De Kwaliteitsslag – Deel 6

En toen was het spel op de wagen! Eind maart schreef minister Schippers over de aanlevering van ROM-data aan SBG: “Met de uitspraak van de Autoriteit Persoonsgegevens is duidelijk geworden dat pseudonimiseren geen anonimiseringmethode is […] Voor de verwerking van (dubbel) gepseudonimiseerde gegevens is dus een wettelijke grondslag nodig op basis van de Wet bescherming persoonsgegevens (Wbp). Het verkrijgen van expliciete toestemming van de patiënt is een van de grondslagen. Omdat het toestemmingsvereiste sinds de genoemde uitspraak van de AP de enige wettelijke grondslag is voor ROM, ben ik in overleg met partijen en de AP. Ik wil daarbij bezien of nadere wetgeving nodig is.” Wie de discussie een beetje gevolgd heeft, weet dat dit een verreikende uitspraak was: het betekende, dat een wettelijke basis voor de aanlevering naar en opslag van ROM gegevens bij SBG, ontbrak. Dit had een aantal gevolgen. Na enig overleg kwamen er berichten vanuit diverse ggz-werkgevers- en beroepsorganisaties, met het advies de aanlevering aan SBG op te schorten, tot het juridisch vraagstuk opgehelderd was. Vrijwel tegelijk verschenen stukken rond de (juridische en praktische) implicaties van deze stand van zaken. Nu het protest tegen ROM-benchmarking ook real-world gevolgen kreeg, verscherpte de toon van de ROM-publicaties, met her en der onaangename pogingen de druk op te voeren of deelnemers weg te zetten. ‘Sound and fury, signifying nothing,’ zoals de bard al zei. Interessanter is het om eens wat nauwkeuriger te kijken naar privacy, wetgeving, en ROM.

Nou weet ik, dat na de vorige zin al één derde van de lezers weggezapt heeft. Dus fijn dat u tenminste gebleven bent! Lezen over de juridische aspecten van privacy is voor velen ongeveer even spannend en urgent als je pensioenwijzer doorspitten, en we zijn inmiddels helemaal geconditioneerd om de lappen tekst over privacy op onze apps en op internet snel door te klikken. Eigenlijk maken we er ons alleen maar druk om als Zembla een schandaal door onze strot ramt, en dan zeggen we: ‘poeh poeh’. Het is tekenend dat de namen die in onze geheugen gegrift zijn betreffende de grootste privacy-schandalen van de laatste tijd (Bradley Manning, Edward Snowden, Julian Assange) die van de klokkenluiders zijn (en ook allemaal gecriminaliseerd) en niet van officials die data onwettig verzameld en opgeslagen hebben. Dit wijst ons er ook op, dat overheden niet als hoeders van uw privacy gezien kunnen worden, en daarbij afhankelijk van het belang de grenzen van de wet kunnen opzoeken en soms overtreden. Uit een recente Canadese studie bleek zelfs dat de overheid daar een grotere bedreiging van de privacy van burgers vormt dan bedrijven. Hoe dan ook, in ons semi-private zorgstelsel gaat het om beide, waarbij we niet moeten vergeten dat het niet alleen overheid en zorgverzekeraars zijn die de data in bezit hebben, maar ook de zorginstellingen, en de zogenaamde ‘Trusted Third Parties’. Aan de andere kant van de lijn gaat het om patiënten, maar ook om zorgverleners. Immers, benchmarking is vooral ook bedoeld om hún praktijken aan het licht te brengen (speciaal voor de ggz wordt de huidige situatie nogal eens dramatisch als ‘black box’ aangeduid, een woord dat inmiddels zijn weg gevonden heeft naar de StopROM bingo. Meer daarover een andere keer). Net als bij andere privacykwesties is het dan verleidelijk om te suggereren dat mensen die zich om privacy druk maken iets te verbergen hebben. Hier een mooie TED talk waarin dit argument behandeld wordt:

Glenn Greenwald benadrukt hierin onder andere het belang van een vrije, vertrouwde plek waarin je je onbespied weet, om vrijuit te kunnen spreken. Die vrijheid is van groot belang voor de zorgprofessional om allerlei redenen, onder andere omdat soms de belangrijkste diagnostische informatie het meest schaamte- of angstbeladen is, maar wetende hoe groot de rol van maatschappelijk stigma en zelfstigma is bij mensen die lijden aan psychische aandoeningen, is het belang van een veilige, vertrouwde ruimte cruciaal. En zoals Greenwald opmerkt, als je de camera op je gericht weet en weet wanneer die aan en uit staat, dan heb je nog controle, maar juist als je niet weet wanneer je in de gaten gehouden wordt, raak je je onbevangenheid kwijt, met angstig, conformistisch gedrag tot gevolg. Lees hier het relaas van Judica Berkelaar over de wijze waarop met haar en haar gegevens werd (en wordt) omgegaan.

