VERTROUWELIJKHEID EEN NOODZAKELIJK INSTRUMENT IN DE GEESTELIJKE GEZONDHEIDSZORG

Transcriptie

1 VERTROUWELIJKHEID EEN NOODZAKELIJK INSTRUMENT IN DE GEESTELIJKE GEZONDHEIDSZORG Controle over beheer en gebruik van Medische Gegevens en het Medisch Beroepsgeheim; een visiedocument over de verwerking van behandelgegevens in de GGZ 4 april 2010 hdevos@voswiz.nl

2 VERTROUWELIJKHEID EEN NOODZAKELIJK INSTRUMENT IN DE GEESTELIJKE GEZONDHEIDSZORG : Controle over beheer en gebruik van Medische Gegevens en het Medisch Beroepsgeheim Een visiedocument over de verwerking van behandelgegevens in de GGZ In opdracht van de KDVP Hugo de Vos, Voswiz 2010 Voswiz Ooststeeg AT Wageningen hdevos@voswiz.nl Een door Senternovem erkende Kennisinstelling voor de Zorg

3 Inhoudsopgave 1 Inleiding Doelen van informatiegebruik binnen de DBC structuur: Route via DIS ZorgTTP DIS (DBO) NZa CVZ Het CBS Conclusies Declaratieroute Vecozo de Zorgverzekeraars Vektis en ZN CVZ Conclusies declaratie route Privacy Verzending gegevens: Pseudonimisering en versleuteling: Duplicering van data en regels rond opslag Combinatie van bestanden Kwaliteit, transparantie en toezicht binnen het Medisch Beroepsgeheim Alternatieven Kwaliteit en transparantie Transparantie en zorginkoop Verantwoording Risicoverevening? Enige conclusies... 64

4 1 Inleiding Sinds eind jaren 90 is er sprake van een sterke groei in het gebruik van informatietechnologie in de zorgsector om daarmee een systeem van managed care tot stand te brengen 1. De ontwikkeling van managed care kent een lange voorgeschiedenis in de Verenigde Staten en komt vooral voort uit een streven om vraag en aanbod dichter bij elkaar te brengen, door intensief gebruik te maken van informatietechnologie. In de praktijk betekent de invoering managed care dat IT bedrijven ondersteuning bieden aan overheid, farmaceutische industrie, zorgverzekeraars, zorgverleners en/of zorgmakelaars. Bij managed care worden door IT specialisten analyses uitgevoerd op grote hoeveelheden data over behandelingen, patiënten, behandelaars en financiële stromen. Met deze analyses kunnen bijvoorbeeld kosten van behandelaars(groepen) worden gemonitored, indicatoren worden opgesteld voor efficiëntie, (kwaliteits-) protocollen worden geformuleerd, risicoprofielen worden opgesteld en hiaten in de dienstverlening worden verkend. Bij alle aandacht voor de mogelijkheden van digitale gegevensverwerking in de geestelijke gezondheidszorg blijkt vertrouwelijkheid, privacy en beroepsgeheim vaak een onderbelichte kwestie, een kwestie die niet dan wel onvoldoende is meegenomen in het conceptuele ontwerp van systemen voor digitale gegevensverwerking. Privacy aspecten zijn helaas veelal pas achteraf meegenomen in het ontwerp van informatiesystemen voor de verwerking van (psycho-)medische gegevens. De invoering van het Diagnose Behandel Combinatiesysteem in Nederland is een vorm van managed care die tot doel heeft een transparant systeem te creëren dat kosten en kwaliteit van zorg inzichtelijk maakt en onderhandeling in een gereguleerde markt van zorgverzekeraars en zorgaanbieders mogelijk maakt. De invoering van het DBC systeem gaat gepaard met het opzetten van enorme centrale databases met gezondheidsinformatie 2 die worden gevoed met medische persoonsgegevens en behandelinformatie die zorgverzekeraars en overheidsinstanties geautomatiseerd (via geschakelde software) krijgen aangeleverd van zorgverleners. Sinds januari 2008, met de formele invoering van het DBC-systeem in de GGZ, moet er in DBC s gedeclareerd worden. Vanaf 2007 waren zorgverleners echter al verplicht om de zorgverlening in DBC s te registreren, terwijl declaraties - zonder DBC vermelding - nog werden afgehandeld via zorgkantoren en werden betaald vanuit de AWBZ. Met de invoering van het DBC-systeem wordt beoogd om de zorgvraag/diagnose van een patiënt eenduidig te verbinden met een (erkende/toegestane) behandelwijze. Voor 1 Hooghiemstra, T.F.M. (1998) Privacy & managed care Achtergrondstudies en Verkenningen 12 Registratiekamer, december De structurele administratieve lasten (AL) bedragen vanaf 1 januari 2007 vermoedelijk 22 miljoen per jaar. Dit bedrag is de resultante van de AL als gevolg van het DBC Informatiesysteem (DIS), de validatiemodule, de administratieve organisatie en interne controle en softwarelicenties. Hierin zijn de baten van de DBC systematiek op de administratieve lasten niet meegenomen. Klink Brief aan Tweede Kamer DBC s 9 november

5 een bepaalde productgroep (type diagnose in combinatie met behandeling) wordt een vast bedrag toegekend. Met de productgroepen kunnen we precies zien wat een behandelaar doet 3. Al vanaf het begin van de invoering van het DBC systeem in de GGZ zijn er door professionals en wetenschappers kritische opmerkingen gemaakt over zowel de bruikbaarheid als de privacy aspecten van het systeem. In deze notitie worden de privacy aspecten verbonden met aanlevering, verzending, opslag en gebruik van medische gegevens in het GGZ-DBC systeem geanalyseerd. Bij hulpverlening/psychotherapie in de GGZ is vertrouwelijkheid een essentieel instrument bij de behandeling. Vertrouwelijkheid is zowel bepalend voor de kwaliteit van de zorg als voor de toegang tot de zorg in de GGZ. Vertrouwelijke omgang met diagnose- en behandelinformatie is een cruciale, noodzakelijke randvoorwaarde voor een goede geestelijke gezondheidzorg in Nederland. In deel II van dit visiedocument over gevensverwerking in de GGZ zal worden ingegaan op alternatieven voor de huidige praktijk van gegevensverwerking, waarmee de gestelde doelen met betrekking tot aansturing van de zorg in de GGZ kunnen worden bereikt zonder dat zoals nu het geval is vertrouwelijkheid, privacy en beroepsgeheim worden geschonden. DBC s en Privacy Om de invoering van het huidige DBC systeem mogelijk te maken is een complex systeem voor de uitwisseling van behandelgegevens ontwikkeld dat realistische en relevante informatie moet verschaffen op basis waarvan inzicht kan worden verkregen in de aard, de kosten en de kwaliteit van de verleende zorg. Van zorgverleners/psychotherapeuten/psychiaters wordt binnen het zorgverzekeringbestel gevergd dat een groot deel van de behandeladministratie op patiëntniveau geautomatiseerd wordt verzonden naar een grote centrale database, het DBC Informatie Systeem (DIS). De gegevens, verzameld in deze centrale database, worden onder andere gebruikt voor: monitoring, risicoverevening en statistiek. Zowel NZa, CVZ, VWS als het CBS zijn betrokken bij dataverwerking teneinde deze doelstellingen te realiseren, echter ook andere (veld-)partijen kunnen vragen om gegevens uit het DIS. Naast de automatische verzending van behandelgegevens naar het DIS moeten behandelaars declaraties versturen naar zorgverzekeraars met gegevens over de zorgverlener(s), de cliënt, als ook informatie over de diagnose en de behandeling van de cliënt. Op basis van deze informatie beoordeelt de zorgverzekeraar of de gedeclareerde behandeling rechtmatig is en in hoeverre de cliënt recht heeft op vergoeding in zijn of haar specifieke polissituatie 4. De inrichting van de complexe informatie uitwisseling binnen het DBC-systeem zal later in de notitie verder worden uitgewerkt en toegelicht. 3 Swinkels geciteerd in : Privacy in de geestelijke gezondheidszorg - Vrij Nederland Door Carolina Lo Galbo 4 Overheveling van de geneeskundige GGZ naar de Zorgverzekeringswet en de ontwikkeling van een GGZ-DBC declaratiestructuur. Notitie voor het CBP van het VWS verstuurd zomer PDF-versie januari

6 De gezondheidsgegevens uit de centrale database (DIS) kunnen worden bevraagd door een aantal organisaties mits de gegevens worden versleuteld tot pseudoniemen. Voor het gebruik van pseudoniemen in plaats van anonimisering is gekozen omdat zo individuele dossiers blijven bestaan die door de tijd kunnen worden gevolgd en gekoppeld aan corresponderend gepseudonimiseerde informatie uit andere databases. Zo is het op basis van deze pseudonimisering mogelijk koppelingen te maken met gegevens van de belastingdienst, het UWV en zorgverzekeraars 5. Gelet op deze verwerking, dit gebruik van DIS gegevens, is het te begrijpen dat het CBP hierover in 2006 al opmerkte dat het DIS zowel qua omvang, dekking als inhoud één van de meest risicovolle verwerkingen binnen Nederland zal zijn. 6. Om inzicht te krijgen in rechtmatigheid en risico s verbonden met de verwerking van medische gegevens in het DBC-informatiesysteem zoals dat nu functioneert, is het goed de belangrijkste regels en beginselen te beschouwen die in Nederland gelden aangaande bescherming van bijzondere (o.a. medische) persoonsgegevens: 1. Wet bescherming persoonsgegevens De Wet verbiedt gebruik en overdracht van medische persoonsgegevens tenzij voldaan is aan een aantal strenge eisen: - het is noodzakelijk voor een zwaarwegend algemeen belang - er zijn waarborgen ingebouwd ter bescherming van de persoonlijke levenssfeer - er is een wettelijke grond voor het opvragen van de gegevens en verplichten van zorgverleners gegevens te verstrekken. 2. Het Europees Verdrag voor de Rechten van de Mens, artikel 8. Gegevens mogen alleen verstrekt worden bij: - een pressing social need - overeenstemming met de beginselen van proportionaliteit en subsidiariteit. 3 Regels aangaande medisch beroepsgeheim Informatie mag worden doorgegeven als - er toestemming is van de patiënt - een conflict is van (wettelijke) plichten. Een uitzondering is gemaakt voor - degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst voor zover verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden. (art. 457 lid 2 WGBO) - voor wetenschappelijke en statistische doelstellingen. Hierbij geldt een aanvullende Gedragscode Gezondheidsonderzoek. Voor de medische behandelaars betekent dit dat het medisch beroepsgeheim mag worden doorbroken indien: het een wettelijke plicht is, het voor een zeer belangrijk doel noodzakelijk wordt gevonden (pressing social need) en gebruik en gegevens specifiek zijn gedefinieerd/gelimiteerd en er rekening is gehouden met de gevolgen voor de personen van wie gegevens worden doorgegeven (proportionaliteit) en 5 Het gebruik van pseudo-identiteiten binnen de risicovereveningssystematiek Houten, 26 april 2007 ZorgTTP (Oorspronkelijk document opgesteld door IVZ). 6 Brief CBP aan VWS dd. 10 januari 2006 pseudonimisering DIS. Kenmerk: z

7 tenslotte dat er geen redelijke alternatieven (subsidiariteit) bestaan voor het bereiken van het doel. Daarnaast geldt er voor de verwerking van persoonsgegevens een verplichting tot het gebruik van de strengste van de tot op dat moment bekende beveiligingsmogelijkheden op het gebied van fysieke, organisatorische en logische organisatie en verzending van de registratie 7. Beveiliging van verzending en opslag van gevoelige informatie is en blijft een onderwerp van voortdurende discussie. Indeling van de notitie Bij het opstellen van deze notitie is gekozen voor een indeling overeenkomstig de belangrijkste eisen en voorwaarden waaraan voldaan moet worden, wil er sprake zijn van een legitieme doorbreking van privacy en beroepsgeheim bij uitwisseling, opslag en gebruik van medische behandelgegevens. Eerst wordt het systeem beschreven aan de hand van de bestaande infrastructuur en de beoogde doelen (pressing social needs en proportionaliteit), zoals geformuleerd in nationale wetgeving (2) en het Europees Verdrag voor de Rechten van de Mens. Hierna zullen gegevensstromen worden gevolgd om een goede discussie over technologische middelen, privacy en directe en indirecte herleidbaarheid mogelijk te maken (3). Tot slot zal worden gekeken naar een aantal mogelijke alternatieven (subsidiariteit) die kunnen leiden tot minder risicovolle systemen van informatie-uitwisseling voor risicoverevening, kwaliteitsmonitoring en financiële controle op de afwikkeling van behandelingen(4). 7 Brief CBP aan VWS dd. 10 januari 2006 pseudonimisering DIS. Kenmerk: z ; mr. J.A.L. Krabben (2005) Landelijke zorgregistraties Onderzoek landelijke zorgregistraties, Rapport 3; College bescherming persoonsgegevens, Den Haag, maart 2005.; Brief CBP aan VWS dd. 10 januari 2006 pseudonimisering DIS. Kenmerk: z

8 2 Doelen van informatiegebruik binnen de DBC structuur: Met de invoering van de Wet Marktordening Gezondheidszorg (WMG) werd de basis gelegd voor de introductie van het DBC-systeem en werd op hoofdlijnen bepaald hoe dit nieuwe systeem gereguleerd zou worden door de overheid. De wet streeft naar een doelmatig en doeltreffend stelsel van de zorg, de beheersing van de kostenontwikkeling in de zorg, en.. de positie van de consument te beschermen en te bevorderen Het CVZ en de NZa zijn de organen van de overheid aangewezen om de publieke waarborgen verbonden met het gebruik van medische gegevens veilig te stellen. Het is aan het CBP als privacy-toezichthouder om daarbij toe te zien op de borging van privacy rechten van burgers/patiënten en het beroepsgeheim van zorgverleners. Het CVZ beoordeelt welke DBC s in het pakket worden opgenomen op grond van effectiviteit, noodzakelijkheid, kosten effectiviteit en uitvoerbaarheid, en zorgt voor de risicoverevening van kosten voor zorgverzekeraars. De NZa ziet toe op doelmatigheid, kwaliteit en transparantie van de zorgmarkt en stelt maximum tarieven vast. Een private organisatie DBC-onderhoud, die wordt gevormd door marktpartijen (vertegenwoordigende organisaties van behandelaars en zorgverzekeraars), onderhoudt het DBC systeem, doet voorstellen voor nieuwe DBC producten, voor aanpassingen van het systeem en/of voor veranderingen in de toewijzing van kosten (in geval van de GGZ). Het systeem is stapsgewijs ingevoerd sinds Op dit moment vindt een grote reorganisatie plaats van het DBC-systeem voor curatieve zorg op twee niveaus: a) het aantal DBCs wordt door clustering van (waarvan veel gebruikt) teruggebracht naar ongeveer 3000 DBCs en b) het opstellen van declaraties wordt geautomatiseerd - inclusief de toewijzing van DBCs vanuit de administratie van eigenlijke behandelingen. Met deze ingrijpende herstructurering hoopt VWS tegemoet te komen aan een aantal bezwaren waaronder 8 de hoge administratieve lasten verbonden met de huidige systematiek, de verschillende manieren waarop zorgverleners declareren te reduceren, beter inzicht te krijgen in de risico s voor zorgverzekeraars en de ongunstige effecten/werking voor kleine ziekenhuizen te beperken. DBCs en informatie Kernpunten bij de introductie van een systeem van gereguleerde marktwerking is het realiseren van gelijke toegankelijkheid voor iedereen tot kwalitatief hoogwaardige zorg in een goed functionerende transparante markt. Bij de invoering van het DBC systeem is altijd veel nadruk gelegd op kwantitatieve aspecten van monitoring van kosten en kwaliteit. Het systeem is zeer informatie intensief opgebouwd om de sturing door markt en managers te ondersteunen: de echte baten van het DBC systeem 8 O. Lopes Cardozo, Kernziekenhuis zou verademing zijnmedisch Contact 3 december nr. 49; H. Bruins Slot, P. Mokveld en B. Geerdes Veel switchen ondergraaft het DBC-systeem. 114 Medisch Contact 18 januari nr. 3. De Introductie van DBCs en administrieve lasten. VWS notitie, februari

