Print 🖨 PDF 📄 eBook 📱

Hoe NZa tot persoon herleidbare data via zorgprestatiemodel GGZ binnen hengelt

Een uitgebreide analyse

herleidbareOverheden en daaraan verbonden instituties gebruiken vaak verhullend woordgebruik als het gaat om het verzamelen van data van burgers. Het gaat dan meestal om het verzamelen van in principe tot persoon herleidbare data in centrale databases. Om het veilig te noemen gebruikt men vaak de kreet dat de data geanonimiseerd zijn, terwijl er eigenlijk sprake is van pseudonimisering. Pseudonimisering is beslist geen anonimisering en een beetje anoniem bestaat niet. Net zo min als in medische kringen “een beetje steriel” zou kunnen bestaan. Bij de recente introductie van het zorgprestatiemodel voor de Geestelijke GezondheidsZorg(GGZ) wil de Nederlandse Zorgautoriteit(NZA) veel zorgdata ontvangen. Op 5 februari 2022 publiceerde ik daarover het artikel “Monsterlijke dataregistratieverplichting NZa bij nieuw zorgprestatiemodel GGZ”. Uit een toelichting van de NZa op vragen van de LVVP is het nodige over hun handelswijze op te maken. In de navolgende alinea’s zal ik de uitleg van de NZa analyseren.

Pseudonimiseren en anonimiseren

Daarbij moet men voor ogen houden dat pseudonimiseren het tot persoon herleiden van zorgdata hooguit wat moeilijker maakt maar beslist niet onmogelijk. Rond 2014 kwam men in Europa tot een ander inzicht door de besluiten van de Article 29 Data Protection Working Party van de Europese unie. Hierdoor is men gepseudonimiseerde data, vanwege de kans op herleidbaarheid tot één individu bij slimme koppelingen met andere databases, toch als bijzondere persoonsgegevens gaan beschouwen.

Wat zegt de NZa(1)?

Deze zegt over mogelijke herleidbaarheid van de persoonsgegevens op de website van de LVVP  het volgende:

“Geïsoleerd bekeken is de informatiestroom zorgvraagtypering een geanonimiseerde stroom, omdat het geen tot de persoon herleidbare gegevens bevat. De NZa behandelt deze informatiestroom veiligheidshalve echter als een stroom die bijzonder persoonsgegevens bevat. Reden hiervoor is de mogelijkheid dat een patiënt uit de zorgvraagtyperingsstroom via een aantal identieke informatie-elementen te koppelen is aan een patiënt uit de Vektis gegevensstroom die de NZa ook ontvangt en die wel een pseudo-BSN bevat. Het gekozen zorgvraagtype is bijvoorbeeld een informatie-element dat in beide stromen (Vektis en zorgvraagtypering) voorkomt.”

Wat zegt de NZa(2)?

En vervolgt:

“Bij het ontwerp van de zorgvraagtypering informatieverplichting hebben we een aantal keuzes gemaakt om het aantal unieke informatie-elementen in beide stromen te minimaliseren. Zo is het zorggebruik van de patiënt in de gegevensstroom zorgvraagtypering geaggregeerd per maand om de koppelbaarheid met geleverde consulten in de gegevensstroom van Vektis te beperken. Omdat we de gegevensstroom zorgvraagtypering behandelen als een stroom die bijzondere persoonsgegevens bevat, is ook de privacyverklaring hierop van toepassing.

Uitleg NZa

Die spreekt zeer onduidelijk over hoe ze de zorgdata aangeleverd krijgt. Enerzijds spreekt men in de eerste zin van een geanonimiseerde stroom zorgdata. Een zin later stelt men dat men deze datastroom toch wel beschouwt als een stroom bijzondere persoonsgegevens. Dat spreken over bijzondere persoonsgegevens doet de NZa vanwege de koppelbaarheid met informatie-elementen die de NZa krijgt van Vektis. Die organisatie ontvangt als dataverzamelaar van de zorgverzekeraars alle declaratiegegevens van de zorgverzekeraars. En u raadt het al Vektis ontvangt die data ook gepseudonimiseerd. De NZa noemt als element waarmee een succesvolle herleiding tot mogelijk zou zijn: de zorgvraagtypering. Het BSN wil de NZa trouwens ook (gepseudonimiseerd) aangeleverd krijgen. Zie: de Regeling onder artikel 4.2 lid 2. Dat is een extra bewijs dat de zorgdata niet geanonimiseerd maar gepseudonimiseerd zijn. Maar er is een nog meer precieze koppeling tussen een persoon en zijn ziekte mogelijk met informatie-element B4: het zorgtrajectnummer.

Zorgtraject en zorgtrajectnummer

De NZa wil bij de data in het kader van het zorgprestatiemodel ook het zorgtraject-nummer weten. Het zorgtraject is de administratieve koppeling tussen de prestatie en de patiënt.  Een administratief verband tussen prestatie en patiënt.

