patiënt om te mogen weigeren mee te werken aan het verzamelen van ROM-data door SBG.
Privacy
De directeur van SBG verbaasde mij nogal toen hij zijn verbazing uitsprak over het gemak waarmee mensen aan bedrijven op het internet toestemming geven om persoonsgegevens vast te leggen en te verwerken, maar dat er nogal moeilijk wordt gedaan als het gaat om ROM-data die SBG verzamelt. Het is echter niet aan SBG om voor de patiënt te bepalen waar die al dan niet toestemming voor geeft. Dat bepaalt de burger zelf wel en kan inhouden dat SBG buiten de boot valt. Ook uit de mond van de directeur van SBG viel op te tekenen dat hij het gebruik van anonieme zorgdata om daarmee de kwaliteit van de zorg te verbeteren toe zou juichen. Het probleem is echter dat SBG helemaal geen anonieme data verzamelt en bewerkt, maar (dubbel) gepseudonimiseerde. Die staan toe dat er sprake kan zijn van herleidbaarheid naar een individu bijvoorbeeld als gebruik gemaakt wordt van intelligente koppelingen met andere databases.
Waardeloos
Bovenstaande tekst laat zien hoe binnen SBG gedacht wordt over anonimiteit van data, privacy en de toestemming van patiënten als het gaat om het verzamelen van ROM-data. Het moge duidelijk zijn dat de uitlatingen c.q. opvattingen van de vertegenwoordigers van SBG tot doel hebben de verzameling van ROM-data gewoon doorgang te laten vinden. Op dit moment is het nog steeds zo dat het advies van GGZ Nederland om vooralsnog geen ROM-data aan te leveren aan SBG van kracht is. Het betekent de facto dat op dit moment naar schatting een derde van de data aangeleverd wordt vergeleken met begin 2017. Het betekent ook dat er nimmer sprake kan zijn van enige representativiteit van de in 2017 uitgevoerde berekeningen op wel aangeleverde data.
Ze zijn dus waardeloos.
W.J. Jongejan.
Recente reacties