9 hebben betrekking op transparantie, nooit eerder is zoveel informatie beschikbaar geweest over de ziekenhuiszorg zowel voor verzekeraars, patiënten en overheid 9.. De uiterst omvangrijke en complexe product- en marktstructuur die is ontstaan blijkt in de praktijk alleen nog enigszins inzichtelijk voor specialisten die beroepsmatig betrokken zijn bij de uitvoering van dit systeem. Voor patiënten/cliënten noch zorgverleners is sprake van transparantie. De voorgenomen verdere automatisering in het kader van de ingrijpende herstructurering zoals die door VWS is ingezet zal zeer waarschijnlijk geen verandering brengen in deze situatie. De overheid wil met deze veelheid aan gedetailleerde informatie inzicht krijgen in zaken als kostenontwikkeling, prijsontwikkeling en verschillen tussen onderscheiden zorgverzekeraars en zorgaanbieders. Ter vermijding van risicoselectie bij de zorgverzekeraar is - ondermeer gebruikmakend van de behandelinformatie zoals die de laatste jaren is verzameld in het landelijke DBC Informatie Systeem (DIS) - een ex-ante risicovereveningsmodel opgezet waarmee een berekening gemaakt wordt op basis waarvan bepaald kan worden hoe zorgverzekeraars gecompenseerd kunnen worden voor dure klanten. Verbetering van het huidige ex-ante model voor risicoverevening is een moeilijke, maar op termijn wellicht een goede oplossing tot het voorkomen van selectie en uitsluiting van patiënten op grond van hun risicoprofiel 10. Zorgverzekeraars pogen verwijzend naar de organisatie van zorginkoop, fraudebestrijding en de afhandeling van declaraties zo veel mogelijk informatie te verkrijgen over de diagnostiek en geleverde prestaties op patiëntniveau. Binnen de Geestelijke Gezondheidszorg wordt nadrukkelijk gewezen op het essentiële belang van vertrouwelijkheid en handhaving van het beroepsgeheim om zowel de toegang tot de zorg als de kwaliteit van de zorgverlening te garanderen. Gelet op de bijzondere betekenis van vertrouwelijkheid in de geestelijke gezondheidzorg bestaan er in de GGZ ook grote bezwaren tegen de wijze waarop medische persoonsgegevens nu automatisch worden uitgewisseld bij de elektronische afwikkeling van declaraties. Het CBP signaleert met betrekking tot de uitwisseling van diagnose en behandelgegevens bij de afwikkeling van declaraties in de geestelijke gezondheidszorg: het huidige stelsel houdt een substantiële aantasting van de persoonlijke levenssfeer van GGZ-patiënten in, waartegen de nu gestelde noodzaak maar net opweegt 11. Om te komen tot een toetsbaar en beheersbaar DBC systeem worden de bij het DIS aangeleverde medische data ondermeer gebruikt om in het bestaande DBC-systeem bijstellingen en aanpassingen door te voeren. Op dit moment ondersteunt het DIS de ontwikkeling van een nieuw automatiseringstraject van de DBC-systematiek met speciale IT toepassingen waarbij de hele ziekenhuisregistratie automatisch, zonder 9 Brief van Klink aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 9 november 2007 # Invoering Diagnose Behandeling Combinaties (DBCs). 10 Evaluatie Zorgverzekeringswet en Wet op de zorgtoeslag Instituut Beleid & Management Gezondheidszorg (ibmg), Erasmus Universiteit Rotterdam/ NIVEL, Utrecht. Den Haag: ZonMw, september Programma evaluatie regelgeving: deel Brief CBP aan VWS dd. 6 december 2006 DBC-declaratie structuur in de GGZ. Kenmerk: z

10 tussenkomst van zorgverleners, door het DIS wordt omgezet in een DBCadministratie. De private organisatie DBC-Onderhoud vervult binnen het huidige systeem van gegevensuitwisseling een spilfunctie waar het data, kennis en technologie verbonden met de ontwikkelde DBC-systematiek betreft. In onderstaande figuur is de complexe structuur van informatiestromen verbonden met het DBC-regime in de zorg schematisch weergegeven. 8

11 Landelijk Medische Registratie VNZ Zorgaanbieders SFK KNMP ZorgTTP ZORGIS GGZ- NL CBS DBC- Informatie Systeem (DIS) DBConderhoud VECOZO controle verzekeringsrecht portal naar verzekeraars Zorgverzekeraar NZA Markt toezicht Onderhoud Gegevens verstrekking ZorgTTP VEKTIS declaratie bestanden Zorgverzekeraars Nederland CVZ Pakketbeheer Verzekerdenadmin. Risicoverevening Onderzoeks bureaus VWS Verantwoording T.K Risicoverevening CZ beleidsinfo. College Bouw College Sanering Belastingdienst UWV Overigen (WMG ) IGZ NMa AFM FIOD DNB RIVM CPB SCP Raad v. Volksgezondh. Raad v. Gez..Onderz. C. Proc.-Gen. OM Figuur 1 Datastromen in de zorgsector 9

12 De structurele administratieve lasten voor DBC onderhoud en het DIS worden geschat op 22 miljoen Euro per jaar 12. De invoering van een grootschalige informatie-infrastructuur zoals het DBC-regime in de GGZ brengt ook belangrijke verschuivingen teweeg in de verhoudingen tussen partijen in de sector. Met de invoering van het DBC regime in de zorg is vooral de invloed/controle van zorgverzekeraars op zowel vraag (natura polissen) als aanbod (contracteerbeleid) in de zorg sterk toegenomen. Door toenemende differentiatie in de vergoeding van zorgverlening op restitutie basis (vrije keuze van zorgverlener door patiënt/verzekerde) en gecontracteerde zorg (door verzekeraar geselecteerde zorgverleners) komt ook de individuele keuze en toegang tot de zorg steeds meer onder druk te staan. Deze toegenomen invloed en controle door zorgverzekeraars staat op gespannen voet met doelstellingen en effecten zoals die werden nagestreefd met de introductie van gereguleerde marktwerking: het realiseren van gelijke toegankelijkheid voor iedereen tot kwalitatief hoogwaardige zorg in een goed functionerende transparante markt. Het is in dit verband goed op te merken dat de Raad van State bij de invoering van het zorgverzekeringbestel reeds zorgen heeft geuit over het ontstaan van dergelijke onevenwichtige verhoudingen. Omdat er in de GGZ ook serieuze twijfels bestaan over de mate waarin met de huidige DBC-systematiek een betrouwbaar, realistisch inzicht kan worden verkregen in de bestaande behandelingspraktijk is met de introductie van het DBCinformatiesysteem zeker geen transparantie in GGZ-zorg gerealiseerd. Vanuit de sector wordt dan ook steeds nadrukkelijker gepleit voor aanpassing van het DBC-systeem om een meer realistisch systeem voor monitoring, controle en verantwoording te ontwikkelen, dat aansluit op de feitelijke zorgverlening en waarbij de noodzakelijke gegevensverwerking geen doorbreking vormt van het medisch beroepsgeheim en is afgestemd op de cruciale betekenis van vertrouwelijkheid in de geestelijke gezondheidszorg. In de volgende paragrafen zal voor de verschillende overdracht- en uitwisselingsprocedures zoals voorzien in het vigerende DBC-regime worden bekeken hoe door de verschillende organisaties het gebruik van diagnose- en behandelgegevens verkregen via zorgverleners gehouden aan het medisch beroepsgeheim - samenhangt met de doelen waarvoor deze informatie is verzameld. Op basis van deze bespreking van de verschillende informatiestromen zal vervolgens worden nagegaan of wordt voldaan aan het beginsel van doelbinding, en of bij doorbreking van privacy en/of beroepsgeheim sprake is van een pressing social need (i.v.m. toepassing van het proportionaliteitsbeginsel) zoals gedefinieerd in de inleiding. In het volgende onderdeel zal nog niet worden ingegaan op de toepassing van het subsidiariteitsbeginsel en dus ook niet op de vraag of doorbreking van vertrouwelijkheid, beroepsgeheim noodzakelijk kan worden geacht omdat geen minder belastende gegevensuitwisseling mogelijk is. 12 Klink Brief aan Tweede Kamer DBC s 9 november

13 2.1 Route via DIS Het verzamelen van veel, uiterst gedetailleerde diagnose- en behandelinformatie in het DIS moet het mogelijk maken dat allerlei analyses m.b.t. zorg, zorgaanbieders, kosten en behandelmethodes worden uitgevoerd waarmee het toezicht op en de regulering van de zorgmarkt kan worden ondersteund; zoals bij markttoezicht, statistiek, risicoverevening, productontwikkeling en pakketbeheer. Wettelijk is vastgelegd welke data van zorgaanbieders noodzakelijk worden geacht voor de uitvoering van toezicht en regulering in de zorg. Deze zogenaamde Minimale Dataset (MDS) moet door zorgverleners maandelijks worden opgestuurd naar het DIS. Tabel 2.1 Minimale Dataset GGZ NZa. Nadere Regel GG/Nr Regeling verplichte aanlevering minimale dataset GGZ Zvw 11

14 De MDS wordt verzonden door de software van de behandelaars in twee pakketjes. Eén pakketje bevat de persoonsgegevens van de patiënt, het tweede pakketje bevat de behandel gegevens (hierboven: productie per patiënt ) plus de identificatie van de zorgaanbieder, plus het UZOVI nummer, plus het geboortejaar, geslacht en de viercijfers van de postcode. Het eerste pakketje met persoonsgegevens wordt met een sleutel van het ZorgTTP versleuteld en verstuurd naar het ZorgTTP. Pas binnen het ZorgTTP wordt het gekleurde deel aangemaakt; de echte pseudonimisatie. Persoonsgegevens worden enerzijds apart verzonden (gegevens die gaan naar het gekleurde deel in Figuur 2) en anderzijds worden ze gegeneraliseerd (het witte deel in figuur 2) 14. Het witte deel van de figuur hieronder bevat dus de gegeneraliseerde persoonsgegevens die het DIS openlijk kan gebruiken bij het interpreteren van de gedetailleerde behandel gegevens. De kleuren zijn de pseudoniemen, die dienen voor de koppeling van databases door het CBS, CVZ en onderzoeksbureaus, of voor koppeling van data van dezelfde pseudoniemen van verschillende behandelaars. Behalve deze ID-gegevens worden de behandelgegevens (zie ook de MDS), benoemd als rest in figuur 3, onbewerkt doorgeleid naar het DIS. Het witte pakketje zit dus 14 Factsheet Pseudonimisatie ZorgTTP, april

15 in deze rest en deze bevat dus naast gegeneraliseerde persoonsgegevens ook gedetailleerde behandel gegevens. Zowel de ID-gegevens als de behandelinformatie wordt door de software van de behandelaar van een sleutel voorzien. Deze versleuteling is echter uiterst zwak 15 en ook ZorgTTP blijkt zich daarvan bewust te zijn 16. Vullen we in figuur 3 voor bronsysteem behandelaar in en voor CVZ het DIS dan zien we deze verzending schematisch weergegeven. Het deel met volledige ID-gegevens (zie gekleurde deel in figuur 2) kan alleen door het ZorgTTP worden uitgepakt. Het deel met behandelgegevens kan alleen door het DIS worden uitgepakt. Een gedeelte van de ID-gegevens wordt door het ZorgTTP gepseudonimiseerd (de gegevens met kleuren uit Figuur 2). Figuur 3 Het pseudonimisatieproces 17 Zowel de gepseudonimiseerde ID-gegevens als de versleutelde behandelgegevens met geaggregeerde persoonsgegevens (zie voor inhoud van deze dataset de productie per patiënt in tabel 2.1) worden van de behandelaar via de ZorgTTP naar het DIS gestuurd. Als we voor het bronsysteem het DIS invullen zien we hoe de versturing van data vanuit het DIS naar CVZ verloopt (figuur 3). De NZa is verantwoordelijk voor de organisatie en het correct functioneren van dit informatiesysteem. De NZa moet er op toezien dat data overeenkomstig de voorwaarden die wet en regelgeving daar aan stellen, worden aangeleverd en verwerkt voor specifieke in de wet genoemde doelen. Indien een van de partijen betrokken bij aanlevering, gebruik, verwerking van deze gegevens zich niet houdt aan geldende voorschriften is de Nza bevoegd om handhavend op te treden. Tot op heden heeft de Nza deze bevoegdheid alleen ingezet tegen zorgverleners. Het beheer van dit datasysteem is uitbesteed aan een private instelling; het DBConderhoud. 15 Paul Vogel Een eerste analyse van het ZorgTTP pseudonimisatie systeem, juni idem 17 Het gebruik van pseudo-identiteiten binnen de risicovereveningssystematiek Houten, 26 april 2007 ZorgTTP (Oorspronkelijk document opgesteld door IVZ). 13

16 Bij de introductie van het DBC-informatiesysteem voor de GGZ is veel bezwaar gemaakt tegen de aanlevering van zeer gedetailleerde diagnose- en behandelgegevens bij het DIS. Bij de start werden psycho-medische data voor de GGZ geanonimiseerd 18, zonder persoonsgegevens aangeleverd. Omdat VWS behandelgegevens van patiënten door de tijd wilde kunnen volgen en daarnaast de DIS-data ook wilde kunnen koppelen aan informatie uit andere gegevensbestanden, zijn in opdracht van het ministerie procedures voor pseudonimisering ontworpen. Volgens VWS zijn de ingestelde procedures voor pseudonimisering zodanig ontworpen dat bij opslag, uitwisseling en koppeling van DIS-data geen sprake is van verwerking van persoonsgegevens. Deze conclusie van VWS is uiterst merkwaardig omdat er wel degelijk persoonsgegevens worden doorgegeven, te weten 4 cijfers van de postcode, geslacht, geboortejaar, landcode, een (versleutelde) BSN en informatie over de behandelaar. Het CBP heeft deze constructie met een aantal kanttekeningen voorwaardelijk goedgekeurd: Door pseudonimisering onttrekt deze verwerking zich aan stringente wettelijke normen. Dit maakt dat bij de verdere uitwerking van de pseudonimisering van het DIS de hoogst denkbare maatstaven dienen te worden gehanteerd 19. Het is echter belangrijk deze voorwaardelijke, geclausuleerde goedkeuring door het CBP kritisch tegen het licht te houden, omdat daaruit valt af te leiden dat DIS-data en/of de data die worden geleverd aan en/of uitgewisseld met andere partijen onder omstandigheden wel degelijk moeten worden aangemerkt als (medische) persoonsgegevens. Het DIS is niet gerechtigd tot het verwerken van persoonsgegevens 20. Wil er geen sprake zijn van verwerking van persoonsgegevens moet voldaan worden aan de volgende voorwaarden: a. er wordt (vakkundig) gebruik gemaakt van pseudonimisering, waarbij de eerste encryptie plaatsvindt bij de zorgaanbieder; b. er zijn technische en organisatorische maatregelen genomen om herhaalbaarheid van de versleuteling ("replay attack") te voorkomen; c. de verwerkte gegevens zijn niet indirect identificerend, en d. in een onafhankelijk deskundig oordeel (audit) wordt vooraf en daarna periodiek vastgesteld dat aan de voorwaarden a, b en c is voldaan. 21 Door IT-specialisten op het gebied van databeveiliging wordt gesteld dat niet wordt voldaan aan voorwaarde a., omdat de gebruikte methode van pseudonimisering zodanig is gekozen dat op dossierniveau koppeling met gegevens uit andere datasystemen mogelijk is. De combinatie van gehanteerde methodes en de organisatie van de database kunnen niet worden aangemerkt als vakkundig gebruik van pseudonimisering, waarmee herleiding van behandelgegevens naar persoonsniveau kan worden voorkomen (CBP 2005, zie ook hoofdstuk 3). 18 Brief VWS aan de zorgaanbieders in de GGZ. Onderwerp : MDS GGZ. Kenmerk: CZ Inlichtingen bij: E. Cregten. PDF van 3 november Brief CBP aan VWS dd. 10 januari 2006 pseudonimisering DIS. Kenmerk: z Brief CBP aan VWS dd. 12 oktober 2004 Verwerking persoonsgegevens in het DIS z Brief CBP aan VWS dd. 10 januari 2006 pseudonimisering DIS. Kenmerk: z

17 Ook aan voorwaarde b. is niet voldaan vanwege de parallelle beschikbaarheid van niet geanonimiseerde gegevensbestanden naast versleutelde bestanden (zie 2.2.). Met betrekking tot voorwaarde c. kan gesteld worden dat indirecte herleidbaarheid van gepseudonimiseerde behandelgegevens niet kan worden uitgesloten 22. Op grond hiervan moeten DIS-data ook al worden de verschillende methoden van pseudonimisering toegepast - worden aangemerkt als persoonsgegevens waarvan verwerking door het DIS niet is toegestaan (zie 3). Hoewel getracht is de directe risico s voor herleiding van gepseudonimiserde persoonsgegevens te voorkomen, blijkt ook uit de eigen analyse van IVZ / ZTTP dat indirecte herleidbaarheid nog zeer wel mogelijk is: Door gebruik van verschillende sleutels voor verschillende afnemers kan de kans op indirecte herleidbaarheid tot persoonsgegevens sterk worden verminderd. Met deze conclusie wordt expliciet onderkend dat ook met het gebruik van verschillende sleutels voor verschillende afnemers niet kan worden voorkomen dat indirecte herleiding kan plaatsvinden. In een volgende rapportage wordt gesteld dat: indien een derde partij de gegevens wil koppelen met andere gegevens zal steeds moeten worden afgewogen of de beoogde koppeling gevolgen heeft voor de herleidbaarheid van de gegevens. Indien na koppeling sprake is van directe of indirecte herleidbaarheid gelden de eisen van de WBP onverkort 23. Ook deze constatering houdt in dat het risico van herleidbaarheid reëel is, niet valt uit te sluiten en steeds zal moeten worden afgewogen of de beoogde koppeling gevolgen heeft voor de herleidbaarheid. Een zorgvuldige, adequate afweging vereist echter dat men volledig geïnformeerd is over inhoud en beschikbaarheid van datasets bij derden, hetgeen een illusie is. Ingeval een onderzoeksbureau zowel over op zichzelf niet direct herleidbare databestanden uit het DIS beschikt en daarnaast ook over andere data met persoonsgegevens, dan kan niet worden uitgesloten dat de zeer specifieke en gedetailleerde gepseudonimiseerde individuele dossiers/datasets van het DIS herleid kunnen worden tot personen. Als directe of indirecte herleiding niet kan worden uitgesloten, dan gelden de wettelijke regels voor de bescherming van medische persoonsgegevens onverkort en is verwerking van medische gegevens door het DIS niet toegestaan ZorgTTP De oprichting van Stichting ZorgTTP kwam voort uit de wens om DBC-gegevens als unieke behandeldossiers te kunnen blijven volgen en deze informatie tevens te kunnen koppelen aan data uit andere gegevensbestanden zonder dat sprake is van verwerking van persoonsgegevens, zonder dat directe of indirecte herleidbaarheid mogelijk is. 22 Het gebruik van pseudo-identiteiten binnen de risicovereveningssystematiek Houten, 26 april 2007 ZorgTTP (Oorspronkelijk document opgesteld door IVZ). 23 Het gebruik van pseudo-identiteiten binnen de risicovereveningssystematiek Houten, 26 april 2007 ZorgTTP (Oorspronkelijk document opgesteld door IVZ). 15

18 Het Zorg TTP werd als zelfstandige organisatie opgericht, geheel los van het DIS, zodat het DIS formeel geen niet-versleutelde, niet-gepseudonimiseerde gegevens (persoonsgegevens) ontvangt van zorgaanbieders en de dataverwerking door het DIS zich kan ontrekken aan stringente wettelijke normen 24. Met betrekking tot het DIS/DBC systeem heeft het ZorgTTP de volgende taken: - ontvangen van gegevens van zorgaanbieders en het doorsturen van deze gegevens naar het DIS - pseudonimiseren van persoonsgegevens van de DBC declaraties voor verzending naar het DIS - het nogmaals pseudonimiseren en versleutelen van databestanden uit het DIS en van databestanden van derde partijen om koppeling daarmee mogelijk te maken In 2006 ging het CBP akkoord met de constructie van een TTP voor het doorleveren van data aan het DIS...De vormgeving van de TTP vormt een belangrijk aandachtspunt in de verdere uitvoering. De onafhankelijkheid, deskundigheid en betrouwbaarheid van de TTP dienen boven elke twijfel verheven te zijn. Het ZorgTTP is opgericht vanuit de Stichting Informatie Voorziening in de Zorg (IVZ) en is gespecialiseerd in het pseudonimiseren van gezondheidsgegevens. De wettelijke grondslag van het ZorgTTP is geregeld in de Regeling 25 verplichte aanlevering minimale dataset GGZ Zvw. In deze regeling wordt de ZorgTTP omschreven als een zelfstandige organisatie die de pseudonimisering verzorgt. Het ZorgTTP had opgezet kunnen worden als een bewerker van informatie voor opdrachtgevers - zorgaanbieders - die de behandelgegevens aanleveren. Het CBP suggereerde deze optie in Deze bewerker constructie voor zorgaanbieders zou in tegenstelling tot de huidige constructie - beter hebben aangesloten bij het medisch beroepsgeheim van zorgverleners die verantwoordelijk zijn en blijven voor een vertrouwelijke omgang met de behandelgegevens van patiënten. Indien voor deze bewerker constructie was gekozen, zou bewerking en doorlevering van door zorgverleners aangeleverde gegevens hebben plaatsgevonden onder beheer en verantwoordelijkheid van zorgverleners. In dat geval hadden bewerkersovereenkomsten moeten worden gesloten met opdrachtgevers, zoals voorgeschreven in artikel 14 WBP 26. Als de TTP een bewerker is, heeft dat een aantal consequenties...concreet betekent de bewerkersconstructie dat de TTP persoonsgegevens bewerkt ten behoeve en onder de verantwoordelijkheid van zorgaanbieders. Deze partijen hebben daarom inspraak in het doel en de wijze van verwerking door de TTP. Het functioneren van de bewerkersconstructie ten behoeve van de verschillende gegevensstromen is dus afhankelijk van een goede afstemming en overeenstemming tussen de bewerker en de 24 Brief CBP aan VWS dd. 10 januari 2006 pseudonimisering DIS. Kenmerk: z NADERE REGEL GG/NR Regeling verplichte aanlevering minimale dataset GGZ Zvw. NZa. 26 Brief CBP aan VWS dd. 12 oktober 2004 Verwerking persoonsgegevens in het DIS z

19 verschillende verantwoordelijken afzonderlijk. Als de verantwoordelijken geen zeggenschap hebben over het doel of de wijze van verwerking door de TTP, dan kan niet worden beweerd dat de TTP een bewerker is 27. VWS koos uiteindelijk niet voor de optie waarbij het TTP gegevens bewerkt in opdracht van zorgverleners die behandelgegevens aan leveren. Het ZorgTTP werkt in opdracht van DBC-onderhoud. Aangezien DBC-onderhoud niet de verantwoordelijke toeleverancier/bron van (psycho-)medische persoonsgegevens is, is in deze constructie geen sprake van een legitieme bewerking van behandelgegevens. Elke zorgaanbieder die voor het doorgeleiden en pseudonimiseren van behandelgegevens gebruik maakt van het ZorgTTP blijft onverkort verantwoordelijk voor wat de bewerker met de aangeleverde data doet en zal als opdrachtgever zelf toezicht en controle moeten kunnen uitoefenen op bewerkingen die door ZorgTTP worden verricht. Als de verantwoordelijken geen zeggenschap hebben over het doel of de wijze van verwerking door de TTP, dan kan niet worden beweerd dat de TTP een bewerker is. Feitelijk is de TTP dan een zelfstandige verantwoordelijke in de zin van de WBP. Een dergelijke verantwoordelijke kan alleen medische persoonsgegevens verwerken als hij daarvoor een zelfstandige wettelijke grondslag heeft 28. VWS gaat uit van een andere redenering: als de data geanonimiseerd of gepseudonimiseerd zijn, gaat het niet meer om persoonsgegevens in strikte zin, dit is slechts anders als deze gegevens (indirect) zonder onevenredige inspanning herleidbaar blijken. Omdat in de regelgeving is vastgelegd dat de aanlevering van de minimale dataset verloopt via het ZorgTTP wordt het DIS geacht slechts gepseudonimiseerde behandelgegevens te ontvangen. In het wetsvoorstel is expliciet opgenomen (artikel 62) dat de zorgautoriteit een regel vaststelt waarbij zorgaanbieders en verzekeraars worden verplicht hun persoonsgegevens laten bewerken door de beoogde TTP (Thrusted Third Party) volgens een in de regeling nader aangegeven manier vóórdat de leveranciers de gegevens doorzenden naar de DIS. Zo blijft de bewerking van de persoonsgegevens bij de beheerder van die gegevens. De voorgeschreven bewerking levert de juiste informatie op en daardoor bestaat er geen noodzaak voor verwerking van persoonsgegevens voor het onderhoud van dbc-prestaties. De DIS beschikt niet over persoonsgegevens ten behoeve van het onderhoud. 29. Omdat ZorgTTP zelf aangeeft (zie hiervoor) dat niet kan worden uitgesloten dat de door zorgverleners aangeleverde gegevens - via indirecte herleidbaarheid - toch weer tot persoonsgegevens kunnen worden teruggebracht, gelden voor verzending en verwerking van diagnose en behandelgegevens door het ZorgTTP onverkort alle eisen die het WBP verbindt aan opslag,uitwisseling en gebruik van medische persoonsgegevens. 27 Brief CBP aan VWS dd. 12 oktober 2004 Verwerking persoonsgegevens in het DIS z Brief CBP aan VWS dd. 12 oktober 2004 Verwerking persoonsgegevens in het DIS z Memorie van Toelichting bij de WMG Tweede Kamer, vergaderjaar , , nr. 3 17

20 Waar deze wijze van verwerking een inbreuk vormt op de privacy rechten van patiënten/cliënten en het beroepsgeheim van zorgverleners, had aangetoond moeten worden dat databewerking door het ZorgTTP in opdracht van DBC-onderhoud. noodzakelijk is. Nu niet is gekozen voor de niet/minder belastende bewerker constructie in opdracht van zorgverleners als verantwoordelijke behandelaar/data-leverancier kan alleen al op grond van het subsidiariteitsbeginsel niet geconcludeerd worden dat het hier gaat om een legitime, noodzakelijke verwerking van (psycho-)medische gegevens DIS (DBO) Het DIS is een onderdeel van de Stichting DBC-Onderhoud (DBO). Het DIS is opgericht door het ministerie van VWS in samenspraak met de Nederlandse Zorgautoriteit (NZa), Nederlandse Vereniging voor Ziekenhuizen (NVZ), Nederlandse Federatie van Universitaire Medische Centra (NFU), de Orde van Medisch Specialisten, GGZ Nederland, de Nederlandse Vereniging voor Psychiatrie (NVvP) en de Nederlandse Vereniging voor Vrijgevestigde Psychotherapeuten (NVVP). Het bestuur van de Stichting bestaat uit leden die op persoonlijke titel zijn aangesteld en geacht worden een vertegenwoordiging te vormen van de belangrijkste veldpartijen zoals zorgverzekeraars en koepelorganisaties van ziekenhuizen en behandelaars groepen. Sinds de zomer van 2009 is DBC-onderhoud (DBO) verzelfstandigd vanuit het VWS. Het bestuur van DBO functioneert niet zozeer als een vertegenwoordigend orgaan van zorgverleners/beroepsorganisaties. In de nieuwe statuten is vastgelegd dat DBC-Onderhoud haar werk onafhankelijk moet kunnen verrichten, op afstand van (verschillende) belangen en perspectieven van beroepsgroepen 30. Hieruit blijkt dat DBC onderhoud geheel los staat van koepelorganisaties/beroepsverenigingen en als zelfstandige organisatie binnen het zorgverzekeringbestel wil functioneren. Het DBO heeft een tweedelige taak: beheer van het data-warehouse en ontwikkelaar en beheerder van het DBC-systeem. In het data-warehouse zijn de door VWS vastgestelde MDS opgeslagen. De behandelgegevens in deze database zijn opgeslagen per patiënt/verzekerde onder een pseudoniem. Het DIS levert na ontvangst van deze gegevens van zorgaanbieders de hele dataset door aan de NZa, VWS en CVZ. Als ontwikkelaar en beheerder van het DBC systeem is DBO ook afnemer van DISdata. Gebruik van MDS voor wettelijke taken De verzamelde MDS-gegevens worden ondermeer gebruikt voor: de uitoefening van de NZa-taken publiek onderhoud van DBC-prestatiebeschrijvingen en DBC-tarieven, monitoring van marktontwikkelingen en interventie, advisering van VWS en 30 Welkomstwoord Cees Hoogendoorn, bestuursvoorzitter DBC-Onderhoud Ondernemen met DBC's Invitational conference. 18

21 doorgeven van informatie aan partijen die deze nodig hebben voor het uitvoeren van hun wettelijke taken 31. De verzamelde MDS worden ook gebruikt bij risicoverevening door het CVZ en hiertoe ingehuurde onderzoeksbureaus en ook door het CBS voor landelijke statistiek. De MDS-gegevens in het DIS worden onbewerkt verstrekt aan deze partijen voor zover deze de data nodig hebben voor de uitvoering van hun wettelijke taken. Op navolging van wettelijke voorschriften en protocollen bij de verspreiding van DISgegevens wordt toegezien door een onafhankelijke Commissie van Toezicht. In deze functie zou het DBO weer kunnen worden beschouwd als bewerker van informatie 32. Bij de bewerking en uitlevering van DIS-data hebben de zorgverleners die behandelgegevens aanleveren slechts een zeer beperkte, indirecte mogelijkheid om invloed uit te oefenen op gebruik en doorlevering van de behandelgegevens die bij declaratie automatisch worden verzonden. De beperkte, indirecte invloed van zorgverleners zou moeten verlopen via vertegenwoordigde koepelorganisaties, een invloed die gedeeld wordt met andere veldpartijen zoals ZN en VWS (de wettelijke opdrachtgever). Bij het DIS/DBO doet zich hetzelfde probleem voor als bij het ZorgTTP, omdat in de huidige constructie het DIS niet echt als bewerker kan worden aangemerkt en evenmin overtuigend gesteld kan worden dat het data-warehouse geen (psycho-)medische persoonsgegevens bevat, omdat het specifieke en gedetailleerde karakter van data in gepseudonimiseerde medische dossiers er toe leidt, dat deze data indirect kunnen worden herleid tot personen door koppeling aan andere gegevensbestanden (zoals die ondermeer aanwezig bij VEKTIS en verzekeraars). Interne data doorlevering (DBC onderhoud) Voor de taak publieke onderhoud van het DBC-systeem heeft de NZa een overeenkomst gesloten met de private partij DBC-onderhoud. DBC onderhoud is zowel verantwoordelijk voor datawarehousing als voor het uitvoeren van analyses met behulp van de DBC gegevens. In deze dubbelfunctie moet DBC onderhoud met betrekking tot de verrichte analyses wel kunnen aantonen dat het gebruik van DIS-data via koppeling aan andere gegevens er niet toe kan leiden, dat behandelgegevens uit het DIS kunnen worden herleid tot persoonsgegevens en het gebruik van deze DIS-data ook niet strijdig is met het doel waarvoor deze gegevens zijn verkregen. Onder de taak publiek onderhoud van DBC-prestatiebeschrijvingen en DBCtarieven wordt verstaan de uitvoering van een deel van de NZa taken met betrekking tot het (tarief)onderhoud van het DBC-systeem teneinde de publieke belangen van de zorg te borgen. Ten behoeve van het onderhoud van prestatiebeschrijvingen is het noodzakelijk te kunnen beschikken over [ medische] persoonsgegevens om een koppeling te leggen 31 NADERE REGEL GG/NR Regeling verplichte aanlevering minimale dataset GGZ Zvw. NZa. 32 Brief CBP aan VWS dd. 12 oktober 2004 Verwerking persoonsgegevens in het DIS z

