Zorgautoriteit verzamelt ongevraagd gegevens over 800.000 ggz-patiënten

De Nederlandse Zorgautoriteit (NZa) verzamelt sinds 1 juli gegevens over honderdduizenden ggz-patiënten, zonder dat die hiervoor toestemming hebben gegeven. Psychiaters, psychologen en andere zorgverleners zijn verplicht om deze informatie aan te leveren. De NZa stelt dat de informatie gedepersonaliseerd is en niet te herleiden tot individuele patiënten, maar dat het over aanvullende informatie beschikt om dit wel te doen. “De NZa zal deze koppeling niet uitvoeren”, aldus de Zorgautoriteit. Eerder stelde de Spaanse privacytoezichthouder dat pseudonimisering geen anonimisering is.

De NZa ontvangt informatie over gedeclareerde zorgprestaties inclusief de informatie die bij de declaratie op de factuur moet worden vermeld zoals het gekozen zorgvraagtype en de DSM-diagnosehoofdgroep. Daarnaast bevat de informatie een gepseudonimiseerd Burgerservicenummer (BSN). Daarnaast ontvangt NZa in een aparte informatiestroom gegevens over de zorgvraagtypering, waaronder de antwoorden op de HONOS+-vragen, het geadviseerde zorgvraagtype en het gekozen zorgvraagtype.

HONOS staat voor Health Of the Nation Outcome Scales en is een vragenlijst die een behandelaar over zijn patiënt invult. Het gaat dan om zaken als problematisch alcohol- of drugsgebruik, hyperactief, agressief, destructief of geagiteerd gedrag, problemen als gevolg van hallucinaties en waanvoorstellingen, suïcidepogingen en gedachten over suïcide, problemen met relaties en overige psychische en gedragsproblemen.

Een vaak aangegeven probleem met pseudonimisering is dat door het aanvullen van de gepseudonimiseerde informatie met andere gegevens identificatie van personen toch weer mogelijk is. Ook bij de NZa is dat het geval. Dankzij een aantal “identieke informatie-elementen” in de twee informatiestromen die de Zorgautoriteit ontvangt kan het patiënten identificeren. “De NZa zal deze koppeling niet uitvoeren”, aldus de Zorgautoriteit.

Critici van de dataverzameling spreken van een doorbreking van het medisch beroepsgeheim. “Het gaat om het massaal doorbreken van het medisch beroepsgeheim. Dat waarborgt datgene wat in vertrouwen tussen beide is uitgewisseld. Door het zonder toestemming opsturen van gepseudonimiseerde HONOS+-lijsten richting NZa wordt het medisch beroepsgeheim doorbroken. Immers, pseudonimiseren vertraagt slechts het tot persoon herleiden van data en sluit het niet uit”, zegt W.J. Jongejan ZorgIctZorgen.

Ook Jongejan wijst naar de mogelijkheid van de Zorgautoriteit om personen toch te identificeren. “De NZa zegt die koppeling niet te willen doen en heeft door wat trucjes de mogelijkheid kleiner gemaakt, maar de mogelijkheid is er wel. Verdwijnt het medisch beroepsgeheim dan is ook het vertrouwen van de cliënt/patiënt in de zorgverlener verdwenen.”

Patiënten kunnen door het invullen van een privacyverklaring aangeven dat ze bezwaar maken tegen het delen van gegevens die te herleiden zijn tot een door de zorgaanbieder met betrekking tot de patiënt gestelde diagnose en/of zorgvraagtypering. Voor patiënten die deze verklaring hebben ondertekend mogen zorgaanbieders geen privacygevoelige gegevens doorgeven aan de NZa en aan zorgverzekeraars, zoals de diagnosehoofdgroep en het zorgvraagtype. De verplichting om deze informatie te registreren blijft wel van toepassing.

De Autoriteit Persoonsgegevens heeft eerder al aangegeven dat medische gegevens niet zonder toestemming van de patiënt mogen worden verstrekt. Volgens Cobie Groenendijk, van privacygroep Stop de benchmark met ROM, kan de NZa de gedetailleerde patiëntgegevens opvragen op basis van een ministeriële regeling, die een beroep doet op een uitzonderingsgrond van de AVG.

“In feite wordt met een simpel briefje van de minister de AVG en de Europese richtlijnen voor privacy én het parlement omzeild. Burgers moeten ondertussen wel hun meest persoonlijke gegevens verstrekken”, zo laat ze tegenover Trouw weten. De NZa zegt dat het de regeling tot twee keer voorgelegd heeft aan de Autoriteit Persoonsgegevens en dat die hierover geen opmerkingen had (pdf).

Volgens Jongejan is deze opmerking van de NZa vreemd. “In de eerste plaats kan je niet modus operandi tevoren aan de AP voorleggen met de vraag of deze het op voorhand er mee eens is. De AP zal zich bij zo’n vraag alleen maar in algemene bewoordingen uitlaten.” Verder merkt Jongejan op dat het vermelden dat het allemaal wel mag van de eigen functionaris NZa-gegevensbescherming niets zegt. “Dat heeft een hoog “Wij van WC-eend adviseren WC-eend-gehalte”.”

De NZa zegt inmiddels op de eigen website de onrust die is ontstaan over de waarborging van de privacy van patiënten in de geestelijke gezondheidszorg te betreuren. “De Nederlandse Zorgautoriteit vindt de privacy van patiënten van het grootste belang.”

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl