Zorgverzekeraar VGZ wil GGZ-zorgaanbieder per contract dwingen ROM-data aan SBG te leveren
Zorgverzekeraars halen vreemde capriolen uit in hun contracteerbeleid. Voor het jaar 2019 biedt VGZ de zorgaanbieders in de generalistische basis GGZ een contract aan waarin deze verplicht worden Routine Outcome Monitoring(ROM)-gegevens aan te leveren aan SBG. Deze Stichting Benchmark GGZ wordt volledig door de zorgverzekeraars betaald. Deze data zijn ondanks pseudonimisatie te beschouwen als bijzondere persoonsgegevens. De enigen die echter toestemming kunnen geven om die data naar SBG, en na 2019 de rechtsopvolger AKWA, te doen zenden zijn de patiënten zelf. Die zijn het ook die samen met de zorgaanbieders ROM-lijsten invullen over het al dan niet vorderen van de therapie. Over het op grote schaal gebruik maken van ROM-data voor kwaliteitsvergelijking, benchmarking en zorginkoop bestaat al sinds begin 2017 grote beroering. In de eerste plaats gaf de Algemene Rekenkamer toen aan dat het middel ten enenmale ongeschikt was voor de hierboven beschreven doelen en tevens bleek toen dat de ROM-data als bijzondere persoonsgegevens beschouwd dienden te worden, waardoor toestemming van de patiënt vereist was. Toen de grond heel heet onder de voeten werd introduceerde de brancheorganisatie van werkgevers in de GGZ, GGZ Nederland, met wat organisaties uit de GGZ het juridisch rammelende en aanvechtbare begrip “veronderstelde toestemming”.
Contract 2019
In het “voorstel” van het contract 2019 staan onder artikel 5 de gewraakte passages. Daarbij moet men weten dat CQi staat voor Consumer Quality index. Dat zijn uitkomsten van vragenlijsten, ingevuld door de patiënt over hoe deze de kwaliteit van de geleverde zorg ervaren heeft.
Artikel 5. Monitoring en effectmeting
- De zorgaanbieder zal de vragenlijsten CQi voor de GGZ gebruiken voor het meten van cliëntervaringen. De vragenlijst dient minimaal één keer per jaar afgenomen te worden.
- De zorgaanbieder laat de meting uitvoeren door een geaccrediteerde meetorganisatie. Mocht de CQI in de ROM meelopen dan dient de CQI aangeleverd te worden aan het SBG (Stichting Benchmark GGZ). De geaccrediteerde meetorganisaties zijn te vinden op www.ciio.nl/register. Op de website staat per meting aangegeven aan welke aspecten de geaccrediteerde meetorganisatie moet voldoen (A, B, B-online). De meetorganisatie dient zorg te dragen dat aan alle privacy eisen is voldaan.
- De zorgaanbieder geeft hierbij de zorgverzekeraar uitdrukkelijk toestemming voor het aanleveren van de data uit de cliëntervaringsmetingen conform de aanlever-specificaties, ten behoeve van een landelijke benchmarkrapportage via Zorgprisma. Dit geldt ook wanneer voldoende meetgegevens zijn gevalideerd in een voor de verzekerde toegankelijke vorm, gepubliceerd conform landelijke afspraken vastgelegd in een publicatieprotocol te vinden op www.patientervaringsmetingen.nl.
- De zorgaanbieder draagt in samenwerking met de meetorganisatie er zorg voor dat de patiënt op de hoogte is dat de resultaten van de metingen uit de ROM en CQi op geaggregeerd niveau door de zorgverzekeraar gebruikt kunnen worden voor verbeterinformatie, zorginkoop-informatie en keuze-informatie.
- De zorgaanbieder verstrekt op verzoek van de zorgverzekeraar de CQi data van de recente jaren 2014 t/m 2019 aan de zorgverzekeraar. De zorgaanbieder stemt er mee in dat de zorgverzekeraar deze data gebruikt voor de inkoop van zorg en voor de verstrekking van informatie aan verzekerden van de zorgverzekeraar.
- De zorgaanbieder zal de ROM informatie aanleveren aan een landelijke benchmarkorganisatie voor vergelijking van de eigen resultaten met de landelijke uitkomsten, zoals aangeboden wordt door bijvoorbeeld SBG, Reflectum of TelePsy. Hierbij dient de zorgaanbieder alle in- en uitgangsmetingen van de totale cliëntenpopulatie conform de voorwaarden en landelijke afspraken aan te leveren aan de benchmarkorganisatie.
- De zorgaanbieder geeft op verzoek van de zorgverzekeraar toestemming om in de benchmarkomgeving van SBG (BRaM) ROMbenchmarkgegevens op locatieniveau te bekijken met het oog op overleg tussen partijen over de mate van bespreken door zorgaanbieder van de ROMuitkomsten met de cliënt, de interpretatie van de behandeleffecten, kwaliteit van de ROM-metingen en de casemix-variabelen.
