| Ingediend | 23 april 2014 |
|---|---|
| Beantwoord | 9 september 2014 (na 139 dagen) |
| Indiener | Henk van Gerven |
| Beantwoord door | Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD) |
| Onderwerpen | organisatie en beleid recht staatsrecht zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2014Z07519.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20132014-2956.html |
De privacyverklaring en de daaraan gekoppelde regeling zijn bekend bij alle zorgverzekeraars. Helaas is inderdaad gebleken dat niet alle medewerkers van verzekeraars goed op de hoogte waren van deze regeling. Ik verwacht van zorgverzekeraars dat zij zorgen voor een adequaat kennisniveau van hun medewerkers. Inmiddels hebben zorgverzekeraars de medewerkers waar dit relevant voor is nogmaals gewezen op het bestaan van de privacyregeling.
SBG wordt bestuurd door GGZ Nederland, het Landelijk Platform GGz (LPGGz) en Zorgverzekeraars Nederland (ZN). Het doel van de stichting is om – door het leveren van spiegel- en benchmarkinformatie – de kwaliteit en de transparantie van de geestelijke gezondheidszorg (ggz) te verbeteren. SBG is een Trusted Third Party (TTP). Dit wil zeggen dat SBG een onafhankelijke en onpartijdige organisatie is en niet – zoals u stelt – «rechtstreeks verbonden aan zorgverzekeraars».
SBG ontvangt gepseudonimiseerde2 en anonieme patiëntgegevens, aangevuld met achtergrondinformatie en informatie die wordt verkregen door het routinematig meten van behandeluitkomsten via de ROM-methodiek (ROM staat voor Routine Outcome Monitoring). Deze informatie betreft zowel begin- als eindmetingen van de toestand van een ggz-cliënt, beide uitgevoerd door de behandelende zorgaanbieder aan de hand van ROM-vragenlijsten. Om ervoor te zorgen dat deze gegevens onderling beter vergelijkbaar worden, worden deze verrijkt met achtergrondinformatie van de gepseudonimiseerde cliënten, zodat de gemeten behandeluitkomsten hiervoor kunnen worden gecorrigeerd (de zogeheten casemix-correctie).
Al deze informatie wordt vervolgens door SBG verwerkt tot spiegelinformatie (op het niveau van groepen patiënten) over de effectiviteit van de geboden zorg. Door middel van een beveiligde webbased softwaretoepassing (de Benchmark Rapportage Module, BRaM) ontstaat inzicht in de geaggregeerde resultaten die gemiddeld behaald worden bij grote groepen patiënten. De BRaM toont uitsluitend spiegelinformatie aan daartoe geautoriseerde personen. Zorgaanbieders kunnen met BRaM rapportages maken op het niveau van de instelling als geheel, per locatie, per afdeling en per behandelaar. De resultaten van het eigen organisatieonderdeel kunnen daarbij worden afgezet tegen de SBG-benchmark, het landelijk gemiddelde. Voor zorgverzekeraars is – naast informatie over het landelijk gemiddelde, de SBG-benchmark – alleen informatie op instellingsniveau beschikbaar en dan alleen voor zover het ggz-instellingen betreft waarmee zij een overeenkomst tot inkoop van zorg hebben of van ggz-instellingen die hen daartoe geautoriseerd hebben.
Zorgaanbieders kunnen de door SBG geleverde spiegel- en benchmarkinformatie gebruiken om hun behandelingen en zorgprogramma’s te verbeteren en eventuele praktijkvariatie te reduceren. Een zorgaanbieder kan dit intern uitvoeren en/of in samenwerking met collega-zorginstellingen. Zorgverzekeraars kunnen deze spiegel- en benchmarkinformatie gebruiken in hun dialoog met de door hen gecontracteerde zorgaanbieder(s). Momenteel onderzoekt SBG met het LPGGz de mogelijkheden om op termijn de benchmark gegevens beschikbaar te stellen aan patiënten als keuze-informatie.