22 tussen de unieke patiënt en de verschillende behandelingen / prestaties die aan die patiënt zijn geleverd. Door die koppeling wordt inzicht verkregen in de diagnose behandelingcombinatie die is verstrekt. Blijkt bij een vergelijking van de invulling van diagnose behandelingcombinaties bij een relevant aantal patiënten dat die invulling verandert ten opzichte van wat eerder geacht werd tot die DBC te behoren, dan kan er reden zijn om die DBC inhoudelijk anders samen te stellen of een nieuwe DBC te vast te leggen 33. DBC-onderhoud hoopt in de toekomst middels het vergelijken van keteninformatie van chronische patiënten tussen eerste en tweede lijn via pseudo-identiteiten patiënten/cliënten te kunnen volgen. Het is echter niet duidelijk waarom persoonsgegevens worden gebruikt voor de ontwikkeling van DBC-producten. Het CBP is hierover duidelijk: Voor DBC onderhoud zijn geen persoonsgegevens of pseudo-identiteiten nodig 34. Ook met anonieme gegevens kunnen de analyses die nodig zijn voor deze taak worden uitgevoerd. Tevens is het niet duidelijk waarom ALLE patiëntgegevens uit Nederland nodig zijn. Met een steekproef van patiënten en periodes kan vrijwel hetzelfde resultaat bereikt worden. De GGZ DBCs zijn opgezet zonder persoonsgegevens. Voor keteninformatie worden al analyses uitgevoerd door organisaties zoals NIVEL en RIVM. Dit gebeurt niet op basis van een uitputtende database met persoonsgegevens (al dan niet gepseudonimiseerd). De gedachte dat DBCs heel precies kunnen worden berekend is zeker voor de geestelijke gezondheidszorg niet juist 35 en vormt daarmee ook geen argument op basis waarvan de in DBC s vervatte behandelinformatie als noodzakelijk kan worden bestempeld (proportionaliteit). Doorlevering van gegevens aan private derde partijen De gegevens uit het DIS kunnen worden gebruikt door derden. Voor de uitlevering van gegevens aan derden is een gebruiksprotocol opgesteld. Gegevens uit het DIS zullen uitsluitend verstrekt worden na toestemming van de zorgaanbieders, in deze vertegenwoordigd door de koepelorganisaties 36. DBC-Onderhoud afdeling DIS is niet verantwoordelijk voor het gebruik of de gevolgen van het gebruik van gegevens door de afnemer. 37. Voor de ziekenhuissector is hiertoe een nieuwe organisatie Dutch Hospital Data opgericht die toestemming kan verlenen voor toegang tot het DIS (naast de al bestaande Landelijk Medisch Registratie en de Landelijke Ambulante Zorg Registratie) Voor zover het in dit DHD systeem gaat om de besluitvorming over een 33 MEMORIE VAN ANTWOORD Ontvangen 29 oktober Vereenvoudiging van het stelsel van overheidsbemoeienis met het aanbod van zorginstellingen (Wet toelating zorginstellingen) 34 Brief CBP aan VWS dd. 10 januari 2006 pseudonimisering DIS. Kenmerk: z Overheveling GGZ weerbarstig in de praktijk. NTMAtijdschrift voor zorgadministratieen Informatie, december Protocol gegevensgebruik DIS en LMR/LAZR. DHD Januari DIS aflevervoorwaarden gegevens. DBC informatiesysteem Versie 1.1. Kenmerk: DIS

23 verzoek om gebruik te mogen maken van beschikbare medische gegevens moet ook de vertegenwoordiger van het betrokken medisch specialisme in het DHD om toestemming worden gevraagd. Voor de levering van medische data worden kosten in rekening gebracht. Binnen de geestelijke gezondheidszorg is het GGZ Nederland dat modules laat ontwikkelen voor het aanmaken van spiegelinformatie. In het DIS zijn data die betrekking hebben op verschillende soorten zorgaanbieders gescheiden (Curatieve zorginstellingen, GGZ instellingen, psychotherapeuten etc.). Aangezien in de landelijke beroepsvereniging/koepelorganisatie van psychotherapeuten niet alle hulpverleners/therapeuten vertegenwoordigd zijn, zouden gegevens aangeleverd door psychotherapeuten nooit uitgeleverd kunnen worden. 38 Met betrekking tot de doorzending van data van individuele psychotherapeuten merkt de NVVP op: De roep om transparantie van de kwaliteit van zorg wordt steeds groter. Om deze reden willen zorgverzekeraars de ROM-gegevens van de hele GGZsector onderling kunnen vergelijken (landelijke benchmark). De NVVP plaatst vraagtekens bij de uiteindelijke betekenis van een dergelijke benchmark, maar wil hierin niet de regie verliezen aan derden. Een landelijke benchmark kan echter ook kansen bieden om de meerwaarde van NVVP-leden aan te tonen. De NVVP overlegt daarom met GGZ-Nederland over het onderzoeken van de mogelijkheden van het geanonimiseerd inladen van de NVVP-data in de GGZ-portal. Ook hierbij is het uitgangspunt dat de NVVP-leden zelf de regie behouden over de data. 39 Zorgaanbieders moeten zich terdege bewust zijn van de mogelijke doorsturing van aangeleverde gegevens vanuit het DIS. De verantwoordelijkheid voor de levering van gegevens aan vragende partijen berust in eerste aanleg bij het DBO, die - in deze optredend als bewerker - de verantwoordelijkheid legt bij de vertegenwoordiger van de betrokken koepelorganisaties, daarmee voorbijgaand aan de verantwoordelijkheid en het beroepsgeheim van de zorgverleners die direct bij de behandeling betrokken zijn en die de behandelgegevens hebben aangeleverd. De vraag die hier voorligt, is of een vertegenwoordiger van een beroepsorganisatie, zonder direct bij de behandeling betrokken te zijn, kan beslissen over de doorlevering van behandelgegevens aan partijen en/of overeenkomstig doelstellingen die niet eerder bekend waren bij de zorgverleners van wie de data afkomstig zijn? Kan een vertegenwoordiger van de NVVP (Ned. Ver. Vrijgevestigde Psychotherapeuten) beslissen of gegevens van psychotherapeuten kunnen worden verstrekt aan vragende partijen? Op grond van uitlatingen van het DBO bestuur (zie boven) blijkt dat DBO als onafhankelijke organisatie wil kunnen handelen om te voorkomen dat verschillende belangen of koepelorganisaties te veel invloed uitoefenen op verwerking, uitlevering, koppeling en gebruik van DIS-gegevens. Koepelorganisaties van zorgverleners hebben binnen het DBO dan ook zeker niet het laatste woord over gebruik en verwerking van DIS-data dd.15/9/2008 van Marco van Stikkelorum Gegevensuitleveringen aan derden. 39 Nieuwsbrief NVVP januari 2010 Jaargang 17 nr Welkomstwoord Cees Hoogendoorn, bestuursvoorzitter DBC-Onderhoud Ondernemen met DBC's Invitational conference. 21

24 Deze praktijk met betrekking tot de doorlevering van gegevens aan private derde partijen verdraagt zich niet met het beroepsgeheim dat de direct bij de zorgverlening betrokkenen verantwoordelijk houdt voor de vertrouwelijke omgang met therapeutische gegevens van patiënten. Bij de instelling van het DIS was het uitgangspunt dat data alleen moesten worden doorgestuurd voor zover noodzakelijk voor de uitvoering van wettelijke taken en niet voor uitlevering en/of doorverkoop aan andere private partijen NZa De NZa is een van de belangrijkste organisaties die gebruik maakt van gegevens uit het DIS. Volgens de huidige wet en regelgeving is de NZa verantwoordelijk voor de doorlevering van gezondheidsinformatie voor publieke doelen en voor (mede) toezicht op de omgang met informatie bij private instellingen (zie bv. Convenant met CBP). De NZa gebruikt informatie verkregen via het DIS voor drie verschillende doelstellingen: - Publiek Onderhoud - Markttoezicht - Gegevensverstrekking Voor de taak publiek onderhoud definieert de NZa samen met het CVA de kaders waar een DBC aan moet voldoen, het eigenlijk rekenwerk en het formuleren van voorstellen wordt uitbesteed aan DBC-Onderhoud. De NZa kijkt wel jaarlijks naar de kosten en tarieven om te beoordelen of de totale kosten niet uit de hand lopen. Voor deze taak ontvangt de NZA gegevens op verschillend detail niveau. NZA publiek onderhoud Detail Frequentie Zorginstelling (AGB) Laagste Maand Patient gegevens Niet Niet Zorg tijds gegevens Laagste Maand Zorgvraag inhoud Geaggregeerd Maand Verwijzer Niet Niet Zorgkosten Laagste Maand Behandeling buiten DBCs Laagste Maand Gedeclareerde Kosten Laagste Maand Beroep behandelaar Laagste Maand Zoals boven vermeld maakt DBC-onderhoud wel gebruik van alle gegevens op het laagste aggregatieniveau voor het opstellen van voorstellen en adviezen aan de NZa. In het advies van het CBP van 6 juni 2007 wordt gesteld dat niet duidelijk is of het nodig is dat voor het publiek onderhoud persoonsgegevens worden gebruikt. Volgens het CBP is het voor de analyse van tarieven en kosten niet noodzakelijk om alle gegevens op behandel-detail niveau te verwerken (zelfs al zijn de patiëntgegevens weggelaten) Brief CBP aan VWS dd. 6 juni 2007 Advies inzake Tijdelijke regeling WMG Kenmerk: z

25 Voor de taak markttoezicht stelt de NZa dat het gegevens nodig heeft op alle hoofdgroepen van de MDS, behalve op patiëntniveau; van de gegevens op patiëntniveau heeft men voor het markttoezicht alleen de 4 cijferige postcode nodig. Naast gegevens uit de MDS ontvangt de NZa voor deze taak ook informatie uit andere bronnen 42. Het is niet duidelijk op welke informatie (informatie, data bestanden) hier wordt gedoeld, maar in ieder geval wordt gebruik gemaakt van informatie over de prijzen die zorgverzekeraars overeenkomen bij het contracteren van zorgverleners. Naast de standaard aanlevering van gegevens heeft de NZa het recht om extra informatie op te vragen. NZA markttoezicht Detail Frequentie Zorginstelling (AGB) Laagste Maand Zorgverzekeraar Laagste Maand Patient gegevens Postcode (4) Maand Zorg tijds gegevens Laagste Maand Zorgvraag inhoud Laagste Maand Verwijzer Ja Maand Zorgkosten Laagste Maand Behandeling buiten DBCs Laagste Maand Gedeclareerde Kosten Laagste Maand Beroep behandelaar Laagste Maand Gegevens op postcode niveau worden door de NZa ook gebruikt om te kijken of zorgaanbieders onderling structureel afspraken maken (zoals gemeld in radio 1 reportage van donderdag 11 februari 2010). Het is niet duidelijk waarom voor markttoezicht uitputtende detailgegevens worden opgevraagd bij het DIS. De taak gegevensverstrekking heeft betrekking op het doorleveren van informatie aan de organisaties weergegeven in figuur 1. Tevens moet informatie voor budgettair advies worden verstrekt aan VWS. Informatie die de NZa hiervoor als noodzakelijk definieert is: 42 Regeling # MC-U Houdende aanwijzingen categorieën van persoonsgegevens voor de uitvoering door de zorgautoriteit van de WMG. 8 december

26 NZA gegevensdoorlevering Detail Frequentie Zorginstelling (AGB) Laagste Maand Zorgverzekeraar Niet Patient gegevens Niet Zorg tijds gegevens Niet Zorgvraag inhoud Niet Verwijzer Niet Zorgkosten Geaggregeerd Maand Behandeling buiten DBC Laagste Maand Gedeclareerde Kosten Laagste Maand Beroep behandelaar Laagste Maand Het is niet mogelijk eenduidig vast te stellen waarom en waartoe welke informatie aan welke organisaties kan/zal worden doorgeleverd. Uit de correspondentie tussen CBP en VWS over de doorlevering van gegevens blijkt dat het CBP kritisch staat tegenover de gegevens die de NZa nodig zegt te hebben voor de uitvoering van taken: de vraag om benodigde informatie wordt niet specifiek genoeg gerelateerd aan doelen en rapportages 43, er is een neiging tot het hanteren van open definities (zoals gebruik voor de wet, i.p.v. gebruik voor deze wet ) terwijl wordt gezocht naar mogelijkheden tot wijziging van gebruikte datasets of afspraken (zie bv commentaar op mogelijke wijziging pakket DBC door CBP 44 ). Met betrekking tot het gebruik van MDS schrijft het VWS in de regeling verplichte data aanlevering GGZ-Zvv GG/NR Op grond van de Wmg is de NZa niet beperkt in het gebruik van de dataset voor andere in deze toelichting niet genoemde taken. Het ontbreken van een specifieke doelbinding binnen de Wmg voorkomt dat de NZa de MDSinformatie voor andere taken opnieuw bij zorgaanbieders moet opvragen. Deze benadering wordt gerechtvaardigd door te verwijzen naar verlichting van administratieve lasten. Deze open formulering in de Wmg verdraagt zich echter niet met het vereiste van doelbinding zoals dat ook in het EVRM is vastgelegd. Het gebruik van (psycho-)medische gegevens voor andere doelen dan waarvoor zij bij zorgverleners zijn verzameld, is niet toegestaan. Op grond van hun beroepsgeheim blijven zorgverleners verantwoordelijk voor het beheer en de uitwisseling van behandelgegevens. 43 Brief CBP aan VWS 28 november 2007 advies m.b.t. concept wetsvoorstel invoering maatstafsysteem WMG. Kenmerk: z Brief CBP aan VWS 12 februari 2007 DBC s somatische zorg Kenmerk: z

27 2.1.4 CVZ De belangrijkste reden voor het instellen van het DIS en opslaan van alle DBC s ligt in het nieuwe systeem van risicoverevening. Het CVZ krijgt in dit kader van risicoverevening het grootste gedeelte van de gegevens geanonimiseerd/gepseudonimiseerd aangeleverd uit de DIS-database, daarnaast ontvangt CVZ een aantal gegevens uit andere bronnen, zoals data van zorgverzekeraars(via VEKTIS). Om een eenvoudige indirecte herleiding van DISgegevens onmogelijk te maken moeten ook de data verkregen van zorgverzekeraars versleuteld/gepseudonimiseerd worden aangeleverd. Tot in 2008 beschikte CVZ echter over niet-geanonimiseerde data waarmee herleiding van DIS-gegevens mogelijk was (zie 3.3). Of en zo ja wanneer deze bestanden met persoonsgegevens bij CVZ vernietigd zijn is niet geheel duidelijk. Het is echter redelijk te veronderstellen dat het risico groot is dat de onderzoeksbureaus die werken voor CVZ nog steeds de beschikking hebben over niet geanonimiseerde/gepseudonimiseerde gegevensbestanden die gekoppeld kunnen worden aan DIS-data. De huidige taken van het CVZ zijn pakketbeheer en advies en financiering van de risicoverevening. Hiervoor krijgt CVZ uit het DIS informatie aangeleverd. Voor pakketbeheer (en advies over innovatie hiervan) is in 2005 het volgende afgesproken: CVZ pakketbeheer Detail Frequentie Zorginstelling Niet Zorgverzekeraar Laagste Jaar Patient gegevens Niet Zorg tijds gegevens Laagste Zorgvraag inhoud Geaggregeerd Jaar Verwijzer Geaggregeerd Jaar Zorgkosten Geaggregeerd Jaar Behandeling buiten DBC Laagste Jaar Gedeclareerde Kosten Laagste Jaar Beroep behandelaar Geaggregeerd Jaar Voor pakketbeheer is het niet noodzakelijk dat zorgaanbieders op detailniveau hun informatie doorsturen. Het beheer en de uitvoering van de risicoverevening is door VWS bij het CVZ neergelegd 45. De vormgeving van het vereveningsmodel wordt begeleid door de Werkgroep Onderzoek Risicoverevening (WOR). Deze werkgroep bestaat uit deskundigen van verschillende Verzekeraars, onderzoeksbureaus, Zorgverzekeraars Nederland en het CVZ. Het onderzoek zelf wordt uitgevoerd door onderzoeksbureaus met data die worden verzameld door CVZ. Het CVZ verkrijgt data van het DIS, van zorgverzekeraars, van het UWV en van de Belastingdienst. (zie ook figuur 2). De onderzoeksbureaus 46 waarmee het CVZ werkt zijn o.a. ibmg en Ape en VEKTIS. 45 Klink, A. Borging en kennisverbreding uitvoering risicoverevening Kamerstuk Z/F , 11 april 2008, VWS. 46 Beschrijving besluitvormingsproces risicoverevening Zorgverzekeringswet Transitie van een consensusgericht naar een concurrentierobuust vereveningsmodel vergt integrale aanscherping proces risicoverevening. Versie 1.0 Februari Price Waterhouse Coopers. 25