Omgekeerde wereld
Blijkbaar vertrouwt VGZ niet al te zeer op de hierboven genoemde juridisch rammelende en aanvechtbare constructie van de “veronderstelde toestemming”. Ze probeert nu GGZ-zorgaanbieders, zoals psychologen en psychiaters probeert vast te pinnen op een contractuele verplichting tot aanlevering van ROM-data. Dat terwijl de enige die toestemming kan en mag geven de patiënt zelve is na goed voorgelicht te zijn over doel en verwerking: het “informed consent”. De contractverplichting is daarom ook als juridisch aanvechtbaar en onhoudbaar te beschouwen.
Door de mand vallen
In en poging de zaak minder brisant te maken zei GGZ Nederland bij het introduceren van de “ veronderstelde toestemming” dat men vooralsnog de ROM-data wilde gebruiken voor beoordelen van individuele therapie en kwaliteitsverbetering door onderlinge vergelijking op instellingsniveau en anderzijds op termijn – het gebruik voor keuze- en zorginkoop-informatie. Juist in het gebruik van de woorden “vooralsnog” en “op termijn” zat echter al het handhaven van de oorspronkelijke bedoelingen van de zorgverzekeraars en SBG besloten. In de hierboven afgedrukte passage uit het contract is te zien dat daar “verbeterinformatie, zorginkoop-informatie en keuze-informatie” prominent vermeld staan. Het betekent onomwonden dat de men niet af wil van het gebruik van de ROM data voor benchmarking en zorginkoop.
TROG-contracten
Scherpslijpers kunnen altijd zeggen dat het vermelde VGZ-contract 2019 slechts een voorstel is. Het staat ook in watermerk schuin door de tekst. Het probleem is echter dat contracten van zorgverzekeraars op papier onderhandelbaar heten te zijn, maar in de praktijk een onderhandelruime van nul hebben. Het is dan slikken of stikken. Wijlen Hans Nobel, huisarts en bestuurslid van de Vereniging Praktijkhoudende Huisartsartsen, noemde dat altijd TROG-contracten. TROG staat voor Teken Rechts Onder Graag. Zorgverzekeraars zoeken met dit soort contracten telkenmale de grenzen van het oorbare op en gaan eroverheen.
Helaas zijn er een aantal grote GGZ-instellingen die met alle winden meebuigen en hun hoofd laten hangen naar de zorgverzekeraars.
W.J. Jongejan, 3 september 2018.
Eerlijk gezegd vind ik dit geen geval van ‘agree tot disagree’. Er zijn feiten en er zijn meningen, daar gaat het hier om. Feit is dat niet is aangetoond dat de gegevens die bij SBG worden aangeleverd persoonsgegevens zijn. Het is uw mening dat dit wel zo is. De discussie gaat over wanneer gegevens nu wel en wanneer ze nu niet persoonsgegevens zijn, daar zit helaas in de wetgeving een grijs gebied. Er is geen zwart-wit norm voorhanden waarmee vast te stellen is wanneer indirect herleidbare gegevens persoonsgegevens zijn/worden, dat is de kern van de zaak. En daarom is het zo’n ingewikkelde discussie. De discussie over of bepaalde data al of niet persoonsgegevens zijn kan over talloze databases gevoerd worden. Het uitgangspunt bij SBG is altijd geweest om de privacy te respecteren en beschermen. Onze doelstelling is om betrouwbare informatie te krijgen over de resultaten van behandelingen in de GGZ. We hebben totaal geen interesse in privé gegevens van mensen. We geloven dat we met goede informatie juist de zorg kunnen helpen verbeteren. En daarvoor is het niet nodig, en ook absoluut geen doel, om de privacy te schenden. Daarom hebben we regelmatig maatregelen genomen om te voldoen aan de continu veranderende wet- en regelgeving en in te spelen op technologische ontwikkelingen. Mocht blijken dat onze maatregelen niet afdoende zijn om de privacy te borgen dan zijn wij de eersten die daar actie op zullen ondernemen want we willen geen persoonsgegevens hebben als we daar geen wettelijke basis voor hebben. Maar laten we alstublieft de grens tussen opinies en feiten scherp houden anders wordt het erg verwarrend.
U kunt mij niet overtuigen, net zo min als ik u. We gaan trouwens zien wat de Autoriteit Persoonsgegevens ooit een keer gaat zeggen over deze materie. Ze is al rijkelijk traag met haar onderzoek en bevindingen. Het zou me niets verbazen als die dan stelt dat de aan u geleverde data wel als bijzonder persoonsgegevens dienen te worden beschouwd, maar dat met een te construeren(zeer discutabele) wettelijke constructie(grondslag) daar een zogenaamde basis voor gemaakt wordt.
