Tenenkrommende uitleg NIP over ROM-men met veronderstelde toestemming

Buddha tenen

Op de website van het Nederlands Instituut van Psychologen(NIP) verscheen op 24 oktober 2017 een tenenkrommend artikel over het willen hervatten van de ROM-data-aanlevering aan de Stichting Benchmark GGZ(SBG). De titel was: Veel gestelde vragen over hervatting van de ROM”. In het stuk probeert het NIP in het kielzog van GGZ Nederland(GGZ NL), dat op 18 oktober het hervatten inluidde, uit te leggen waarom het zo goed zou zijn als het grootschalig ROM-men weer hervat zou worden. Het artikel van het NIP bevat een aantal pertinent onjuiste opvattingen en spreekt zich zelf op enkele plaatsen tegen. In de vorm van antwoorden op zogenaamd veel gestelde vragen(FAQ) vertelt het NIP in grote lijnen het verhaal van GGZ NL en geeft zelfs meer details van het beoogde plan om de ROM-leverantie aan SBG te doen hervatten.

“Voorlopig”

Gesteld wordt dat aan SBG “voorlopig” geen data aangeleverd worden voor een database waarin die organisatie ROM-data op landelijk niveau analyseert. ROM-data zouden in het nieuwe plan uitsluitend verzameld worden op het niveau van de instelling of praktijk met duidelijke schotten tussen de data van verschillende zorgaanbieders. Het woord “voorlopig“ geeft aan dat het helemaal niet de bedoeling is dat het landelijk analyseren van de ROM-data van de baan is, maar alleen even geparkeerd is als zijnde niet opportuun op dit moment. Het houdt in dat het ten allen tijde weer hervat kan worden. Het “voorlopige” hangt trouwens af van de onduidelijkheid of de ROM-data die SBG tot nu toe verzameld gezien dienen te worden als (herleidbare) persoonsgegevens of niet. De Autoriteit Persoonsgegevens moet zich er nog over uitspreken. Softwarematige schotten in databases zijn trouwens ook zo weer af te breken.

Veronderstelde toestemming

Enige moeite neemt het NIP om de “veronderstelde toestemming” van de patiënt om ROM-data te doen verwerken door derden(SBG) uit te leggen. In een eerder artikel van mijn hand legde ik uit dat hierbij enige kapitale juridische misvattingen in het spel zijn. Het begrip “veronderstelde toestemming” is synoniem aam de stilzwijgende toestemming en kan slechts gehanteerd worden binnen de directe groep van mede-behandelaren van de patiënt. Het inschakelen van externe ICT-bedrijven om de ROM- data uit de dossiers te halen en de aanlevering EN verwerking door SBG vallen daar geenszins onder.

Tegenspraak

In de paragraaf over de “veronderstelde toestemming” geeft het NIP aan dat men juridisch correct werkt als ten eerste de cliënt vooraf geïnformeerd wordt over het verwerken van ROM-data en ten tweede men die persoon inlicht over de mogelijkheid bezwaar te maken. Het zeer vreemde is dat het NIP het hier toch heeft over een vorm van een “informed consent”, terwijl daarvoor gesteld wordt dat het allemaal wel kan met een “veronderstelde toestemming”. Het tot stand komen van dat ”informed consent” gebeurt  dan ook nog in de vorm van een soort opt-out. Formeel zal de behandelaar volgens het NIP niet om toestemming vragen, maar alleen aangeven dat er bezwaar gemaakt kan worden.  In de trant van “we nemen aan dat u het goed vindt, behalve als u bezwaar aantekent”.

Anoniem?

Heel vreemd wordt het als het NIP praat over de manier waarop de ROM-data geëxtraheerd worden uit de dossiers en verstuurd naar SBG. Consequent vermeldt men dat het gaat om het (onomkeerbaar) anonimiseren van de data. Dat is echter niet het geval, want het gaat om pseudonimiseren van de data en dat iets totaal anders. Het veranderen van pseudonimiseren naar anonimiseren zou een forse ICT-operatie betekenen en dat is ook niet gebeurd. In de publicatie van GGZ NL op 18 oktober wordt wel degelijk over pseudonimiseren van data gesproken in de beoogde opzet. Het kan met de opzet van SBG ook gewoon niet anders omdat er ingezet is op het op persoonsniveau verzamelen van data.

Hoe anoniem?

Het aparte is dat het NIP eerst stelt dat alle naar de persoon herleidbare gegevens uit de dataset gehaald worden voor de verzameling en verwerking door SBG. Daarna komt men in de volgende paragraaf met het verhaal dat de behandelaar een geanonimiseerd overzicht van alle uitkomstem van de eigen cliënten krijgt die deze heeft aangeleverd. Hoe het in vredesnaam mogelijk is volledig anonieme data weer terug te rapporteren aan de behandelaar is mij een raadsel. Als immers alle naar een persoon herleidbare data verwijderd zijn dat moet het onmogelijk zijn dat naar een behandelaar terug te rapporteren. De behandelaar zelve is namelijk ook een gegeven waardoor data herleidbaar zijn tot een persoon. Het één is volledig in tegenspraak met het ander.

Ronduit gênant

Helemaal gênant wordt het als in de laatste alinea het NIP als vertegenwoordigende organisatie van een groep zorgaanbieders zich opwerpt als verdediger van Zorgverzekeraars Nederland(ZN) die volledig de dataverzamelaar en verwerker SBG financiert. Zij doen zelfs moeite om te verkondigen dat ZN wel gelden int bij de verzekeraars en die doorsluist naar SBG zonder zeggenschap te hebben bij SBG. Er bestaat echter toch een ijzeren wet in de economie die zegt dat degene die betaalt bepaalt.

Het ware beter geweest als het NIP zich niet voor het karretje had laten spannen van de belanghebbenden bij het centraal vergaren van ROM-data. Ook is het verstandiger om eerst eens na te denken over wat men opschrijft over dit onderwerp.

W.J. Jongejan