28 De bewerking van gegevens voor risicoverevening is de meest uitgebreide procedure voor gegevensverwerking in het DBC-informatiesysteem. De bespreking van gegevensverwerking voor risicoverevening vereist daarom een wat meer uitgebreide behandeling. Vanuit het DIS wordt voor risicoverevening via ZorgTTP alle informatie uit het DIS op het laagste detailniveau gebruikt. Voor de bewerking van deze informatie worden twee sleutels gebruikt waarmee gespeudonimiseerde dossierinformatie kan worden gekoppeld aan externe data: 1)de BSN sleutel en 2)de Naam Geboortedatum Geslacht-sleutel. De laatste sleutel is uitsluitend bedoeld voor de onderzoeksbureaus, met name voor het doen van onderzoek naar het verdeelmodel dat ten grondslag ligt aan risicoverevening (ZorgTTP, 2007). Hiermee wordt bedoeld dat de data uit het oude Zfs vereveningsmodel kunnen worden gekoppeld aan de nieuwe data uit het DIS (voorheen bestond het BSN nog niet). Omdat de versleuteling/pseudonimisering via het ZorgTTP loopt moeten onderzoekers daar steeds toestemming voor vragen en medewerking krijgen om hun databases, gebaseerd op namen, te mogen koppelen aan de DIS data. In de stukken van ZorgTTP staat dat hierbij elke keer zeer goed gekeken moet worden of dit indirecte herleidbaarheid kan veroorzaken. Ook dit procedure voorschrift doet duidelijk uitkomen dat indirecte herleiding bij koppeling van bestanden zeker niet kan worden uitgesloten, sterker nog, feitelijk wordt verwacht. Uit de stukken wordt niet duidelijk of ook andere bestanden met deze sleutel (kunnen) worden gekoppeld (zie bv. ibgm, (2006) teneinde andere koppelingen van datasets te kunnen realiseren rond het zelfde onderwerp). Het doel van de risicoverevening is het voorkomen van risicoselectie door zorgverzekeraars. Omdat de verzekeraars voor dure patiënten extra betalingen ontvangen uit een vereveningsfonds is het schaderisico voor verzekeraars aanvaardbaar. De overheid wil met het systeem van risicoverevening de acceptatieplicht in stand te houden (geen prikkel voor strategische risicoselectie). Bij een perfecte ex-ante risicoverevening kan de financiële toegankelijkheid tot zorgverzekeringen daarom in principe in elke gewenste mate gewaarborgd worden, terwijl de prikkels voor doelmatigheid maximaal en de prikkels voor risicoselectie afwezig zijn 47. Voor het huidige risicovereveningsmodel gebruikt het CVZ (en hun onderzoekbureaus) de volgende gegevens uit het DIS: Zie tevens: Advies WOR 231 Werkgroep Onderzoek Risicoverevening (WOR) Betreft: Advies aan de minister van VWS over de vormgeving van de risicoverevening per 1 januari 2007 Datum: 25 augustus Evaluatie Zorgverzekeringswet en Wet op de zorgtoeslag Instituut Beleid & Management Gezondheidszorg (ibmg), Erasmus Universiteit Rotterdam/ NIVEL, Utrecht. Den Haag: ZonMw, september Programma evaluatie regelgeving: deel 27 26

29 CVZ risicoverevening Detail Frequentie Zorginstelling Laagste Jaar Zorgverzekeraar Laagste Jaar Patient gegevens Laagste Jaar Zorg tijds gegevens Laagste Jaar Zorgvraag inhoud Laagste Jaar Verwijzer Niet Zorgkosten Laagste Jaar Behandeling buiten DBC Laagste Jaar Gedeclareerde Kosten Laagste Jaar Beroep behandelaar Niet Naast deze data worden ook andere data gebruikt ter verbetering van het model. Dit zijn data van Zorgverzekeraars, data van de Belastingdienst en data van het UWV. Idealiter zouden echter ook andere mogelijke factoren opgenomen kunnen worden. CVZ risicoverevening DIS BD UWV Zorgverzekeraars Gegevens Behandelaar Diagnoses Behandelingen Kosten Sleutel(s) Geslacht Geboortejaar Postcode (4) Zelfstandig/loondienst Inkomensklasse Soort uitkering Verzekeraar id Geslacht Geboortejaar Postcode (4) Farmaciegebruik DBC-groep Sleutel Met deze gegevens wordt een complex model gecreëerd dat jaarlijks wordt bijgesteld afhankelijk van de kostenontwikkelingen. Op dit moment is weer een onderzoek voorgesteld naar het model risicoverevening omdat met de invoering van het verbetertraject DBC s (DOT) en met het wijzigen van de ex-post regelingen is te voorzien dat wederom kostenverschuivingen zullen plaatsvinden 48. Ook de opname van de GGZ in het zorgverzekeringsstelsel maakt het noodzakelijk dat bestaande berekeningswijzen worden aangepast. Voor het bouwen van het model 48 Brief Minister Klink aan Tweede Kamer dd. 5 oktober Risicovereveningssysteem Kenmerk Z/F

30 risicoverevening voor de GGZ worden kostencijfers direct van de GGZ instellingen betrokken (i.p.v. via zorgverzekeraars). Deze modellen worden ook doorgerekend op mogelijke effecten van ex-post compensatie voor hoge kosten groepen en effecten van eigen bijdrage. Deze modellen ontwikkeld voor risicoverevening zijn zeer complex. Dhr. Hermans van het CVZ merkt hierover op Alle mensen die de risicoverevening echt kunnen doorgronden in Nederland, passen in een Fiat De verevening wordt op patiëntniveau berekend. Een persoon met eigenschappen x krijgt zoveel extra geld. Vanwege het feit dat de compensatie-uitkeringen in het vereveningssysteem nu gemodelleerd worden met gegevens die niet beschikbaar zijn bij verzekeraars (verdeling kosten over behandelingsgroepen, SES, arbeidsstatus) wordt de noodzaak tot het opvragen van (psycho-)medische gegevens bij zorgaanbieders - en andere partijen - gelegitimeerd. De complexiteit, de administratieve last verbonden met risicoverevening en de voortdurende aanpassing van modellen en berekeningen op basis van onderzoek vereisen zoveel inspanning en verminderen zozeer de transparantie van het gegevensgebruik, dat het de vraag is of niet naar een ander, eenvoudiger compensatiemodel moet worden gezocht (zie bv de andere opties voorgesteld door ZonMW 50, 2009b;12-14 en 85). Ondanks de optimaliseringslag die gemaakt is, is stabiliteit in het systeem volgens betrokkenen nog niet aanwezig. Als voornaamste voorbeelden worden hier genoemd de problematiek rond de slechte aansluiting van het systeem van risicoverevening en de DBC-registratie en de problematiek rond tijdige en accurate aanlevering van data door de zorgverzekeraars. Daarbij speelt dat risicoverevening een moeilijk te doorgronden methodiek is die maar weinig mensen beheersen. Kwetsbaarheid van het systeem van risicoverevening zit ook in het feit dat alleen een beperkt aantal medewerkers bij het CVZ precies van de hoed en de rand weten. Momenteel betreft dit circa 12 fte aan inhoudsdeskundigen op dit dossier binnen het CVZ. Er wordt hard gewerkt om alle processen goed vast te leggen, maar indien een aantal mensen, snel achter elkaar weg zouden vallen dan zou dat op korte termijn wel een probleem betekenen 51. Het historische vereveningssysteem dat werd gebruikt voor de ziekenfondsen in Nederland was gebaseerd op gegevens die in bezit waren van- en transparant waren voor ziekenfondsen Evaluatie Zorgverzekeringswet en Wet op de zorgtoeslag Instituut Beleid & Management Gezondheidszorg (ibmg), Erasmus Universiteit Rotterdam/ NIVEL, Utrecht. Den Haag: ZonMw, september Programma evaluatie regelgeving: deel 27. Blz Evaluatie Zorgverzekeringswet en Wet op de zorgtoeslag Instituut Beleid & Management Gezondheidszorg (ibmg), Erasmus Universiteit Rotterdam/ NIVEL, Utrecht. Den Haag: ZonMw, september Programma evaluatie regelgeving: deel EVALUATIE CVZ EN NZA. Amsterdam, 25 september Projectnummer: Versie: definitief. Boer & Croon 52 Beschrijving van het risicovereveningssysteem van de zorgverzekeringswet. VWS/APE. Augustus K.G.H. Okma & J.D. Poelert Budgetering van zorgverzekeraars. Draft. VWS. Januari

31 Het is ook binnen het huidige zorgverzekeringregime mogelijk om op basis van door verzekeraars aangeleverde gegevens de risicofactoren voor bepaalde groepen vast te stellen. Het is dan ook de vraag of het huidige model, waarbij de diagnose- en behandelgegevens op patiëntniveau uit het DIS worden betrokken, niet vervangen moet worden door een systeem gebaseerd op samenvattende diagnose-kosten gegevens die worden verkregen uit het informatiesysteem van zorgverzekeraars. In dat geval moet nog wel goed bekeken worden of het wenselijk en mogelijk is om bepaalde aanvullende analyses uit te voeren op gegevens beschikbaar bij zorgverleners (zie ook hieronder). De voor risicoverevening gebezigde methoden van pseudonimisering waarbij indirecte herleidbaarheid niet kan worden uitgesloten, leiden er toe dat op dit moment persoonsgegevens worden verwerkt door het DIS en bij risicovereniging gebruik wordt gemaakt van persoonsgegevens. Ter afsluiting van dit onderdeel over risicoverevening moet geconstateerd worden dat het niet noodzakelijk is om een vereveningsmodel te baseren op een uitputtende detailanalyse van patiëntendata van 16 miljoen Nederlanders. Het historische ziekenfondsmodel heeft laten zien dat het mogelijk is om steekproefsgewijs een model te bouwen op basis van bij verzekeraars aanwezige (en/of direct te koppelen) gegevens (al dan niet in combinatie van andere maatregelen). Het doel van risicoverevening, het compenseren van verzekeraars voor extra kosten verbonden met onevenredig hoge verzekerde risico s, is minder kritisch geworden nu ten gevolge van fusies de vier grootste zorgverzekeraars 80% van de markt bezitten 53. Van het idee van concurrentie tussen zorgverzekeraars met verschillende populaties verzekerden blijft weinig over bij de huidige marktverhoudingen. Voor risicoverevening is het rondpompen van gedetailleerde medische gegevens van 16 miljoen Nederlanders onnodig. Risicoverevening zou ook heel goed kunnen plaatsvinden op basis van geaggregeerde data afkomstig uit periodieke rapportages van zorgverleners en ziektekostenverzekeraars. De huidige, zeer complexe en privacy/beroepsgeheim schendende gegevensverwerking voor risicoverevening op basis van gedetailleerde medische dossiers van alle Nederlanders kan niet worden gelegitimeerd met een verwijzing naar het criterium noodzakelijkheid Het CBS Het CBS verlangt dat met het oog op de samenstelling van statistische informatieproducten waarin kruisverbanden worden gelegd tussen gezondheidsgegevens en andersoortige gegevens, zoals over welstand of woonsituatie, de DBC-gegevens uit het DIS kunnen worden gekoppeld met persoonsgegevens die reeds bij haar aanwezig zijn.. Dit heeft er toe geleid dat [v]oor het CBS een 53 Bezuiniging op de zorg? Verplaats de zorg! Anton Maes. Financiëel Dagblad 1 februari

32 bijzondere situatie [is] gecreëerd. 54 Aan het CBS wordt als enige afnemer- de sleutel verstrekt waarmee het de pseudo-identiteiten alsnog kan identificeren. Deze uitzondering is uiterst problematisch omdat daarmee komt vast te staan dat het bij de aanlevering van diagnose- en behandelgegevens door zorgverleners (automatisch als onderdeel van digitale declaratieprocedure) gaat om direct herleidbare (psycho-)medische persoonsgegevens. Een dergelijke aanlevering/uitwisseling van medische gegevens valt onder het medisch beroepsgeheim en kan niet plaatsvinden zonder expliciete, geïnformeerde toestemming van de patiënt/cliënt Overigens moet er op gewezen worden dat de verwerking van persoonsgegevens door het CBS niet in strijd mag zijn met internationale verdragen (wet op CBS). Dit betekent dat de verwerking van medische persoonsgegevens door het CBS niet in strijd mag zijn met art 8 EVRM. Omdat het hier gaat om de verwerking van medische persoonsgegevens is ook voor het CBS de vraag aan de orde of bij de verwerking van deze bijzondere persoonsgegevens gegevens sprake is van een dwingende maatschappelijke noodzaak. Voor studies naar gezondheid gebruikte het CBS tot nu toe enqûete methoden. Of deze enqûete methoden niet (meer) voldoen is noch onderzocht, noch aangetoond voor het gebruik van de (ontsleutelde) medische gegevens verkregen via het DIS. Ook is niet aangegeven waarom het CBS niet kan volstaan met anonieme data of data op geaggregeerd niveau. Als er specifieke vragen zijn die het CBS wil beantwoorden, kan een wetenschappelijke studie worden gedaan met een steekproef van de data volgens de protocollen die gelden bij medisch onderzoek. De mogelijkheid tot het verrichten van interessante analyses met gedetailleerde (psycho-)medische persoonsgegevens van de gehele bevolking - die overigens door geen enkel ander statistisch bureau in Europa kunnen worden uitgevoerd - vormt op zich geen maatschappelijke noodzaak voor een inbeuk op privacy en beroepsgeheim Conclusies De gegevensstroom vanuit zorgaanbieders naar het DIS is opgezet voor de volgende doelstellingen (doelbinding): - Monitoring van kosten door de NZa - Ontwikkelen DBC systeem NZa/DIS - De Risicoverevening CVZ Daarnaast zou ook het CBS vanuit het DIS worden voorzien van informatie. Uitwisseling en gebruik van DIS data voor specifieke, vooraf bekende doeleinden wordt waar dit het dataverkeer via de ZorgTTP/DIS-route betreft als onbelangrijk en onproblematisch gezien nu het CBP heeft geoordeeld dat het aanleveren, uitwisselen en koppelen van gepseudonimiseerde behandelgegevens via het DIS niet behoeft te worden aangemerkt als verwerking van persoonsgegevens. Het is echter om een viertal redenen onjuist om die stikte WBP vereisten, waaronder het vereiste van doelbinding, niet toe te passen op de gegevensverwerking via ZorgTTP, DIS, DBC-onderhoud. 54 Brief CBP aan VWS dd. 10 januari 2006 pseudonimisering DIS. Kenmerk: z

