Greep naar macht in zorginformatieketen door zorgverzekeraars gepermitteerd door VWS
Door steeds meer zaken rond de zorginformatieketen te (willen) beleggen bij het private VZVZ zorgt Zorgverzekeraars Nederland(ZN) voor steeds grotere grip op die keten. VZVZ is de Vereniging van Zorgaanbieders voor Zorgcommunicatie, die verantwoordelijk is voor het Landelijk SchakelPunt(LSP). Deze vereniging heeft ZN als enige financier. De meest recente ontwikkeling is het officieel willen onderbrengen van een Zorgadresboek(Zorg-AB) in een centrale database, bij VZVZ. Met het Zorg-AB wil VZVZ een voorziening maken waarin zorgadres-informatie opgeslagen ligt van alle zorgverleners/zorgaanbieders met als doel medische gegevens veilig te kunnen uitwisselen. Een centralistisch systeem, ondergebracht bij VZVZ, is met de huidige stand van zaken echt niet nodig om veilig zorgdata uit te wisselen. Een gedistribueerd systeem, zonder centrale database, vormt een reëel alternatief. Meerdere partijen in de zorgICT buiten VZVZ, waaronder bijv. de stichting NUTS, waarin nogal wat ZORG-ICT bedrijven gebundeld zijn, en Whitebox Systems huldigen dat standpunt.
Zoethoudertje
Het Informatieberaad Zorg opent op 18 december 2020 een open consultatieronde over het idee om een centrale Zorg-AB-voorziening bij VZVZ onder te brengen. De vraag die men stelt is deze
”De kernvraag van de open consultatie is: komt ZORG-AB tegemoet aan de wensen en eisen van het zorgveld en voldoet het aan de behoefte? “
Om dan in de volgend alinea te zetten:
“In het Informatieberaad is reeds besloten ZORG-AB als (voorlopige) gemeenschappelijke voorziening in te zetten.”
En wat lezen we in het document “Opname van Zorg-AB als bouwsteen in het duurzaam informatiestelsel op pagina 7:
“3.1.f Versie, vaststellingsdatum en status:
ZORG-AB kent inmiddels versie 2.6.5 per 9 december 2020 en is operationeel. De roadmap voor de komende maanden is vastgesteld.”
Men vraagt dus, terwijl het Informatieberaad(opererend onder auspiciën van het ministerie van VWS) al een keuze gemaakt heeft, en het ZORG-AB al operationeel is, advies aan het veld.
Centrale opzet=controle en macht
Wat we zien gebeuren is dat via het Informatieberaad(lees: VWS) door VZVZ(lees: Zorgverzekeraars Nederland) men telkens kiest voor grote centrale databases. Eerst het centrale LSP-index-computersysteem, daarna een centraal toestemmingenregister Mitz, en nu weer een centraal systeem voor het Zorg-AB. Voor al die keuze bestaan decentrale alternatieven die men nimmer uitvoerde en weg moffelt. Men houdt ze het liefst weg van politieke bemoeienis, in de wetenschap dat plotse politisering van deze constructen de ondergang ervan kan betekenen. Bij decentrale organisatie is het niet mogelijk voor ZN om controle te houden over de zorginformatieketen. Controle betekent macht. Bijv. om zorgverleners/zorgaanbieders te dwingen gebruik te systemen door het op te leggen als de facto standaard. Het creëert weer een monopolist. Bovendien speelt het probleem van het weer introduceren van een single point of failure. Bij een geslaagde hack-poging zal het hele systeem uitvallen. Een centrale opzet maakt ook een man-in-the-middel aanval mogelijk.
Wat valt onder zorgadres?
In het stuk dat VZVZ bij de internet-consultatieronde ter inzage aanbiedt, blijkt VZVZ geen eenduidige omschrijving te geven van alles wat onder het begrip zorgadres valt. Op veel plaatsen staan zorgadressen al dan niet elektronisch opgeslagen in computersystemen. Voorbeelden zijn daarbij het UZI-register van de overheid en de AGB-code-registratie bij Vektis, het informatiecentrum van ZN. Meerdere overheidsorganisaties houden al registraties bij. Dat schrijft ook de stichting NUTS. Maar nu wil VZVZ toch de controle erover naar zich zelf toe trekken.