Het College bescherming persoonsgegevens (CBP) heeft als eis gesteld dat de gepseudonimiseerde gegevens niet indirect identificerend mogen zijn. Het CBP heeft in een brief van 10 januari 2006 en in het consultatiedocument CBP Richtsnoeren actieve openbaarmaking van maart 2008, aangegeven dat gegevens (direct of indirect) identificerend zijn als die gegevens «redelijkerwijs, zonder onevenredige inspanning» kunnen worden gebruikt om de identiteit van een persoon vast te stellen.3 SBG heeft diverse maatregelen genomen om invulling te geven aan deze eis:
Voor een blijvende naleving van de Wet bescherming persoonsgegevens (Wbp) heeft SBG conform de voorschriften van het CBP4 een Functionaris voor de Gegevensbescherming in dienst. Deze is aangemeld bij het CBP en als zodanig ook terug te vinden in het openbaar register van Functionarissen voor de Gegevensbescherming op de website van het CBP. Deze functionaris houdt onafhankelijk toezicht op de (voortdurende) toepassing en de naleving van de Wbp. Tevens ziet deze functionaris toe op de algemene kwaliteit van het beleid en uitvoering inzake de bescherming van persoonsgegevens in de organisatie, onder andere met interne audits. Periodiek toetst ook een externe auditor de naleving van de werkprocedures van SBG. De bescherming voor een onafhankelijk optreden van de Functionaris voor de Gegevensbescherming en diens wettelijke taak is vastgelegd in de Wbp.
Verzekeraars hebben via SBG geen toegang tot privacygevoelige informatie. Ten eerste heeft SBG, zoals toegelicht bij vraag 6, diverse maatregelen genomen ter invulling van de eis van het CBP dat gegevens niet zonder onevenredige inspanning herleidbaar mogen zijn naar een persoon. Ten tweede borgt het SBG Dataprotocol dat zorgverzekeraars uitsluitend toegang krijgen tot gemiddelde uitkomstgegevens van groepen van patiënten op geaggregeerd niveau en niet tot gegevens op het niveau van individuele (gepseudonimiseerde) patiënten.
Zie antwoord vraag 7.
Ik deel die mening niet. Zoals toegelicht ben ik van mening dat SBG maatschappelijk relevante doelen dient.
Het jaarlijks budget van Stichting Benchmark GGZ bedraagt 2 miljoen euro. Bij de oprichting van SBG zijn de kosten als volgt verdeeld: het benchmarken wordt gefinancierd door de zorgverzekeraars, de zorgaanbieders financieren het verzamelen van de onderliggende ROM-gegevens en de correcte aanlevering ervan aan SBG.
Ik ben met professor dr. Van Os van mening dat gegevens alleen verzameld moeten worden als daar maatschappelijk iets nuttigs mee gebeurt. Op het maatschappelijke nut van de gegevensverzameling in het kader van ROM door SBG ben ik reeds uitvoerig ingegaan.
De gegevensverzameling van SBG geschiedt in verschillende onderscheiden stappen:
Op de verschillende onderscheiden stappen zijn verschillende wettelijke kaders van toepassing:
Ad a
Het bij de intake diagnostisch classificeren van de cliënt en het gedurende de behandeling periodiek gegevens verzamelen over de uitkomst van de behandeling, maken beide deel uit van het reguliere klinische proces. Voor het verzamelen van die (ROM-)gegevens is geen expliciete toestemming nodig van de patiënt. De verwerking van gezondheidsgegevens valt onder artikel 21, eerste lid, aanhef en onder a, juncto artikel 21, tweede lid, van de Wbp. Wel moet de behandelaar op grond van de WGBO de patiënt bij aanvang van de behandeling melden welke gegevens waarom worden vastgelegd en wat de behandelaar met die gegevens doet.
Ad b
De behandelaar versleutelt het BSN met het oog op de aanlevering van gegevens aan SBG. De versleuteling maakt geen deel uit van de behandeling van de patiënt. Omdat het om de verwerking van persoonsgegevens gaat moet er een grondslag zijn in de Wbp. De verwerking van persoonsgegevens is op grond van artikel 8, aanhef en onder a, Wbp toegestaan indien de patiënt daarvoor toestemming heeft verleend.
