SBG-database net zo “lek” als die van het DIS

female-296989_640 WJ

De stichting Benchmark Geestelijke GezondheidsZorg(SBG) is een kenniscentrum dat zich bezighoudt met het verbeteren van de kwaliteit van die zorg. Daartoe dienen zorgaanbieders in de GGZ, zowel instellingen als al dan niet vrijgevestigde zorgaanbieders in die sector, gegevens van patiënten elektronisch aan te leveren. Het benchmarken, dat men ermee doet is een strategie voor kwaliteitsverbetering. Door te vergelijken met andere behandelaars is het de bedoeling te kijken of de therapie anders, maar ook beter kan. Daartoe moet, sinds kort verplicht, een veelheid aan gegevens over patiënten elektronisch worden opgestuurd naar de SBG. Het gaat daarbij om gegevens over het volgen van de voortgang van een behandeling, de zogenaamde Routine Outcome Measurement(ROM)-gegevens en diagnostische data, de DBC-informatie op basis van de DSM-classificatie. Die laatste is een codelijst, specifiek voor psychische diagnoses. De manier van werken van de SBG met de informatie is identiek aan die bij het DIS(Diagnose Behandel Combinatie Informatie Systeem). Recent erkende de Nederlandse Zorgautoriteit(NZa) dat gegevens uit het DIS bij intelligente koppeling aan andere databases toch tot individuen herleidbaar zijn. Gezien de manier van werken speelt hetzelfde bij de SBG.

Pseudonimisering

De bij de SBG opgeslagen gegevens zijn gepseudonimiseerd. Ze zijn niet rechtstreeks naar personen herleidbaar(gedepersonaliseerd). Dat gebeurt in twee slagen. Ten eerste bij de rapporterende bron, maar ook bij een instantie de zogenaamde Trusted Third Party, die tussen de bron en de SBG in zit. Deze instantie, ZorgTTP, voert nog een keer een pseudonimisering uit alvorens de data bij de SBG opgeslagen en verwerkt worden tot benchmark-data. Op dezelfde wijze en met hetzelfde bedrijf worden de DBC-gegevens in het DIS opgeslagen, waar de NZa de beheerder van is. Het gebeurt ook allemaal via één faciliterend loket op basis van een bestuurlijk akkoord tussen het DIS, de SBG en de LVE(Landelijke Vereniging van Eerste Lijns-psychologen).

Re-personaliseren

Binnen de ICT-wereld bestaat al enige tijd het inzicht dat bij koppeling van voldoende, uitgebreide, databases op een intelligente wijze, het re-personaliseren( het herleiden tot individuen) heel wel mogelijk is.

“Given enough data, perfect anonymization is impossible no matter how hard one tries.”

Zelfs een Canadese veiligheidsdienst ging in de fout toen die een databestand met onder andere gegevens van eigen Canadese burgers doorgaf aan de Verenigde Staten, het Verenigd Koninkrijk, Australië en Nieuw Zeeland. De CSE mocht alleen maar metadata van communicatie van niet-ingezetenen van Canada legaal vastleggen en uitwisselen, maar niet van Canadese burgers. Die data dienden geanonimiseerd te worden. Uit een artikel van Israel en Parsons uit februari 2016 blijkt, dat het niet-identificeerbaar maken van gegevens door de Communications Security Establishmen (CSE) niet goed ging. Met computertechnieken van de overige vier partners in het Five-Eyes-programma bleek het toch mogelijk de gegevens die uitgewisseld werden tot personen, in dit geval Canadese staatsburgers, te herleiden.

Koppelingen

Besluiten over het koppelen van de SBG-database aan andere databases zijn voorbehouden aan het bestuur van de SBG. In de tekst hierover staat: 

“ In het dataprotocol van SBG is vastgelegd dat de beslissing om SBG-gegevens en andere gegevensbestanden aan elkaar te koppelen is voorbehouden aan het SBG bestuur. Pseudonimisering maakt de gegevens alleen maar geschikt voor deze koppeling. In welke gevallen we daadwerkelijk gegevens met elkaar in verband gaan brengen, hangt af van de onderzoeksvraag en zal in de toekomst besloten worden door het bestuur.”

Niet te achterhalen is welke koppelingen met welke databases plaatsvinden of hebben gevonden. Ook niet wie, welk onderzoek met de database, eventueel met koppeling aan andere data, gevraagd heeft.

Bij de SBG-database geldt onverkort hetzelfde als bij de DIS-database. Namelijk, dat als er maar voldoende grote, uitgebreide databases gekoppeld worden herleidbaarheid tot personen mogelijk is. Nu de NZa in de rechtszaak die de Open State Foundation aanspande dit erkent en ook op de website zet dient het SBG-bestuur op gelijke wijze hierover openheid te betrachten.

 Kwaliteitsstatuut

In de Wet kwaliteit, klachten en geschillen zorg (Wkkgz), die op 1 januari 2016 ingegaan is, wordt deelname aan het Kwaliteitstatuut verplicht gesteld per 1 januari 2017. Daarin staat dat aanlevering van ROM- en DBC-informatie verplicht is. Bij een database met zeer gevoelige informatie waarvan de gegevens op enige moment niet meer zo anoniem kunnen zijn is het uitermate de vraag of er wel een verplichting tot aanleveren moet blijven bestaan.

W.J. Jongejan

1 antwoord

Trackbacks & Pingbacks

  1. […] Persoonsgegevens zou moeten zijn. In deze blog legt hij uit hoe het zit met de ROM-data. En hier leest u hoe wat pseudonimisering behelst (en hoe die teruggedraaid kan worden). Conclusies o.a.: de data in […]

Reacties zijn gesloten.