De zorgaanbieder bepaalt een uniek zorgtrajectnummer zodra een patiënt in zorg komt. Het zorgtraject krijgt als openingsdatum de uitvoeringsdatum van de eerste prestatie. De zorgaanbieder koppelt het zorgtrajectnummer aan alle ggz prestaties voor die patiënt geleverd door de zorgaanbieder tot het moment waarop de zorgverlener en/of patiënt de behandeling afsluiten.Bij terugval/recidive binnen een jaar na de laatste prestatie moet hetzelfde zorgtrajectnummer opnieuw worden gebruikt. De reden dat zowel de NZa als Vektis(declaratie-items) dit zorgtrajectnummer willen hebben is gelegen in de wens om de “patient-journey” van iemand te kunnen volgen voor één en dezelfde kwaal. Volgende zorgepisoden voor dezelfde kwaal kan men dat automatisch koppelen. Het is dus een gigantische identifier.

Geminimaliseerde dataset?

Door de aanwezigheid van de genoemde identificerende informatie-elementen in de data die de NZa rechtstreeks krijgt van de zorgverlener(ook al zijn die gepseudonimiseerd) gecombineerd met de declaratiedata die de NZa van Vektis krijgt maken de herleidbaarheid tot een persoon zeer wel mogelijk. Nog meer bij koppeling aan andere databasen. Dat vormt dan ook de reden dat de NZa in haar tekst op de LVVP-site toch spreekt over het moeten beschouwen van de data als bijzondere persoonsgegevens. De NZa spreekt op de website van de LVVP dat ze de dataset geminimaliseerd hebben. Desondanks spreekt men over het hanteren als bijzondere persoonsgegevens. Daarmee stelt men feitelijk dat ondanks maatregelen/minimalisering van unieke  informatie-elementen herleiding via koppeling (geen geïsoleerde stroom data) mogelijk is. Daarbij moet men in ogenschouw nemen dat
het bij de zorgvraagtypering om zeer veel medische gegevens op persoonsniveau gaat.

Consultatie Autoriteit Persoonsgegevens(AP)?

Op de website van de LVVP zegt de NZa voorts:

“De NZa geeft desgevraagd aan dat de Nadere Regeling twee keer is voorgelegd aan de Autoriteit Persoonsgegevens (AP) om te beoordelen of deze in overeenstemming is met de geldende privacywetgeving. De AP heeft beide keren aangegeven geen opmerkingen te hebben bij de concept regelgeving. Ook heeft de Functionaris Gegevensbescherming (FG) van de NZa de stukken beoordeeld. De FG functioneert binnen de NZa als interne toezichthouder op het gebied van de privacy wetgeving. De FG heeft de RvB van de NZa positief geadviseerd bij de vaststelling van de regelgeving.”

Vreemd

Om twee redenen is deze passage vreemd. In de eerste plaats kan je niet modus operandi tevoren aan de AP voorleggen met de vraag of deze het op voorhand er mee eens is. De AP zal zich bij zo’n vraag alleen maar in algemene bewoordingen uitlaten. Dat weet de gemeente Enschede inmiddels ook die in 2021 een boete van zes ton kreeg van de AP voor wifitracking van burgers. Dit was ondanks het bij de AP in 2017 peilen van de gemeente Enschede bij de AP of dit mocht. Ook het vermelden dat het allemaal wel mag van de eigen functionaris gegevensbescherming zegt niets. Dat heeft een hoog “Wij van WC-eend adviseren WC-eend-gehalte”.

Proliferatie van zorgdata

Het bij elkaar brengen van grote hoeveelheden zorgdata die we als bijzondere persoonsgegevens moeten beschouwen brengt gevaren met zich mee. Eén ervan is doorlevering aan andere instituties of eventueel een ministerie. Dat is geenszins imaginair. Het is al eerder vertoond door de NZa. In het recente verleden heeft de NZa gepseudonimiseerde zorgdata die ze binnen kreeg in het DBC-Informatie-Systeem(DIS) onrechtmatig door geleverd aan het ministerie van VWS ten behoeve van de berekening van risicovereveningsgelden voor zorgverzekeraars. De burgerrechtenvereniging Vrijbit voert daar thans een zaak over bij de Raad van State.

Beleidsondersteunende informatie

Wat de NZa verzamelt is bedoeld als beleidsondersteunende informatie. Voor dat soort informatie is het geenszins noodzakelijk om informatie op persoonsniveau te verzamelen. Door aggregatie van data op een laag niveau, bijv. bij een zorginstelling of een groep van zorgaanbieders, kunnen data zonder enig persoonskenmerk wel verzameld worden zonder versturen van de gevoelige bijzondere persoonsgegevens richting de NZa.  Ook op andere terreinen bezondigt de overheid zich aan het verzamelen van data op persoonsniveau zonder dat het voor beleidsondersteuning strikt noodzakelijk is.

Het is onnodig en onwenselijk.

W.J. Jongejan, 8 februari 2022

Afbeelding van Click on 👍🏼👍🏼, consider ☕ Thank you! 🤗 via Pixabay