Ad c en d
De behandelaar levert de niet meer tot de patiënt herleidbare gegevens aan bij ZorgTTP. Omdat er geen sprake meer is van persoonsgegevens in de zin van de Wbp is de wet niet van toepassing op de versleuteling door ZorgTTP.
Ad e en f
Op de verstrekking van de door de zorgaanbieder en ZorgTTP gepseudonimiseerde gegevens aan SBG en de verwerking van die gegevens door SBG is de Wbp niet van toepassing (omdat er geen sprake meer is van persoonsgegevens als bedoeld in de Wbp).
Medisch wetenschappelijk onderzoek met patiënten mag alleen worden uitgevoerd als er een juiste balans is tussen het belang van de onderzoeksvraag en de belasting die de procedures van het onderzoek voor de patiënt met zich meebrengt. Dit wordt getoetst door een van de elf (11) Medisch Ethische Toetsing Commissies die Nederland heeft. Er is ook een overkoepelend orgaan, de Centrale Commissie Mensgebonden Onderzoek (CCMO).
SBG heeft, samen met professor dr. Van Os, de vraag of de gegevensverzameling door SBG onder de Wet Medisch-wetenschappelijk Onderzoek met mensen (WMO) valt en METC-plichtig is, voorgelegd aan de CCMO. De vraag is vorig najaar besproken in een plenaire vergadering van de CCMO. Het standpunt van de commissie is dat het hier geen wetenschappelijk onderzoek betreft en de dataverzameling en -analyse daarom niet onder de Wet Medisch-wetenschappelijk Onderzoek met mensen (WMO) vallen.
Ik ben het dus oneens met de uitspraak van professor dr. Van Os dat de dataverzameling door SBG onethisch en onwettig is.
Zie antwoord vraag 12.
Nee, ik ondersteun de missie en doelstellingen van SBG, zoals toegelicht in de voorgaande antwoorden, waarbij ik wel wil onderstrepen dat een adequate waarborging van de privacy van patiënten van groot belang is en blijft.
Het is een feit dat het DIS een zeer omvangrijke database is die gegevens bevat die – indien deze tot identificeerbare individuen herleidbaar zouden zijn, wat niet zo is – privacybelastend zouden zijn. Mijn ambtsvoorgangers, ikzelf en medewerkers van het Ministerie van VWS zijn zich – met het CBP – altijd zeer bewust geweest van dat risico en van het feit dat er daarom altijd adequate (technische en organisatorische) maatregelen nodig zijn om dit risico te beheersen.7
In aanloop naar de instelling van het DIS, heeft mijn ambtsvoorganger in 2005 advies gevraagd aan het CBP over het toepassen van pseudonimisering van medische persoonsgegevens voordat ze het DIS bereiken en voordat ze worden opgeslagen in het DIS. Bij pseudonimisering van persoonsgegevens worden de identificerende kenmerken van personen op een zodanige manier (vooraf) versleuteld en omgezet in een pseudo-identiteit, dat de werkelijke identiteit van de betreffende personen niet meer te achterhalen is. Direct identificerende gegevens worden dubbel versleuteld (oftewel dubbel gepseudonimiseerd) vóórdat ze worden opgeslagen in het DIS: de eerste versleuteling wordt uitgevoerd door de zorgaanbieder die de gegevens aanlevert en de tweede versleuteling door een externe, onafhankelijke organisatie, ZorgTTP (Zorg Trusted Third Party) genaamd. De pseudonimisering is zo ingericht dat deze onomkeerbaar is en daarmee dus niet meer herleidbaar tot individueel identificeerbare personen.
Het CBP heeft in een brief van 10 januari 2006 op het voornoemde adviesverzoek gereageerd. Het CBP bevestigde – zoals ook in de uitzending van Zembla werd aangehaald – dat het DIS «een van de meest risicovolle verwerkingen in Nederland» is en dat «dit maakt dat bij de verdere uitwerking van de pseudonimisering van het DIS de hoogst denkbare maatstaven dienen te worden gehanteerd». Het CBP gaf toen aan dat de destijds aan het CBP voorgelegde aanpak bij het DIS «een correcte toepassing van de pseudonomiseringsoplossing» beschrijft.