33 1) Het CBS beschikt over een sleutel waarmee gespeudonimiseerde behandelgegevens kunnen worden herleid tot persoonsgegevens. 2) Het specifieke karakter van de via deze route verwerkte data maakt indirecte herleiding via koppeling aan extern beschikbare datasets zeer wel mogelijk. Het is niet alleen het specifieke karakter van de behandelgegevens maar ook de beschikbaarheid van andere gegevens zoals: geboortejaar, postcode, behandelaar(s) en datum van behandeling (zie ook hieronder 3), die indirecte herleiding mogelijk maken. 3) Door IT specialisten wordt geconcludeerd dat de gekozen wijze van pseudonimisering - die op pseudoniem niveau koppeling aan gegevens uit andere databestanden mogelijk moet maken - niet kan worden gezien als een adequate beveiliging van deze bijzondere persoonsgegevens 55 (zie ook 3). 4) Verwerking en gebruik van DIS-gegevens moet voldoen aan het vereiste van doelbinding. Als indirecte herleiding van geanonimiseerde/gepseudonimiseerde gegevens mogelijk is dan moeten deze gegevens worden behandeld als bijzondere persoonsgegevens. De WBP is dan onverkort van toepassing op de verwerking van deze gegevens. Tenslotte kan nog worden opgemerkt dat bij de instelling van het DIS door het CBP is bepaald dat het DIS geen persoonsgegevens mag verwerken en dat ook in geval van indirecte herleidbaarheid sprake is van verwerking van persoonsgegevens. De huidige verwerking van behandelgegevens via de ZorgTTP/DIS-route is dan ook in strijd met de geldende wet- en regelgeving. Het probleem met de aanlevering van gegevens via het ZorgTTP naar het DIS is dat niet gekozen is voor een constructie waarbij zorgverleners als bronbeheerders invloed kunnen uitoefenen op deze wijze waarop data worden gepseudonimiseerd, gegeneraliseerd en/of geaggregeerd om herleiding te voorkomen. Bij de opzet van ZorgTTP is afgeweken van in dit kader ontvangen adviezen en gekozen voor een constructie waarbij ZorgTTP een bewerker is voor het NZa. Binnen het DIS als datawarehouse vindt de uitlevering (met mogelijkheden tot koppeling) van behandelgegevens plaats buiten de beschikkingsmacht van zorgverleners, ook al zijn bestuursleden van DBO geworven in kringen van zorgverleners. Deze bestuursleden die op persoonlijke titel zijn aangesteld kunnen op geen enkele wijze worden gezien als een beschikkingsbevoegde vertegenwoordigers van zorgverleners als verantwoordelijke bronbeheerders. DBO bestuurders worden geacht onafhankelijk besluiten te nemen over de verwerking van behandelgegevens die niet herleid kunnen worden tot personen. Daar waar aanlevering van gegevens aan CBS en/of indirecte herleidbaarheid maken dat verwerking van gegevens via de ZorgTTP/DIS-route moet worden aangemerkt als verwerking van persoonsgegevens kunnen DBO-bestuurders niet worden gezien als beschikkingsbevoegde partijen die, gehouden aan het beroepsgeheim, kunnen besluiten over uitlevering en gebruik van behandelgegevens, omdat dit onder die omstandigheden is voorbehouden aan de zorgverleners die direct bij de behandeling betrokken zijn. 55 Paul Vogel, Een eerste analyse van het ZorgTTP pseudonimisatei systeem, juni

34 Als ontwikkelaar van het DBC-systeem (in opdracht van het NZa/CVZ) is het niet noodzakelijk dat DBO de beschikking heeft over gepseudonimiseerde persoonsgegevens. Voor dit doel is het voldoende om te beschikken over geanonimiseerde, geaggregeerde data. Voor ontwikkeling en onderhoud is het aanleveren van gedetailleerde gepseudonimiseerde behandeldata dan ook niet aan te merken als een noodzakelijk doel. Ook voor het monitoren van de kosten is het op zich niet noodzakelijk om gedetailleerde medische gegevens op persoonsniveau aangeleverd te krijgen. Voor het CBP geldt dat de gedetailleerde behandelgegevens zoals die nu (gepseudonimiseerd) worden aangeleverd aan verschillende partijen voor onderscheiden taken in het zorgverzekeringbestel geen noodzakelijk doel dienen, omdat deze taken ook op basis van minder gedetailleerde, geaggregeerde gegevens kunnen plaatsvinden (zie ook vroegere praktijk en de praktijk in andere Europese landen, waar data op detailniveau niet beschikbaar zijn). Ten slotte kan worden opgemerkt dat er grote twijfels bestaan over de wijze waarop het systeem van risicoverevening nu wordt aangestuurd, namelijk op basis van weinig transparante en uiterst complexe modellen die gebruik maken van detail informatie. Dit model werkt niet goed en vanuit ZOnMW zijn dan ook suggesties gedaan om te komen tot een aantal pragmatische aanpassingen; de realistische relativering bij deze voorstellen is dat men moet accepteren dat geen enkel risicovereveningssysteem perfect is. Het is zeer wel mogelijk maar dat moet serieus worden onderzocht dat een eenvoudiger alternatief systeem voor risicoverevening, gebaseerd op het gebruik van systematisch verzamelde gegeneraliseerde data, minstens zo goed kan voldoen als het huidige complexe, weinig transparante systeem. In 4 zal worden ingegaan op de contouren van een alternatief informatiesysteem dat tegemoet komt aan de verschillende bezwaren verbonden met het huidige systeem en dat geen inbreuk maakt op vertrouwelijkheid, privacy en beroepsgeheim. 32

35 2.2 Declaratieroute Sinds januari 2008 declareren 2 e -lijns GGZ aanbieders volgens de DBC registratie hun rekeningen bij de verzekeraars. De (digitale) rekening moet voldoen aan de eisen opgesteld ( de spelregels ) 56 door VWS en moeten zijn gebaseerd op de DBC productstructuur voor de GGZ. Een overzicht van de informatie die moet worden opgenomen in een declaratie is opgenomen in onderstaande tabel. Declaratie GGZ NAW verzekerde Geboortedatum Verzekeraar UZOVI Verzekeringsnummer BSN patient Gegevens Onderverdeling # Voorbeeld Start DBC traject Eind DBC traject DBC prestatiecode Zorgtype Initiele zorg 17 Reguliere Zorg Rechtelijke Machtiging Acute zorg Vervolg zorg 12 Langdurige controle Voortgezette zorg Diagnose Groep DSM IV 14 Stoornissen in de kindertijd Middelen gerelateerde stoornis Schizofrenie Productgroep Behandeling 145 Begeleiding Diagnose Interpersoonlijke therapie Verblijf 71 Verblijf ouderen Te betalen bedrag Behandeling Uren* Tariefgroep Verblijf Dagen * Tariefgroep Poortspecialisme "Beroepsgroep" Zorgverlenerscode individu Praktijk code praktijk Instellingscode ziekenhuis Al bij de eerste plannen voor de invoering van het somatische DBC systeem ontstond discussie over het doorzenden van medische persoonsgegevens. Tussen 2002 en 2004 onderhandelden VWS, ZN en CBP over het doorzenden van medische persoonsgegevens. Afgesproken werd dat alleen algemene, samengevatte DBC gegevens zouden worden doorgestuurd voor de afwikkeling van de declaraties. Ook werd afgesproken dat VWS en ZN de noodzaak voor de doorzending/aanlevering van medische gegevens voor de afhandeling van declaraties verder zouden uitwerken en dat op termijn een vergroving van het systeem zou worden doorgevoerd ten einde 56 Spelregels DBC-registratie GGZ. V Ingangsdatum: DBC-onderhoud. September

36 het dataverkeer tussen zorgverleners en zorgverzekeraars te beperken 57. Incidentele, meer gedetailleerde gegevensverstrekking in het kader van fraudebestrijding werd daarbij ook mogelijk geacht. Later zegt het CBP hierover:..dat het CBP niet structureel heeft ingestemd met het zeer gedetailleerde DBC-gegevensverkeer van zorgverlener naar verzekeraar zoals dat nu plaats vindt in de somatische zorg, maar destijds onder grote druk in verband met de invoering van het nieuwe zorgstelsel zijn verzet hiertegen heeft gestaakt onder de uitdrukkelijke voorwaarde dat maatregelen zouden worden genomen waardoor de diagnose-informatie tot aanvaardbare proporties zou worden teruggedrongen. 58. Ook voor de GGZ gaat het CBP later schoorvoetend akkoord met de verwerking van persoonsgegevens voor de afwikkeling van declaraties [N]aar het oordeel van het CBP [is]..voldoende aannemelijk gemaakt dat de door u voorgestelde diagnoseinformatie op de declaratie ten behoeve van de zorgverzekeraar noodzakelijk moet worden geacht binnen het nieuwe zorgstelsel.. Uw huidige voorstel houdt een substantiële aantasting van de persoonlijke levenssfeer van de GGZ-patiënten in, waartegen de nu gestelde noodzaak maar net opweegt. Het CBP wijst u er daarom reeds nu op dat de Wet bescherming persoonsgegevens (Wbp) en het medisch beroepsgeheim niet of nauwelijks ruimte bieden voor verdere uitbreiding van vermelding van diagnose-informatie op de GGZ-declaratie en dat het CBP een eventuele uitbreiding in de toekomst daarom uiterst gereserveerd tegemoet zal zien. 59. De schoorvoetende en onder druk verkregen toestemming van het CBP maakt duidelijk dat de uitwisseling van diagnose informatie op persoonsniveau bij de afhandeling van declaraties een inbreuk vormt op privacy en beroepsgeheim, die maar net noodzakelijk wordt bevonden. Er zijn echter in de praktijk ook systemen voor controle en verantwoording mogelijk waarbij de gegevensuitwisseling geen inbreuk maakt op de privacy van patiënten. Zo bestond er voor psychotherapie tot een uniek systeem voor controle en verantwoording waarbij de psychotherapeut bij aanvang van de behandeling (met referentie naar een verwijzing) een diagnose- en behandelplan opstelde dat ter goedkeuring werd voorgelegd aan een toetsingscommissie. De gegevens die op grond van geïnformeerde toestemming ter inzage werden gegeven aan deze toetsingscommissie (bestaande uit vakgenoten die onder het medisch beroepsgeheim vielen), werden na beoordeling teruggezonden aan de zorgverlener. Diagnose- en behandelgegevens bleven zo volledig vallen onder het beheer, het beroepsgeheim van de direct bij de behandeling betrokken psychotherapeut. Bij de introductie van het informatiesysteem, de gegevensuitwisseling binnen het zorgverzekeringbestel is ten onrechte (subsidiariteit) niet gekeken naar deze verantwoordingsmethode die noch een inbreuk vormde op de privacy van patiënten/cliënten noch op het medisch beroepsgeheim van de psychotherapeut. 57 Overheveling van de geneeskundige GGZ naar de Zorgverzekeringswet en de ontwikkeling van een GGZ-DBC declaratiestructuur. Notitie voor het CBP van het VWS verstuurd zomer PDF-versie januari Brief CBP aan VWS 12 februari 2007 DBC s somatische zorg Kenmerk: z Brief CBP aan VWS dd. 6 december 2006 DBC-declaratie structuur in de GGZ. Kenmerk: z

37 Door een systeem zoals deze toetsingsprocedure te koppelen aan gestandaardiseerd gegevensbeheer bij psychotherapeuten bestond de basis voor een systeem voor controle en verantwoording waarbij realistische, gepseudonimiseerde beleidsrelevante informatie verkregen kon worden van therapeuten zonder dat vertrouwelijkheid en beroepsgeheim daarbij geschonden werd. Doordat bij de introductie van het DBC-informatiesysteem in de GGZ niet is gekeken naar het bestaande toetsingssysteem bij psychotherapeuten moet geconcludeerd worden dat geen deugdelijke toetsing op basis van het subsidiariteitsbeginsel heeft plaatsgevonden en bijgevolg niet gesteld kan worden dat de privacy schendende uitwisseling van diagnose- en behandelgegevens in het DBC-informatiesysteem noodzakelijk is. In de volgende paragrafen zal worden besproken welke gegevens worden doorgeleverd en voor welk urgent maatschappelijk doel deze worden gebruikt. We volgen hiertoe het declaratie deel van het schema van het begin van dit document om via de zorgaanbieders weer uit te komen bij het CVZ Vecozo Declaraties worden verzonden via de verzekeraars portal VECOZO. VECOZO staat voor veilige communicatie in de zorg. Het is een IT bedrijf dat is opgezet door en wordt gefinancierd door de zorgverzekeraars. VECOZO is opgericht voor het beheer van de databases met alle verzekeringsnummers, NAW gegevens (in het zgn. RBVZ bestand dat onder beheer ligt van VEKTIS) en de AGB codes van behandelaars en instellingen. Verder biedt VECOZO de mogelijkheid aan zorgaanbieders om digitaal te declareren bij de zorgverzekeraars. Rond de 80% van alle huisartsen, ziekenhuizen en ongeveer de helft van de psychologische zorgverleners maken hiervan gebruik 60. VECOZO sluit voor de verzending van gegevens een contract met de zorgaanbieders. De verzending van behandelgegevens wordt beveiligd door middel van certificaten. Bij opening van een DBC wordt zorgverleners aangeraden een controle op verzekeringsrecht uit te voeren. Hiervoor kan de zorgaanbieder bij VECOZO opzoeken of de verzekerde recht heeft op behandeling. Dit kan, afhankelijk van het software programma van de zorgverlener, ook automatisch. Voor een declaratie aangemaakt kan worden, worden de afgesloten DBC s eerst via een validatie model in de software programma s getoetst op coherentie en of alles volgens de regels is ingevuld. Bij sommige software programma s worden declaraties pas verzonden na controle op verzekeringsrecht en soms is ook de verzending aan het DIS voorwaardelijk voor verzenden van een declaratie. (DBC-Onderhoud informeert op haar website dat dit laatste volkomen afhankelijk is van de keuze van het software programma en niet verplicht is). Daarna wordt de declaratie verzonden naar VECOZO, die de ontvangen gegevens vervolgens doorstuurt naar de verschillende zorgverzekeraars bezocht januari

38 VECOZO kan beschouwd worden als bewerker van de gegevens en handelt in opdracht van de zorgaanbieders en zorgverzekeraars bij het verzenden van de informatie. VECOZO slaat zelf geen data op de Zorgverzekeraars Zorgverzekeraars krijgen met de declaratie inzicht in de medische toestand van de patiënt en in de aard van de behandeling. Ze mogen deze gegevens uitsluitend gebruiken voor het doel waarvoor deze zijn aangeleverd, mits voldaan is aan wettelijke verplichting en noodzaak voor het uitvoeren van de wettelijke taken. Het CBP merkte al in 2004 hierover op: Niet in alle gevallen is het noodzakelijk dat een ziekenfonds aan een individuele verzekerde gekoppelde DBC-informatie ontvangt. Zo zal bijvoorbeeld managementinformatie ten behoeve van zorginkoop of fraudebestrijding..[ of budgetering].. door de zorgverzekeraar met niet tot de persoon herleidbare gegevens moeten worden gerealiseerd. Deze informatie zal worden geleverd door het informatie- en onderhoudsorgaan. Voor betaling van gerealiseerde zorg door zorgverzekeraars zal vaak met een beperkte set persoonsgegevens kunnen worden volstaan 61. En: Indien VWS echter van mening is dat dergelijke informatie op de declaratie niet volstaat, dient VWS dat toe te lichten : voor welk onderdeel van de formele dan wel de materiele controle heeft de verzekeraar welke gegevens minimaal nodig? Ook indien VWS kan aantonen dat bovengenoemde indeling aan de hand van de duur van de therapie niet voldoet alsmede dat er wel diagnose-informatie op de declaratie nodig is, dient VWS inzichtelijk te maken waarom er binnen de 14 in de notitie onderscheiden diagnosehoofdgroepen geen verdere indikking mogelijk is. 62 VWS heeft naar aanleiding van deze vragen en in overleg met ZN een notitie 63 opgesteld voor het CBP waarin de noodzaak voor aanlevering van declaratie gegevens met inhoudelijke DBC-informatie wordt beschreven. De doelen waarvoor deze inhoudelijke DBC-informatie nodig wordt geacht zijn: 1. Formele controle: is de zorg geleverd aan a. de verzekerde persoon b. deel van het verzekerde pakket c. mag zorgverlener deze prestatie leveren d. is het juiste tarief gehanteerd 2. Materiele controle 3. Zorginkoop 4. Vaststellen eigen risico en no-claim Formele controle en materiële controle (1 & 2) De verzekeraar moet de declaratie kunnen koppelen aan een verzekerde persoon en een zorgverlener. Hierbij moeten persoonsgegevens worden uitgewisseld. 61 Brief CBP aan VWS dd. 10 februari 2004 Wijziging Ziekenfondswet en AWBZ Kenmerk: z Brief CBP aan VWS dd. 18 september 2006 Voorstel DBC-declaratiestructuur in de GGZ. Kenmerk: z Overheveling van de geneeskundige GGZ naar de Zorgverzekeringswet en de ontwikkeling van een GGZ-DBC declaratiestructuur. Notitie voor het CBP van het VWS verstuurd zomer PDF-versie januari

