Vektis overschrijdt grens met datawarehouse-activiteit o.b.v gemeentelijke zorgdata
Recent is op de website van Vektis te lezen dat men tegen betaling een “gemeentezorgspiegel” maakt. Daar kunnen gemeenten zich tegen betaling op inschrijven. Voor bijv. 2500 euro bij minder dan 25.000 inwoners tot 15.000 euro voor gemeenten met meer dan 500.000 inwoners. Vektis maakt dan overzichten. Gemeentes en zorgverzekeraars kunnen daarmee volgens Vektis op een efficiënte, betrouwbare manier zorginformatie inwinnen die van belang is bij het bepalen van zorgplannen en inkoopbeleid. Vektis kennen we als informatie-instituut van de zorg. Daarbij moeten we niet vergeten dat Vektis opgericht en eigendom is van de zorgverzekeraars. Bij Vektis slaat men alle declaratiegegevens uit de zorg op om allerlei overzichten van verleende zorg te kunnen maken. Sinds betrekkelijk korte tijd verzamelt Vektis blijkbaar ook de door de gemeenten betaalde zorg die op basis van meerdere wetten(Wlz, Wmo) verstrekt wordt. Met de verwerking, verrijking en het vermarkten van die data overschrijdt Vektis een grens.
Vektis
Het heet het informatie-instituut van de zorg te zijn. Bij alles wat Vektis doet dient men te beseffen dat het een organisatie/bedrijf is opgericht, beheerd en betaald door de zorgverzekeraars(zie pagina 3 in deze link). De basis voor die oprichting is in 1992 al gelegd. Vektis is ontstaan uit informatieafdelingen van ziektekostenverzekeraars en ziekenfondsen nog voor het ingaan van de nieuwe zorgverzekeringswet in 2006. De voornaamste bezigheid van Vektis is het verzamelen van declaratiedata uit de zorg en het maken van overzichten voor meerdere instanties in den lande.
Grens
De medische persoonsgegevens die zorgverzekeraars bij declaratie, hebben verkregen mogen ze alleen gebruiken voor zover noodzakelijk voor uitvoering van de verzekeringsovereenkomst
Vektis mag als bedrijf de bijzondere persoonsgegevens die ze krijgt door het verzamelen van declaratiedata dan ook alleen verwerken voor zover dat noodzakelijk is voor de uitvoering van de(zorg)verzekeringsovereenkomst. Dit vloeit voort uit artikel 21 eerste lid, onder f van de Wet bescherming persoonsgegevens. Vektis positioneert zich tegenwoordig als een datawarehouse dat (zorg)data kan aanleveren aan derden. Dat doet ze ook onder andere door het maken van een “gemeentezorgspiegel”.
Betaling
Vektis laat zich betalen voor het leveren van de data aan derden. Men stelt dat het gaat om een kostendekkend tarief , zonder winstoogmerk. Het moeilijke is dat niet goed te controleren is of het tarief kostendekkend is. Daarnaast heeft Vektis in haar voorwaarden voor levering twee nogal curieuze omschrijvingen staan over waaraan die derden moeten voldoen. Verzoeken moeten in de eerste plaats tot doel hebben de zorg in Nederland beter te maken en maatschappelijk relevant zijn. In de tweede plaats zegt men dat Vektis niet mag meewerken aan projecten met commerciële doelen.
Die eerste bepaling gaat veel verder dan het doel waarvoor Vektis de data verzamelt, namelijk voor zover die noodzakelijk zijn voor de uitvoering van de zorgverkeringsovereenkomst. De tweede bepaling rept slechts over projecten met commerciële doelen. Deze omschrijving sluit het aanleveren van data aan een commerciële partij niet uit.
Versleuteld
Vektis stelt dat zij de zorgdata, verkregen door declaraties, versleuteld bewaart. Daarbij moet men zich bedenken dat het daarbij gaat om pseudonimisering van de data. Die blijven gezien de aard van de versleuteling toch bijzondere persoonsgegevens. Aanvullende verwerking op persoonsniveau is mogelijk. Zo kunnen ondanks de pseudonimisering vervolgdata bij een persoon gekoppeld worden aan eerder verkregen data betreffende die persoon op basis van een zorgtrajectnummer.
Kernprobleem
Via de gemeenten komen data die o.a. voortvloeien uit de toepassing van de Wet langdurige zorg(Wlz) en Wet maatschappelijk ondersteuning(Wmo) bij Vektis terecht. Vektis bezit ook zorgdata op basis van de zorgverzekeringswet al en kan daardoor data combineren en dus verrijken. Kernprobleem hier is dat lokale overheden persoonsgegevens / medische persoonsgegevens / bijzondere persoonsgegevens voor koppeling en verwerking verstrekken aan een derde partij voor een informatiesysteem . Dat gebeurt dan t.b.v. beleidsondersteuning op geaggregeerd niveau en moet inzicht moet verschaffen in zorgvraag/zorgverlening.
Subsidiariteit
Men gaat voorbij aan mogelijkheid dat men dit soort beleidsinformatiesystemen ook kan vormen zonder gegevens op persoonsniveau uit te wisselen. Ik schreef op 2 augustus 2019 daar ook over. Met moderne ICT-technieken zoals o.a. beschreven in het Common Ground project van de Vereniging van Nederlandse gemeenten en door de informaticus Hugo de Vos is dat zeer wel mogelijk. (Zie hoofdstuk 6 in die link). Het verzamelen van de data en het beleidsinformatie kan best wel op een andere minder ingrijpende manier. Dan voldoet men aan de subsidiariteitsgedachte.
Zeer problematisch
Het is uiterst problematisch dat, zoals ik hierboven beschrijf, de marktpositie van Vektisals privaat datawarehouse wordt versterkt. Het functioneert daarmee, naar mijn oordeel, als een niet gelegitimeerd en dus illegaal datawarehouse. Daarnaast moet men ook bedenken dat Vektis zeer recent nogal trots bekend maakte dat ze voor haar datawarehouse gekozen had voor IBM Db2 Warehouse op de IBM Cloud. Het is goed daarbij te bedenken dat het hierbij gaat om een Amerikaans bedrijf waarbij op basis van de Patriot Act zonder zicht van de gebruiker inbreuk op de data mogelijk is door Amerikaanse veiligheidsdiensten.
W.J. Jongejan, 21 augustus 2020
Recente reacties