Dat neemt niet weg dat “tevens bleek toen dat de ROM-data als bijzondere persoonsgegevens beschouwd dienden te worden, waardoor toestemming van de patiënt vereist was” uit het stuk feitelijk onjuist is. De rechter geeft klip en klaar aan dat dit niet is aangetoond.
In de door u geciteerde zin, ook niet verder in mijn stuk, verwijs ik naar enig vonnis. Tegelijk met het Kort Geding speelde het handhavingsverzoek dat aan de AP gedaan is door een patiënte en waaraan op de website van SBG nog steeds wordt gerefereerd. Op uw eigen website staat ook duidelijk dat wat de AP onderzoekt: “Dit onderzoek richt zich in eerste instantie op de vraag of Stichting Benchmark GGZ (i) als verantwoordelijke is aan te merken in de zin van de privacywetgeving en (ii) persoonsgegevens verwerkt.” (https://www.sbggz.nl/Nieuws/Nieuws-detail?ContentItem=5a37c5ad-1ab9-4e29-9718-bee20ee66cd0#contentAnchor). Het is nu ruim 14 maanden na de aankondiging van de AP in begin juni 2017 en nog steeds heeft de AP geen uitspraak gedaan of er wel of niet sprake is van (bijzondere) persoonsgegevens. Het ligt dus niet zo simpel als het citeren van een rechtsoverweging in een Kort Geding-vonnis. Het is dan ook onterecht nu te stellen dat er geen sprake is van persoonsgegevens als we het over ROM-data hebben.
Ik stel nergens in mijn reactie dat er geen sprake is van persoonsgegevens, ik stel dat de rechter aangeeft dat dit niet is aangetoond. U stelt in uw stuk dat er wel sprake is van persoonsgegevens, maar dat is niet aangetoond en is dus feitelijk onjuist. Dat is alles.
Het gegeven dat de AP nog steeds geen uitspraak heeft gedaan als toezichthouder betekent niets anders dan dat de ROM-data vooralsnog gewoon als (bijzondere) persoonsgegevens dienen te worden beschouwd. Daar doet de uitspraak van de rechter niets toe of af.
Het is een aanname van u zelf dat de informatie die SBG ontvangt persoonsgegevens zijn. De rechter heeft dit niet (in kort geding) vastgesteld. Ook de AP heeft hier (nog) niks over gezegd. Dus op welke autoriteit beroept u zich? Uit de duur van het onderzoek kan natuurlijk niet worden afgeleid dat het wèl persoonsgegevens betreffen. Zo lijkt u wel te redeneren. Bovendien zal altijd de rechter het laatste woord hebben. U vertroebelt de discussie door feitelijk onjuiste aannames te blijven herhalen.
I think: We have to agree to disagree.
Rechterlijke uitspraak: “Uit al het voorgaande volgt dat binnen de hier geldende maatstaf niet voldoende aannemelijk is geworden dat sprake is van persoonsgegevens in de zin van de Richtlijn en de Wbp. Daarom is hier evenmin voldoende aannemelijk geworden dat de ROM-praktijk van SBG onderworpen is aan de desbetreffende wettelijke regels.” Zie artikel 4.21: https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBMNE:2017:4011
Citaat uit dezelfde uitspraak die niet zo eenduidig is u voorstelt.
Rechtsoverweging 4.12: “Dat de aan SBG aangeleverde gegevens indirect herleidbaar zijn tot een te individualiseren patiënt, door die gegevens te combineren met andere gegevens die door wettige middelen redelijkerwijs te verkrijgen zijn, is niet uitgesloten, maar is bij deze stand van zaken onvoldoende aannemelijk om daarop in kort geding vooruit te lopen. Daarbij telt dat de vraag naar die indirecte herleidbaarheid niet eenvoudig van aard is, nu het antwoord erop een gedetailleerde beoordeling vergt van de precieze inhoud van hetgeen door een instantie aan gegevens wordt geregistreerd en de wijze van registratie, alsmede een adequaat zicht op de zich steeds verder ontwikkelende (informatie-)technologische middelen die ter identificering van de betrokken persoon kunnen worden ingezet. Anders dan aan de hand van de onder 4.9 en 4.10 weergegeven stellingen – die, zoals onder 4.11 overwogen, niet tot het gelijk van eiseressen leiden – heeft het partijdebat in dit kort geding op dit punt geen vorm gekregen. Ook daarom komt de voorzieningenrechter hier niet tot een ander oordeel.”
Er speelt nog steeds de vraag over de indirecte herleidbaarheid. Bovendien is de Autoriteit Persoonsgegevens na het stellen van een lijst met vragen 40 vragen(zie punt 2.11 van de rechterlijke uitspraak) nog steeds niet( na meer dan een jaar) tot een beslissing gekomen op een aan haar gedaan handhavingsverzoek door één van de eiseressen in de rechtszaak inzake het verzamelen en verwerken van ROM-data door SBG. Daar wilde de rechter in Kort Geding niet op vooruitlopen.