39 [Verzekeraars] kunnen [formele] controles alleen doen als zij de beschikking of inzage hebben of kunnen hebben in hetgeen de individuele verzekerde als patiënt als zorg of een andere dienst is geleverd, als zij weten wanneer deze zorg of dienst is geleverd, het daarvoor in rekening gebrachte tarief kennen, en als [ zij kunnen vaststellen of de behandeling verzekerd is volgens de Zvw]. Vermelding van diagnose-informatie op de declaratie is noodzakelijk, wanneer de diagnose invloed heeft op de (aard van de) behandeling en dit tot uitdrukking komt in de daarmee gemoeide kosten. Materiële controle is het onderzoek waarbij de zorgverzekeraar nagaat of de door de zorgaanbieder in rekening gebrachte prestatie is geleverd en die geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde. Het [is] noodzakelijk dat de zorgverzekeraar inzicht kan krijgen of de zorg die in rekening is gebracht wel de op grond van de diagnose [de] meest aangewezen zorg is, of deze zorg wel daadwerkelijk is geleverd en of op grond van de geleverde zorg wel de juiste zorg of dienst in rekening is gebracht. 64. Er bestaan echter ernstige twijfels over de doelmatigheid van het huidige DBCsysteem in de GGZ omdat het onvoldoende aansluit op de praktijk. Ook het Ministerie betwijfelt de doelmatigheid van het huidige DBC-systeem: [h]et DBC-systeem in zijn huidige vorm [2006] kent zoveel vrijheidsgraden toe aan de zorgaanbieder bij het typeren van de DBC, dat controle door de zorgverzekeraar en het toezicht ernstig worden bemoeilijkt. Hieruit volgt naar de mening van de NZa dat de publieke belangen, met name de doelmatigheid, onvoldoende tot hun recht komen in het DBCsysteem. 65 In de uiterst omvangrijke en complexe DBC-systematiek is de behandelregistratie van zorgaanbieders niet eenduidig, een probleem dat in de GGZ wordt versterkt doordat de DBC productstructuur niet aansluit op de behandelpraktijk. De NZa doet daarom eind 2006 een voorstel om een ingrijpende wijziging van het DBC-systeem door te voeren. Dit initiatief heeft uiteindelijk vorm gekregen in een voorstel om het huidige systeem met DBCs om te zetten naar een zogeheten DBC-DOT systeem met maximaal 3000 DBCs 66. Het is zeer de vraag of meer eenduidigheid en een betere aansluiting op de praktijk wordt gerealiseerd als het nieuwe DBC-DOT systeem zal zijn ingevoerd en in plaats van producten nog maar 3000 producten worden geregistreerd. Er bestaan ernstige twijfels of dit DBC-DOT systeem wel voldoende onderscheidend vermogen heeft en een betere aansluiting op de praktijk mogelijk maakt. Op dit moment is nog niet onderzocht in hoeverre de voorgestelde vereenvoudigde registratie een realistisch, zinvol effect heeft op de variatie in zorgregistratie door ziekenhuizen/instellingen en individuele behandelaars. Het is dan ook zeker met betrekking tot de GGZ nog onduidelijk welke vereenvoudigde registratie moet 64 Overheveling van de geneeskundige GGZ naar de Zorgverzekeringswet en de ontwikkeling van een GGZ-DBC declaratiestructuur. Notitie voor het CBP van het VWS verstuurd zomer PDF-versie januari NZa (2006) Declaraties beter controleerbaar. Onderzoek naar de toepassing van delcaratie bepalingen van DBC s. augustus 2006, NZa i.o. 66 Invoering nieuwe DOT zorgproducten. Kamerstuk 9 april CZ-TSZ

40 worden nagestreefd om meer realistische managementinformatie te kunnen genereren binnen het zorgbestel. In het najaar van 2006 vraagt het CBP - in een reactie op suggesties uit het veld - aan VWS : waarom niet volstaan kan worden met het clusteren van diagnoses die tot een zelfde of vergelijkbare behandeling/ behandelingsduur en tot een zelfde tarief leiden bijvoorbeeld de volgende vier groepen bij de lang ambulant trajecten: - korte therapie; - middellange therapie; - lange therapie; - extra lange therapie 67. VWS antwoordt in haar brief d.d. 13 november 2006 dat ze niet alles uit de eerdere notitie zullen herhalen met betrekking tot de doelen van prestatiebekostiging en transparantie in de zorg en verder van mening is dat: dit proces van gezamenlijk beraad ermee gediend [is], dat met het actief in de openbaarheid brengen van tussenstanden in deze fase van het overleg enige terughoudendheid wordt betracht 68. VWS wil eerst - los van alle transparantie - alleen met het CBP tot overeenstemming komen. VWS verzoekt het CBP geen tussenstanden naar buiten te brengen of te overleggen met veldpartijen. Inhoudelijk stelt VWS dat het verband tussen de variatie aan behandelingen voor verschillende lang ambulante zorgtypes te groot is en dat bv. voor verschillende soorten langdurige therapie verschillende kosten berekend moeten worden. Een voorwaarde voor prestatiebekostiging is dat de prijs op de declaratie gerelateerd is aan de zorgvraag en de geleverde zorg en dat de verzekeraar weet waarvoor hij betaalt. 69. Dit standpunt over het doorzenden van DBC-gegevens voor controle doeleinden laat zich slecht verenigen met de conclusie die naar voren komt in de eerder genoemde correspondentie van het VWS naar het CBP 70 in 2006 (zie boven). In deze correspondentie wordt het uitoefenen van controle op basis van de bestaande indeling van DBC-productgroepen juist als zeer problematisch aangemerkt. De brief gaat onbedoeld- verder met wat wellicht een uitweg uit het dilemma zou kunnen zijn: het hanteren van verschillende tarieven binnen elk van de vier groepen zou door het ontbreken van een koppeling aan de diagnose in de declaratie praktijk neerkomen op tijdschrijven. Maar vervolgt de brief, bij deze aanpak is niet te controleren of de behandeling/tijd wel aansluit bij de diagnose en of de kosten redelijk zijn. Controle middelen heeft de zorgverzekeraar volgens VWS dan niet tot zijn beschikking Brief CBP aan VWS dd. 18 september 2006 Voorstel DBC-declaratiestructuur in de GGZ. Kenmerk: z Brief VWS aan CBP dd. 13 november 2006 DBC declaratiestructuur in de GGZ Kenmerk: CZ/GGZ Brief VWS aan CBP dd. 13 november 2006 DBC declaratiestructuur in de GGZ Kenmerk: CZ/GGZ Brief VWS aan CBP dd. 13 november 2006 DBC declaratiestructuur in de GGZ Kenmerk: CZ/GGZ Brief VWS aan CBP dd. 13 november 2006 DBC declaratiestructuur in de GGZ Kenmerk: CZ/GGZ

41 In 2003 bestonden er al uitgewerkte voorstellen voor het ontwikkelen van software architectuur rond DBC declaratiesystemen met de optie van een controle mechanisme waarbij de zorgverzekeraar per instelling wel anonieme DBC productie informatie krijgt op individueel niveau, maar zonder de mogelijkheid deze informatie te koppelen aan persoonsgegevens 72. In dit voorstel wordt een groot deel van de controles automatisch door de zorgverlener zelf uitgevoerd (zoals verzekeringsrecht, correctheid van declaraties en samenhang van declaraties met behandelingen). Dit laat zien dat een ander, minder belastend systeem (subsidiariteit) van gegevensverwerking mogelijk is. In het voorgestelde informatiesysteem blijft opslag, uitwisseling en gebruik van behandelgegevens plaatsvinden onder de verantwoordelijkheid en het beroepsgeheim van de behandelaar. Software matig [via een VECOZO-achtig systeem] kan een controle worden uitgevoerd op verzekeringsrecht en eventuele dubbele declaraties. In een dergelijk systeem kunnen declaraties via het tijdschrijven model prima worden toegepast. Uiteindelijk zou ook nog kunnen worden vergeleken of per instelling het totaal aan gedeclareerde tijd overeenkomt met de geleverde, geanonimiseerde prestatie gegevens. Een combinatie van tijdschrijven samen met het oude model van een controle mechanisme via collegiale toetsing en tevens kwaliteitsrapportages, zou juist bij zorgverlening in de GGZ transparantie en kwaliteit van de zorgverlening kunnen garanderen. Functionele bekostiging is nog steeds mogelijk via geaggregeerde rapporten van jaaraantallen van bepaalde DBCs in combinatie met declaraties van behandeluren/groepen en met bepaalde kwaliteits- en kostenindicatoren voor behandelingen/resultaten. In contrast met de toon van de brief lijkt plots de wellicht nogal ongelukkig geformuleerde- suggestie van het CBP, mits met goede wil uitgewerkt en doordacht, minder in weerwil van de werkelijke situatie en minder een simpele omkering of spiegeling van de redenering, dat als een diagnose geen invloed heeft op behandeling en prijs geen diagnose informatie op de declaratie mag staan 73. In paragraaf 4 zullen een aantal alternatieve oplossingrichtingen op een rij worden gezet voor gegevensuitwisseling zonder inbreuk te maken op vertrouwelijkheid en beroepsgeheim. Hoewel het CBP bij de toetsing van noodzakelijkheid ook het subsidiariteitsbeginsel moet betrekken,is het niet de taak van het CBP om dergelijke alternatieve systemen van gegevensverwerking uit te werken of te doordenken. Het is echter wel aan het CBP om aan te dringen op het onderzoeken van andere systemen van gegevensverwerking als wordt vermoed dat deze systemen geen of minder inbreuk maken op privacy/beroepsgeheim. Gegevensverwerking die inbreuk maakt op de privacy kan niet noodzakelijk geacht worden als het met andere, minder belastende methoden van gegevensverwerking 72 Van FB naar DBC Een architectuurontwerp voor de afhandeling van DBC's. 6 november 2003 Linda Terlouw. Opdrachtgever: Deloitte & Touche Enterprise Risk Services MSc thesis.universiteit Twente. 73 Brief VWS aan CBP dd. 13 november 2006 DBC declaratiestructuur in de GGZ Kenmerk: CZ/GGZ

42 mogelijk is (subsidiariteit). Voor het CBP bestaan er in een dergelijk geval wel heel goede redenen om terug te komen op de eerdere, aarzelend gegeven nipte toestemming onder tijdsdruk 74. Zorginkoop (3) Voor de zorginkoop is er geen diagnose-informatie op persoonsniveau nodig. Verzekeraars kunnen ten behoeve van de zorginkoop geaggregeerde diagnoseinformatie over hun verzekerden krijgen via het DBC-Informatiesysteem. 75. Voor de GGZ schrijft van der Pol van de GGZ instelling Altrecht in 2008 verder: Zorgverzekeraars willen gaan sturen op DBCs. De DBCs worden verkocht als producten. Producten die transparant zijn In de brochure zorginkoop 2009 geeft zorgverzekeraar Menzis aan dat marktwerking mogelijk is voor GGZzorgproducten die gekenmerkt worden door een hoge turn-over, veel aanbod, veel vraag, makkelijke toetreding [van] nieuwe aanbieders, transparantie zorgproducten, monodisciplinaire problematiek. Ze vertaalt dit als volgt: het betreft hier de DBC s met een inzet aan directe en indirecte tijd tot maximaal minuten, exclusief de DBC s crisis en diagnostiek. Als ik deze groep DBC s uit de databank van Altrecht selecteer dan zie ik dat meer dan de helft van deze DBC s administratief worden afgesloten en heropend (behandeling langer dan een jaar) en dat een groot deel van de DBC s afkomstig zijn van divisies die staan voor complexe problematiek en waar ketenzorg en samenwerking de professionele standaard is en niet zo zeer marktwerking. 76 De auteur concludeert dat de DBC s in de GGZ slechts kunnen worden gebruikt om patiënten te clusteren op basis van behandeltijd, waarbij moet worden opgemerkt dat de gegevens over de behandeltijd vaak foutief worden geïnterpreteerd (vanwege de administratieve sluiting en heropening van een DBC als een behandeling langer duurt dan een jaar). Dat de huidige DBC-registratie leidt tot transparante zorgproducten is aantoonbaar een mythe. Eigen risico of no-claim (4) Voor de uitvoering van de no-claimregeling is diagnose-informatie niet noodzakelijk. En: het verstrekken van diagnose-informatie ten aanzien van alle DBCs om te kunnen vaststellen of het een eigen risico-geval betreft, is niet evenredig, en kan dat niet zelfstandig dragen 77. Verder gebruik Bij bovengenoemde punten 3 en 4 wordt opgemerkt dat, hoewel er geen noodzaak is, die doorbreking van de geldende privacyregels mogelijk maakt, het zorgverzekeraars toch moet worden toegestaan om informatie voor deze doelen te gebruiken Aangezien de verzekeraar al ten behoeve van andere doelen over diagnose- 74 Brief CBP aan VWS dd. 12 februari 2007 DBC s somatische zorg: z Overheveling van de geneeskundige GGZ naar de Zorgverzekeringswet en de ontwikkeling van een GGZ-DBC declaratiestructuur. Notitie voor het CBP van het VWS verstuurd zomer PDF-versie januari Frans van der Pol (2008) Overheveling GGZ weerbarstig in de praktijk. NTMA tijdschrift zorgadministratie en informatie, december Overheveling van de geneeskundige GGZ naar de Zorgverzekeringswet en de ontwikkeling van een GGZ-DBC declaratiestructuur. Notitie voor het CBP van het VWS verstuurd zomer PDF-versie januari