Validering
Zeer problematisch daarbij is dat de validering van elektronisch vastgelegde zorgadressen in handen komt van een private instelling, namelijk VZVZ, volledig betaald door ZN. Die bepaalt dan of een bepaald zorgadres wel of niet authentiek is, dus te vertrouwen. Het is veel verstandiger om te kiezen voor decentrale systemen, in combinatie met moderne authenticatiemiddelen (waarmee onder meer adressen gevalideerd kunnen worden) die georganiseerd worden vanuit de overheid = als publieke dienst. Zo kan een overheidsinstantie als de Landelijke Registratie Zorgaanbieders(LRZa), naast andere registraties zoals het UZI-register, als certificerende instantie in een decentraal systeem gaan optreden. Dat schrijft ook de Stichting Nuts. De koppeling met andere databases die VZVZ in het Zorg-AB-voorstel doet, zoals met die met het UZI-register en de Kamer van Koophandel doet men bij het LZRa ook al.
LRZa
Het LRZa koppelt informatie aan elkaar uit het Handelsregister van de Kamer van Koophandel, het AGB-register (Algemeen Gegevens Beheer Zorgverleners) van Vektis en het BIG-register. Daarnaast ontsluit het LRZa ook informatie uit het openbaar databestand kwaliteitsgegevens zorg van Zorginstituut Nederland en de Jaarverantwoording Zorg. Verder zijn er partijen die geen gegevens leveren maar wel gebruik maken van het LRZa zoals de Nederlandse Zorgautoriteit, Autoriteit Consument en Markt en de Inspectie Gezondheidszorg en Jeugd.
Uiterst ongewenst
Het lijkt allemaal heel roerend wat VZVZ(lees: ZN) voorstelt via het Informatieberaad(lees: VWS) met het Zorg-AB. Maar het kan anders, waarschijnlijk ook goedkoper, door het decentraal in te richten. Naast beveiligingsvoordelen heeft het dan ook als voordeel dat de zorgverzekeraars(ZN) via VZVZ niet een alles bepalende rol kunnen gaan spelen in de zorginformatieketen zonder publieke verantwoording .
W.J. Jongejan, 8 februari 2021
Afbeelding van OpenClipart-Vectors via Pixabay
08-02-2021 13.59u: Enkele kleine tekstuele aanpassingen in alinea Validering.
VZVZ maar ook VECOZO zijn zelfde laken een pak. Beide in volle eigendom van de verzekeraars en met zeer onwenselijke initiatieven waarvan het zorgveld niet door heeft dat dit zeer zeer schadelijk is. Dit gaat over macht en controle onder het mom “voor de zorg, beheersbare kosten.” De vrome hoofden die je dat vertellen hebben echter een andere agenda.
Beide clubs zitten vol met heren en dames vanuit de zorgverzekeraars tot en met informatieberaad aan toe. Situationeel met andere pet maar dezelfde origine: verzekeraar. Het is zo doorzichtig dat het een slapstick is. Maar niemand die er om maalt lijkt het wel.
Nu is er niks met een verzekeraar, zolang ze zich houden aan hun taak. Op de genoemde vlakken gaan ze hun boekjes ver te buiten en zijn ze ook niet het scherpste mes in de la, om het maar eens te zeggen.
LSP is inmiddels 500miljoen verder en is op alle vlakken jaren 90. Maar dat was “voor de zorg” maar wel van jouw premie. Dit soort instanties ondernemertje laten spelen is levensgevaarlijk. Maar ach, als ze dit jaar 100-en miljoenen overwinsten maken (hoe moffelen ze dat weg? Gaat leuk worden) en jaarlijks op verdeling van 10-tallen miljarden zitten, dan kan er best 250 miljoen langs de plinten verprutst worden. Elk jaar. Niemand die het ziet.
En we nemen er nog 1. Het is schandelijk.