Het CBP heeft daarnaast ook als eis gesteld dat de gepseudonimiseerde gegevens niet indirect identificerend mogen zijn. Gegevens zijn volgens het CBP (direct of indirect) identificerend als die gegevens «redelijkerwijs, zonder onevenredige inspanning» kunnen worden gebruikt om de identiteit van een persoon vast te stellen.
Het DIS heeft aan deze eisen van het CBP invulling gegeven door diverse technische en organisatorische maatregelen te nemen, te weten:
Het Centraal Bureau voor de Statistiek (CBS) is de enige ontvanger van DIS-gegevens die op wettelijke grondslag koppelingen mag leggen tussen DIS-gegevens en andere gegevensbestanden. Alleen op deze manier kan het CBS statistieken maken over de relatie tussen enerzijds het zorggebruik en anderzijds bevolkingskenmerken, zoals inkomenspositie of woonsituatie. Het CBS heeft daarvoor in 2006 expliciet akkoord gekregen van het CBP. Het CBP heeft dat gedaan met de wetenschap dat daarmee aan het CBS als enige afnemer de sleutel wordt verstrekt «waarmee de (aan CBS verstrekte) pseudo-identiteiten alsnog kunnen worden geïdentificeerd.»8 Het CBP deed dit in verband met de wettelijke positie van het CBS. Het aanvullende privacyrisico achtte het CBP gering omdat het CBS reeds het wettelijk recht heeft persoonsgegevens op te vragen en de wet het CBS verbiedt deze verder te verspreiden en openbaar te maken op individueel niveau. De juridische kaders waarbinnen het CBS met privacygevoelige informatie om mag gaan zijn geregeld in de CBS-wet9 en de Wbp.
Gedurende het hele proces waarmee DIS-gegevens aan andere gegevens worden gekoppeld blijven identificerende persoonsgegevens (BSN en geboortedatum) versleuteld. CBS-medewerkers die statistische werkzaamheden uitvoeren hebben daarom géén toegang tot de identificerende persoonsgegevens in relatie tot DIS-bestanden.
Gelet op de context van uw vraag, beperk ik mij in de beantwoording tot uw opmerking dat het DBC-systeem de privacy van patiënten in gevaar zou brengen en dat dit het faillissement van het DBC-systeem zou betekenen. Het CBP en de rechter hebben bepaald dat het huidige DBC-systeem, inclusief de daarbij behorende regelgeving, géén onevenredige inbreuk doet op de privacy van patiënten. In het najaar van 2005 is het CBP akkoord gegaan met het gebruik van de huidige diagnose-informatie op DBC-niveau in het declaratieverkeer in de somatische zorg, onder de uitdrukkelijke voorwaarde dat op de middellange termijn het aantal DBC’s zou worden teruggedrongen door indikking of vergroving (dit is met de DOT-operatie gebeurd). Daarnaast is de privacy van patiënten binnen het DIS en bij het CBS beschermd door de hiervoor genoemde risico-beheersende maatregelen. Het College van Beroep voor het bedrijfsleven heeft in twee uitspraken in relatie tot de ggz geoordeeld dat de vermelding van diagnose-informatie op de declaratie niet onrechtmatig is, mits wordt voldaan aan bepaalde voorwaarden (LJN: BN3056 en BV8297). Met de huidige regelgeving wordt aan die voorwaarden voldaan. Ik ben het dan ook niet eens met uw conclusie.
De vragen van het Kamerlid Van Gerven (SP) over het bericht dat de privacy van patiënten slecht gewaarborgd is (2014Z07519) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. De reden van het uitstel is dat voor de beantwoording meer tijd nodig is om informatie in te winnen bij derden. Ik zal u zo spoedig mogelijk de antwoorden op de kamervragen doen toekomen.