VWS, SBG, ROM en ARGUS. Het wordt steeds gekker
In de geestelijke gezondheidszorg bestaat sinds januari 2017 rondom het verzamelen van ROM-data voor benchmarking en zorginkoop door de Stichting Benchmark GGZ(SBG) veel onrust. ROM-gegevens zijn in essentie bedoeld voor het evalueren en bijsturen van therapie in de ggz op individueel niveau, maar worden ondanks fundamentele bezwaren uit het veld voor benchmarking en zorginkoop gebruikt. Deze gegevens zijn ondanks twee pseudonimiserings-slagen toch te beschouwen als bijzondere persoonsgegevens waarvoor uitdrukkelijke toestemming(informed consent) van de patiënt nodig is. Dat is de afgelopen jaren niet gebeurd. Ook de minister van VWS, Edith Schippers, heeft in antwoord op Kamervragen op 23 maart 2017 moeten erkennen dat de dataverzameling onwettig is om die reden. De aanlevering van ROM-data aan de SBG is om die reden dan ook inmiddels gestaakt. In haar antwoord doet de minister voorkomen alsof ze de regelgeving rond het gebruik van gepseudonimiseerde persoonsgegevens niet begrijpt door twee volledig tegenstrijdige uitspraken te doen. De SBG reageerde over de ophef over de ROM-data pas op 11 april 2017 met een bericht op de eigen website. Daaruit blijkt dat ook SBG doet alsof ze de regelgeving rond het verwerken van bijzondere persoonsgegevens niet begrijpt.
Artikel 29 werkgroep
Door een rapport van de zogenaamde artikel 29 werkgroep van de Europese privacytoezichthouders dat in april 2014 verscheen, dienen gepseudonimiseerde persoonsgegevens als bijzondere persoonsgegevens beschouwd te worden. Ze zijn ondanks de bewerking namelijk in principe toch, zij het moeilijk toch tot individuen te herleiden. Daarom moet bij het verzamelen van die data conform artikel 457 Wgbo toestemming aan de patiënt gevraagd worden. Omdat voor de ROM-, maar ook voor de Argus-data dat nooit gebeurde is de dataverzameling, onwettig en dus nietig. Voor het goede begrip, de Argus-database betreft de centrale registratie van vrijheidsbeperkende interventies in de GGZ. Saillant detail is dat de rechtsvoorganger van de Autoriteit Persoonsgegevens, het College Bescherming Persoonsgegevens, aanzat bij de artikel 29 werkgroep maar nooit zelf actief iets publiceerde over de SBG-casus.
Minister
In haar antwoord op Kamervragen van Renske Leijten(SP) laat de minister bij de vragen 8 en 14 weten dat zorgaanbieders geen tot persoon herleidbare informatie aanleveren(vraag 8) na één keer pseudonimiseren. In het antwoord op vraag 14 laat ze weten dat er na een tweede keer pseudonimiseren door ZorgTTP bij de SBG geen informatie is die te herleiden is tot individuele patiënten.
Echter, in het antwoord op vraag 10 zegt de minister :
“Met de uitspraak van de Autoriteit Persoonsgegevens (AP)8 is duidelijk geworden dat pseudonimiseren geen anonimiseringmethode is, maar een beveiligingsmaatregel om privacyrisico’s te verkleinen. Voor de verwerking van (dubbel) gepseudonimiseerde gegevens is dus een wettelijke grondslag nodig op basis van de Wet bescherming persoonsgegevens (Wbp). Het verkrijgen van expliciete toestemming van de patiënt is een van de grondslagen. Omdat het toestemmingsvereiste sinds de genoemde uitspraak van de AP de enige wettelijke grondslag is voor ROM, ben ik in overleg met partijen en de AP. Ik wil daarbij bezien of nadere wetgeving nodig is.”
Hiermee geeft ze aan dat er bij de ROM-data bij de SBG toch sprake is van bijzondere persoonsgegevens, waarvoor een wettelijke grondslag nodig is. Het antwoord hier is volstrekt in tegenspraak tot die op vraag 8 en 14, maar hier wel in lijn met de AP en de art. 29 werkgroep. Deze enorme inconsistentie kan niet anders dan een opzichtig rookgordijn zijn dat de minister van VWS opwerpt.
SBG
In het persbericht op de website laat de SBG weten dat er twijfel is ontstaan over de legitimiteit van de dataverzameling van haar en daarmee van vele dataverzamelingen in de gezondheidszorg. Het woord twijfel is een nogal vreemde benaming omdat zelfs de minister van VWS erkent dat de dataverzameling onwettig is. De SBG verwijst naar de verandering van de inzichten op basis van een uitspraak van de AP over de data in het DBC-InformatieSysteem (DIS) uit 2016. De SBG verwijst over de interpretatie van de wet-en regelgeving naar de antwoorden op de bovengenoemde Kamervragen 8 en 14. Daarin zegt de minister tegen beter weten in dat er geen tot een individu herleidbare data worden door de SBG. Men vermeldt niet dat dezelfde minister in het antwoord op vraag 10 aangeeft dat het wel om herleidbare gegevens zijn in de ogen van de artikel 29 commissie en van de AP. De manier van antwoorden door de minister staat toe dat er geshopt kan worden binnen de antwoorden op de Kamervragen. De SBG constateert dat de brancheorganisatie GGZ Nederland( werkgevers in de GGZ) geadviseerd heeft vooralsnog de aanlevering aan de SBG te staken en vraagt om een schriftelijke mededeling daarvan door de zorgverleners.
Argus
Bijzonder vreemd is dat GGZ Nederland al op 9 november 2016 de aangesloten zorgorganisaties gevraagd heeft om de aanlevering van data over vrijheidsbeperkende interventies in de GGZ aan het Argus Informatie Centrum, gesitueerd bij de SBG , tijdelijk te staken op basis van de veranderde inzichten van de AP over gepseudonimiseerde data. Het vreemde is dat de SBG, die toen uiteraard weet had van deze materie, niets deed ten aanzien van de ROM-database terwijl hier wel hetzelfde speelt. Het kan niet anders zijn dan dat de SBG-directie gedacht en gehoopt heeft dat de bui zou overwaaien en dat de minister van VWS wel met reparatieregelgeving zou komen. Dat men met vulling van de Argus-database niet wilde doorgaan zonder nadere dekking is naar mijn mening gelegen in het uitermate kwetsbare van die data omdat het gaat om registratie van vrijheidsbeperkende maatregelen in de GGZ, de dwang- en drangopnames.
Grootste datalek ooit
SBG heeft gelijk als ze stelt dat het veel meer dataverzamelingen in de gezondheidszorg betreft dan alleen die bij haar. Het probleem is dan ook veel groter dan VWS en GGZ Nederland doen voorkomen. Doordat er onwettig in al die databases bijzondere persoonsgegevens verwerkt zijn en uitgewisseld met andere instituties kan men gevoeglijk spreken van het grootste datalek ooit, waarin de toezichthouder een bijzonder vreemde rol speelt.
Wordt vervolgd.
W.J. Jongejan
Heel goed artikel. Het is inderdaad opvallend dat er over een datalek van 1,5 miljoen mensen zo koel wordt gedaan.De instellingen geven ook amper informatie aan hun medewerkers. Patiënten worden al helemaal niet ingelicht. Men wil het liefste alles stil houden lijkt het wel. Nou, dat kan dus niet.