Print 🖨 PDF 📄 eBook 📱

Disproportionele dataverzameling NZa en onterecht data delen

disproportioneleRecent, op 1 juli 2022, ging de verplichting in voor zorgverleners in de GGZ om grote hoeveelheden zorgdata op te sturen vanwege een nieuw bekostigingsmodel. Ik scheef daar op 22 juni 2022 en op 24 juni 2022 kritische artikelen over. De Nederlandse Zorgautoriteit(NZa) blijkt echter niet altijd netjes om met aan haar toevertrouwde gegevens om te gaan. Afgelopen week, op 29 juni 2022, maakte de NZa bekend dat uit intern onderzoek bleek dat ze meer persoonsgegevens dan toegestaan heeft gedeeld met partners van het Informatie Knooppunt Zorgfraude (IKZ). Het gaat om persoonsgegevens uit 388 meldingen die bij de NZa zijn gedaan door mensen bij een vermoeden van zorgfraude. De NZa zegt de Autoriteit Persoonsgegevens ingelicht te hebben en is per direct gestopt met het delen van de signalen. Los daarvan heeft de NZa in het verleden onterecht DIS-data uitgewisseld met derden, nl. met VWS en het Centraal Planbureau.

DIS-data

Bij deze data gaat het om zorgdata die de NZa verzamelde in het DBC-Informatie-Systeem. DBC staat voor DiagnoseBehandelCombinatie. De informatie in het DIS gebruikt de NZa voor de berekeningen rond de bekostiging van de zorg. In de GGZ moest de zorgverlener tot voor kort DSM-informatie opsturen. De DSM staat voor Diagnostic and Statistical Manual of Mental Disorders en is een manier om in de geestelijke gezondheidszorg diagnoses administratief vast te leggen. Per 1 juli 2022 moet het zorgprestatiemodel met het opsturen van HONOS+ scoringslijsten richting de NZa het opsturen van de DSM-informatie gaan vervangen.

Onterecht data delen

Al bijna 10 jaar probeert de burgerrechtenvereniging Vrijbit aan de kaak te stellen dat de NZa in het verleden onterecht bijzondere persoonsgegevens deelde met derden. Zowel aan het ministerie van VWS en het Centraal Planbureau leverde de NZa in het verleden onterecht DIS-data. Bij die data ging het om gepseudonimiseerde persoonsgegevens die sinds 2014 gewoon te beschouwen zijn als bijzondere persoonsgegevens. Vrijbit vroeg de Autoriteit Persoonsgegevens(AP) te handhaven. Het afwijzende standpunt noopte Vrijbit tot de gang naar de rechter. Na lang afwijzen bleek toen Vrijbit richting Raad van State ging dat de AP wel, maar nu halfhartig, wil handhaven richting VWS. Die wil onterecht van de NZa verkregen dat niet volledig vernietigen. VWS beweert namelijk dat die data onmisbaar zijn voor haar beleid. De AP vindt dat dan wonderlijk genoeg acceptabel.

HONOS+         

Het brede opvragen van informatie door de NZa middels HONOS+ scoringslijsten lijkt erg op de oude situatie waarin het DIS(=NZA) de volledige DSM informatie ontving. De AP heeft daar later bezwaar tegen gemaakt en gezegd dat alleen informatie op niveau van DSM-hoofddiagnoses opgevraagd en verwerkt mocht worden.  Daarnaast speelt in de DIS procedure van Vrijbit (ligt nog steeds voor bij de Raad van State) naast de noodzakelijkheid van data aanlevering aan NZa de vraag in hoeverre doorlevering van DIS-data/medische persoonsgegevens aan andere partijen, die zeggen deze gegevens op persoonsniveau nodig te hebben voor een bepaalde onderzoeksvraag, als noodzakelijk kan worden aangemerkt. Daarbij speelt de vraag of het doorleveren van data door de NZa aan derden wel noodzakelijk is, omdat een minder inbreuk makende werkwijze(subsidiariteit) mogelijk is. De NZa zegt de data nodig te hebben als beleidsondersteuning. Voor dat doel is in principe niet centrale informatie op persoonsniveau nodig.

Loze dataminimalisatie

Bij het verzamelen van persoonsgegevens dient men altijd zich af te vragen of hetzelfde met minder data ook kan. Dat heet de dataminimalisatie. De NZa stelt dat men ten aanzien van de dataverzameling bij het zorgprestatiemodel gekeken heeft naar de noodzakelijkheid, de proportionaliteit, de subsidiariteit en de minimalisatie van de impact op de privacy van de patiënt.. Over de eerste drie begrippen had ik het hierboven al. Zodra de NZa een systeem kiest waarbij men veel data noodzakelijk acht, stelt het begrip dataminimalisatie daarna op voorhand weinig voor. Immers als je veel data noodzakelijk acht voor je systeem kan je daarna moeilijk gaan toegeven dat het met minder data ook kan.

Privacyverklaring is een recht, geen gunst

Door het tekenen van de privacyverklaring kan de patiënt/cliënt uit de GGZ voorkomen dat er geen medische persoonsgegevens, zoals de inhoud van de HONOS+-lijst, door de zorgverlener gedeeld wordt met zorgverzekeraars of NZa. Het is nadrukkelijk geen gunst van de NZa of van de zorgverzekeraar maar een recht dat het gevolg is van een uitspraak van het College van Beroep voor het Bedrijfsleven op 2 augustus 2010. De privacyverklaring is een afspraak tussen de zorgverlener en de cliënt waarmee die vastleggen dat de zorgverlener geen medische persoonsgegevens deelt met zorgverzekeraars of NZa. Deze verklaring heeft betrekking op de relatie cliënt-zorgverlener en vormt een onderdeel  van de vertrouwensrelatie tussen die twee. Het is in genen dele een afspraak met of een gunst van zorgverzekeraars of de NZa.

W.J. Jongejan, 5 juli 2022

Afbeelding van Gerd Altmann via Pixabay