Maar hoe zit het nou met die ‘dubbele pseudonimisering’? (Ik dacht eerst dat dan je schuilnaam iets met Baden-Baden zou zijn, of van Gelderen Jansens-Koeiezoon o.i.d.) Hiervoor kunnen we terecht bij de blogsite van Wim Jongejan, huisarts en ICT/EPD/LPD/privacy-bolleboos. Hier legt hij uit, met link naar de Europese wetgeving, waarom dubbelgepseudonimiseerde gegevens als persoonsgegevens beschouwd kunnen worden, en wat dan de rol van de Autoriteit Persoonsgegevens zou moeten zijn. In deze blog legt hij uit hoe het zit met de ROM-data. En hier leest u hoe wat pseudonimisering behelst (en hoe die teruggedraaid kan worden). Conclusies o.a.: de data in het SBG-databank kunnen tot de persoon herleid worden, het is niet te achterhalen welke koppelingen met welke databases hebben plaatsgevonden, en met de unieke identificerende codes zouden cliënten die dat willen hun data kunnen laten verwijderen. Maar ja, dan moeten ze wel ook wéten dat hun gegevens daar liggen, en dat ze dat mogen doen. In aansluiting op het antwoord van de minister en de adviezen van diverse ggz-instituten om niet aan te leveren, kwamen er in een latere fase berichten uit waarin gesteld werd dat aanlevering door kon gaan mits met expliciete toestemming van de patiënt. Nou is dat laatste een wat beknopte opvatting van informed consent en de privacywetgeving mbt persoonsgegevens. Want als dus de wet op persoonsgegevens van toepassing is, wat betekent dat dan? Lees hier meer over de Wet Bescherming Persoonsgegevens.

Maar nou komt er nog wat leuks, want Europa heeft ook niet stilgezeten. En zoals u weet is Europa sinds de deconfiture van Wilders, le Pen en Trump weer helemaal hip, dus we doen er goed aan te lezen wat daar, eh ik bedoel, hier (wir sind alle Europäer!) bedacht wordt. Kijk hier maar eens even, en dan leest u -ik verzin dit niet- letterlijk de slogan van de Brexiteers: ‘take back control‘ – of your personal data!!

Image result for take back control

Hier een overzichtelijke site met wat bedrijven moeten doen. Ik ben geen expert, maar ik denk dat deze regels in elk geval voor zorgbedrijven zullen gelden als het om persoonsgegevens gaat. Wilt u echt het naadje van de kous weten, lees dit dan even door, of liever laat uw zoon die rechten wil studeren dat doen en overhoor hem dan.

Er staan een aantal dingen in die voor de hand liggen, zoals duidelijke informatie (informed consent) en toestemming, maar ook nieuwe interessante zoals het recht van de ‘klant’ om toegang te hebben tot zijn of haar data, dat de data voor heldere doelen verzameld mogen worden en niet langer opgeslagen mogen worden dan voor die doelen nodig is. Allemaal beste gewone dingen, wat ligt immers meer voor de hand dan toestemming vragen voor uitvragen, opslaan en doorgeven van gegevens? Nou, daar zitten wat addertjes onder het gras, want zorgbedrijven hebben dit natuurlijk zo efficiënt mogelijk aangepakt, en zijn (nog) niet bedacht op deze Europese regels, althans, ze zijn er (al hadden ze dat wel kunnen weten) niet vanuit gegaan dat het persoonsgegevens betrof. Dus -en de minister schreef dit al- werden zorgen over een nieuwe golf bureaucratie geuit, en het risico dat het percentage geROMden te laag zou worden, waardoor de juist zo gewenste ‘doorontwikkeling’ van de validiteit gevaar zou lopen. Daar spelen nog twee dingen, namelijk het gegeven dat als er echte informed consent wordt toegepast op de ROM, veel minder mensen bereid zijn hun data te delen (zie o.a. onderzoek Maastricht University) en dat het nogal de vraag is, of er sprake kan zijn van vrij gegeven informed consent, als er druk op patiënten wordt gelegd om toestemming te geven. Dat is bijvoorbeeld het geval als in de toelichting op de ROM vragenlijsten aan de patiënt wordt gesteld dat de vragenlijst ingevuld moet worden omdat anders de zorg niet vergoed wordt, of dergelijke teksten (verband houdend met de verplichting een quotum aan ROM’s aan de verzekeraar aan te leveren). De patiënt kan zich dan verplicht voelen toestemming te geven, en wordt in elk geval in een minder vrije positie gebracht. Met de Europese wetgeving in de hand zou hierover veel meer duidelijkheid en eenduidigheid moeten komen voor patiënten en behandelaars.

Inmiddels is het zo, dat er vooral onduidelijkheid heerst. Minister van Rijn suggereerde in de beantwoording van Kamervragen dat deze regelgeving omzeild zou kunnen worden met een beroep op het algemeen belang. Een noodgreep, zo lijkt het, om uit de klauwen van de Europese wetgeving te blijven en de trein zonder al te veel tussenstops te laten doordenderen. Ondertussen weten veel behandelaren, patiënten, en familieleden, en misschien ook de spelers in dit debat zelf niet, wat nu de juiste juridische stand van zaken is. Wel of niet informed consent? Hoe dan? Met een handtekening in het EPD? Hoe zit het met al die ICT systemen die opgetuigd zijn rond ROM? Tegen het licht van de nieuwe wetgeving en alle betrokken partijen is het misschien niet eens zo raar dat het de laatste tijd wat stil blijft. Maar inmiddels heeft de SBMR-groep besloten om e.e.a. aan de rechter voor te leggen, zodat er in elk geval op een aantal punten wat meer duidelijkheid komt.

Ik vermoed dat dit nog wel even een tijdje een wat mistig gebied zal blijven, maar dat is niet zonder risico voor patiënten, voor behandelaren, en voor zorginstellingen. In eerste instantie is dit een juridische discussie, en daarmee niet mijn forte. Dus: we houden u op de hoogte, maar volgende keer keren we terug naar waar het allemaal om begonnen was: KWALITEIT!!

Hier nog een aantal handige sites over privacy en de zorg:

https://www.privacybarometer.nl/
https://platformburgerrechten.nl/
http://www.kdvp.nl/

Happy Pentecost!

~AR

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s