43 informatie dient te kunnen beschikken 78. Ondanks de eerdere oordelen van het CBP over het vereiste van doelbinding (zie begin van de paragraaf) wordt deze informatie in de praktijk toch gebruikt voor doelen waarvoor deze niet is verstrekt/verzameld en/of waarbij het gebruik van deze medische gegevens niet noodzakelijk is, want we hebben de informatie toch al. Op basis van deze redenering ontstaat een glijdende schaal van steeds verdergaand gebruik van beschikbare informatie voor allerlei andere zaken dan oorspronkelijk voorzien, bedoeld. In het evaluatie rapport over privacy bij zorgverzekeraars schrijft de NZa dat hoewel bij veel verzekeraars protocollen uitgewerkt zijn - er nog steeds een aantal verzekeraars moeten werken aan de verbeterpunten. Rond doelbinding mist vaak een procedure voor vaststellen van verenigbaar gebruik en het gebruik van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden. Er missen soms procedures op naleving van WBP. Er is geen duidelijke regelgeving voor bewaartermijnen en er zijn geen heldere bepalingen rond fraude onderzoek bij aanvullende verzekering. Als er echter regels op papier worden geformuleerd lijkt het NZa akkoord te zijn met verder gebruik en doorlevering van gegevens voor bv statistisch gebruik 79. Het is uiterst zorgelijk te moeten constateren dat twee toezichthouders, het CBP en de NZa, uiterst nonchalant omgaan met het vereiste van doelbinding, waardoor bij het gebruik van medische dossiergegevens de deur wagenwijd open wordt gezet voor function creep Door deze function creep ontstaat een groot grijs informatiedomein met medische dossiergegevens. Een dergelijk proces maakt de privacy rechten van burgers, waar het gaat om medische gegevens, volstrekt illusoir. Het gedogen van function creep (CBP) en het niet handhavend optreden tegen praktijken van gegevensgebruik die in strijd zijn met het vereiste van doelbinding (NZa) getuigt van onbegrip voor de belangrijkste bedreigingen verbonden met dit soort grootschalige, complexe, omvattende informatiesystemen. Waarom beschikbare data niet ook gebruiken voor risicoselectie? En waarom deze gegevens niet tevens gebruiken voor uitgebreide statistische analyses, met al dan niet gepseudonimiseerde gegevens (maar in ieder geval met gebruikmaking van geboortedatum, postcode en geslacht), of voor onderzoek naar fraude 80, of voor zorginkoop 81 etc. Het is onaanvaardbaar dat niet wordt gehandhaafd bij doorbreking van het vereiste van doelbinding en medische gegevens van alle Nederlanders (het volledige gespeudonimiseerde- DBC declaratie bestand) worden gebruikt voor analyses waarvoor de aanlevering oorspronkelijk niet was bedoeld. 78 Overheveling van de geneeskundige GGZ naar de Zorgverzekeringswet en de ontwikkeling van een GGZ-DBC declaratiestructuur. Notitie voor het CBP van het VWS verstuurd zomer PDF-versie januari Nza (2009) Vervolgonderzoek Privacy bij Zorgverzekeraars Opvolging van de verbeterpunten; juli bezocht februari ZN 2010 inkoop gids GGZ 41

44 2.2.3 Vektis en ZN Vektis levert informatie voor zowel de sector zorgverzekeringen als de zorgverzekeraars - collectief en individueel. Bijvoorbeeld over. de farmacie en de ziekenhuiszorg. Daarbij komt specifieke informatie over onder andere aandoeningen van verzekerden, en over specialismen, specialisten en natuurlijk ziekenhuizen in beeld. Ook het doen van kostenvoorspellingen en het verrichten van onderzoek naar (de ontwikkeling van) het risicovereveningsmodel behoren tot onze activiteiten. Dit gebeurt op basis van de data uit de declaratiebestanden van de zorgverzekeraars, die frequent worden aangeleverd. 82 VEKTIS is het informatie- en kenniscentrum voor de zorgverzekeraars en is eigendom van ZN. De organisatie zit in hetzelfde gebouw als ZN. De zorgverzekeraars sturen declaratiebestanden die ze krijgen via VECOZO door naar VEKTIS, voor het aanmaken van spiegelinformatie en analyses. Jaarlijks gaat het om ruim 500 miljoen declaraties, wat onze database tot één van de grootste in Nederland maakt! 83. Sinds 2006 kan VEKTIS hierbij gebruik maken van opslag en verwerking van individuele medische gegevens op basis van het BSN. Zo kan VEKTIS makkelijke data koppelen en uitwisselen ten behoeve van studies (RIVM, 2008) of voor de risicoverevening. Voor studies over risicoverevening kan gebruik worden gemaakt van de bij VEKTIS aanwezige data, die binnen haar eigen grenzen zonder versleuteling werkt, maar naar buiten toe alleen versleutelde gegevens uitlevert. 84. VEKTIS heeft ook per toepassingsgebied een data-warehouse ontwikkeld. Zo is voor de ziekenhuissector IZIZ ontwikkeld en voor de farmacie bestaat FIS. Het Iziz data-warehouse doet wat toepassingmogelijkheden aangaat niet onder voor het DIS. In haar onderzoeksrapportage ten behoeve van de Werkgroep Ontwikkeling Risicovereveningsysteem (WOR) heeft het bureau CASEMIX onlangs geconcludeerd dat de vulling van IZiZ niet volledig is, maar groter dan DIS en dat IZiZ op korte termijn meer geschikt voor analyse is dan de DIS-database 85. De gegevens bestemd voor het CVZ over het DKG voor somatische zorg en FKG worden door VEKTIS (nu tenminste - versleuteld - via het ZorgTTP) aangeleverd. Daarnaast beheert VEKTIS het Referentie Bestand Verzekerden Zorgverzekeringswet waarin persoonsgegevens en verzekeringsgegevens worden bijgehouden over alle mensen met een basisverzekering. Bij VEKTIS springen een aantal zaken rond de privacy en doelbinding in het oog. Als bewerker en administreerder van gegevens voor zorgverzekeraars mag het alleen in opdracht gegevens beheren en analyseren. Toch blijkt VEKTIS naast de taak van 82 bezocht februari bezocht februari Het gebruik van pseudo-identiteiten binnen de risicovereveningssystematiek Houten, 20 juni 2006 Stichting Informatievoorziening Zorg. 85 Onderzoeksrapportage eerste analyses DBCdeclaraties Eindrapport, juli dr. A. de Boo drs. Ph.J. Mokveld. VEKTIS 42

45 beheerder ook zelfstandig activiteiten te ontwikkelen rond advies en doorlevering van gegevens. Ook springt in het oog dat bij VEKTIS veel databestanden samenkomen. Hoe bewerking, opslag en gebruik van medische (persoons-)gegevens bij VEKTIS intern geregeld is, blijft onduidelijk. Wel is duidelijk dat met de opslag van alle declaraties voor individuele zorgverzekeraars bij VEKTIS een database ontstaat die minstens zo gevoelig is als het DIS. Bij deze database zijn persoonsgegevens voor intern gebruik gewoon beschikbaar. De doorlevering van medische persoonsgegevens - verkregen van zorgverleners bij de afwikkeling van declaraties - via zorgverzekeraars naar VEKTIS roept vele vragen op met betrekking tot gebruik en doelbinding. Ook bij de gegevensverwerking door VEKTIS ontbreekt het aan kritisch toezicht en handhaving die verwacht mag worden bij uiterst omvangrijke databestanden met bijzondere, medische persoonsgegevens CVZ Zoals eerder vermeld krijgt CVZ voor de risicoverevening data aangeleverd van de kant van de zorgverzekeraars. Vóór 2005 werden de data die CVZ verkreeg van zorgverzekeraars niet gepseudonimiseerd en werd de risicoverevening uitgevoerd en ontwikkeld met open BSN en NAW gegevens van patiënten met een zo volledig mogelijke set van medische data. De data werden in deze periode soms wel en soms niet via VEKTIS aangeleverd. In de circulaire aan de zorgverzekeraars schrijft CVZ: Het CVZ treft waar het gaat om persoonsgegevens alle waarborgen die noodzakelijk zijn om de bescherming van die gegevens te garanderen 86. De CVZ praktijk van gegevensverwerking in deze periode stond echter haaks op deze geruststellende uitspraak, zoals gezegd werden bewerkingen uitgevoerd op open BSN en NAW gegevens van patiënten. Tot 2006 was daardoor in het dataverkeer van CVZ en VEKTIS sprake van een grootschalige systematische schending van de privacy. Als men vertrouwen moet verdienen Bij de verdere ontwikkeling van gegevensuitwisseling tussen DIS, Belastingdienst, UWV en zorgverzekeraars wordt een versleuteling ingevoerd - nadat eerst veel medische gegevens onversleuteld zijn verzonden - als een mogelijke maatregel tegen schending van privacy (zie ook boven in 2.1 voor beschrijving van het systeem). Naar de opvatting van het CBP zijn de meeste en gevoeligste gegevens afkomstig van de verzekeraars..deze gegevens [zullen] mogelijk eerst worden verzameld door VEKTIS, die vervolgens de boven beschreven pre-pseudonimisering uitvoert alvorens de gegevens via de TTP naar CVZ worden verzonden. Ook overigens speelt VEKTIS in de beschreven opzet een belangrijke rol: VEKTIS is namelijk eveneens "leverancier" van gegevens aan de onderzoeksbureaus en "uitvoerder" van het SA-Z [Sectoraal Aanspreekpunt Zorgverzekeringen, die het RBVZ bestand beheert]. De betrokken verwerkingen bevinden zich buiten het 86 CVZ 2005 Gegevensuitvraag ten behoeve van ex ante bepaling FKG's. VFIN/ VFIN/ir. T.W. Bouw. Circulaire nr. 05/09, 18 maart

46 pseudonieme domein en vallen derhalve onder de Wet bescherming persoonsgegevens (WBP). Het CBP heeft daarom bij brief van 14 december 2006 vragen gesteld aan ZN en VEKTIS in verband met de beoogde rol van VEKTIS. Deze vragen waren met name gericht op het voor zover mogelijk - uitsluiten van dubbelrollen en indirecte herleidbaarheid en indirect ook op de vaststelling dat VEKTIS een vanuit het oogpunt bescherming persoonsgegevens voldoende betrouwbare partij is gezien de haar in dit kader toebedeelde taak. Deze vragen zijn op 11 januari 2007 beantwoord door ZN. Op enkele punten bleef nog onduidelijkheid bestaan zodat nog aanvullende vragen per zijn gesteld op 23 januari Deze vragen zijn op 1 februari 2007 beantwoord door VEKTIS. Naar het oordeel van het CBP is hiermee voldoende informatie over de verwerkingen bij VEKTIS verkregen om te kunnen vaststellen dat de beoogde rol van VEKTIS niet in de weg behoeft te staan aan een correcte uitwerking van de pseudonimiseringsoplossing. 87 Op dit moment is niet bekend welke informatie het CBP heeft gekregen op basis waarvan men heeft geconcludeerd, dat VEKTIS geen dubbelrol heeft en dus voldoende vertrouwen geniet om persoonsgegevens te beschermen. Na 2006 verzorgt het ZorgTTP de pseudoniemen van datasets voor CVZ en voor de onderzoeksbureaus die - in opdracht van CVZ - met deze data werken. Voorheen werden deze data niet gepseudonimiseerd gebruikt voor risicoverevening met open BSN en NAW gegevens van patiënten (zie voorgaande paragraaf). In het handboek zorgverzekeraars informatie zorgverzekeringswet 88 staat alle informatie die CVZ aangeleverd krijgt van de verzekeraars. Naast overzichten per kwartaal en jaar van kosten en registraties van patiënten worden in detail data opgevraagd voor de risicoverevening van 2010: Voor alle verzekerden Zvw (aan wie in 2009 geneesmiddelen zijn afgeleverd): 1. Geverifieerd BSN/sofinummer; 2. Geboortejaar en -maand; 3. Geslacht; 4. Datum van aflevering; 5. Artikelcode; 6. Voorgeschreven dosering; 7. Afleveringseenheid; 8. Gemiddelde (voorgeschreven) dagdosering; 9. Hoeveelheid afgeleverd middel; 10. Indicatie debet/credit; 11. Schadebedrag in centen. 87 Brief CBP aan VWS dd. 6 maart 2007 pseudonimisering risicoverevening. Kenmerk: z Handboek zorgverzekeraars informatie Zorgverzekeringswet. CVZ,

47 Voor de geaccepteerde DBC s moeten per DBC, de volgende gegevens aangeleverd worden: 1. Geverifieerd BSN/sofinummer; 2. (Poort) Specialismecode; 3. Prestatiecode DBC; 4. Declaratiecode DBC; 5. Maand van opening van de DBC; 6. AGB code instelling; 7. Indicatie debet/credit; 8. Schadebedrag in centen. Voor alle verzekerden Zvw, voor wie over 2008 een GGZ-declaratie is ontvangen en geaccepteerd, moeten per declaratie, de volgende gegevens aangeleverd worden: 1. Geverifieerd BSN/sofinummer; 2. AGB code instelling/zorgverlener; 3. Soort declaratie; 4. Indicatie debet credit; 5. Schadebedrag in centen; De BSN nummers komen bij CVZ in versleutelde vorm terecht. Gegevens die echter voor specifieke toezichts-doelen door zorgaanbieders aan de zorgverzekeraar zijn verstuurd, worden nu ineens ook gebruikt voor de risicoverevening. Daar waar niet wordt voldaan aan het vereiste van doelbinding en/of (indirecte) herleidbaarheid van medische dossierdata niet kan worden voorkomen, is verwerking van deze gegevens onrechtmatig. Op dit moment wordt het model risicoverevening voor de GGZ nog uitgevoerd zonder DBC gegevens van de verzekeraars. De plannen voor de toekomst zijn makkelijk te deduceren uit het systeem dat nu voor de somatische zorg bestaat. Op dit moment wordt het model risicoverevening voor de GGZ nog uitgevoerd zonder DBC gegevens van de verzekeraars. De verwachting is echter dat de risicoverevening voor de DBC-GGZ in de toekomst op dezelfde manier zal worden opgezet als in de somatische zorg of zelfs geheel zal worden opgenomen in dit systeem. De bezwaren die hiervoor werden besproken met betrekking tot risicoverevening in de somatische zorg zijn dan ook zeker van belang voor de verdere ontwikkeling van het DBC-informatiesysteem in de GGZ Conclusies declaratie route In het nieuwe DBC systeem gaan grote hoeveelheden medische gegevens van zorgaanbieders naar zorgverzekeraars. De aanlevering van diagnose- en behandelgegevens via de declaratie vormt een inbreuk op zowel het beroepsgeheim als op de privacy van patiënten;een inbreuk die gelegitimeerd wordt door te verwijzen naar controlerende taken van verzekeraars binnen het zorgverzekeringbestel. Zoals we hebben gezien kan controle en verantwoording van declaratieverkeer ook plaatsvinden op basis van gegevens beschikbaar in de administratie van zorgverleners, die geheel in lijn met het beroepsgeheim verantwoordelijk blijven voor beheer en gebruik van behandelgegevens. Op grond van dit minder privacy en beroepsgeheim 45

48 schendende systeem voor controle en verantwoording kan gesteld worden dat de huidige aanlevering van behandelgegevens bij zorgverzekeraars niet noodzakelijk is. De beschikbaarheid van specifieke, gedetailleerde gezondheidsgegevens van alle Nederlanders in databases bij verzekeraars en het DIS leidt nu al tot function creep. Omdat de informatie toch al aanwezig is,kan deze ook gebruikt worden voor pakketbeheer, polisbeheer, statistische doeleinden en risicoverevening. Deze function creep wordt versterkt door falende handhaving van het doelbindingsvereiste door toezichthouders, in combinatie met mogelijke uitgebreide koppelingen van informatie uit verschillende databases. Hierdoor is een grijs domein met gezondheidsgegevens van alle Nederlanders aan het ontstaan. Deze ontwikkeling vormt de grootste bedreiging voor de privacy met betrekking tot medische persoonsgegevens. De aanwezigheid van verschillende (ondermeer oude en nieuwe) databestanden met gezondheidsgegevens aanwezig bij de verschillende organisaties in de declaratieketen maakt dat gepseudonimiseerde data herleid kunnen worden tot persoonsgegevens. 46

49 3 Privacy Het versturen van medische persoonsgegevens mag alleen plaatsvinden indien dit niet zal leiden tot een schending van de privacy door directe of indirecte herleidbaarheid. Bescherming van de verkregen behandelgegevens dient op verschillende manieren plaats te vinden, zo moet verzending en opslag geschieden met gebruikmaking van the Best Technical Means en moet de vernietiging van data die niet meer nodig zijn plaatsvinden op basis van strikte protocollen. Hieronder worden de volgende aspecten nader bekeken: - verzending van gegevens - pseudonimisering en versleuteling - dataopslag en omgang met data - koppeling van bestanden Met betrekking tot deze verschillende aspecten zal worden nagegaan of verwerking van diagnose- en behandelgegevens kan leiden tot een schending van privacy/beroepsgeheim en tot herleiding van de diagnose- en behandelgegevens in de DIS-datasets tot personen. 3.1 Verzending gegevens: Het bewustzijn dat de verzending van digitale gegevens uiterst kwetsbaar is, is de laatste tijd sterk gegroeid. Om de verzending van behandelgegevens beter te beveiligen heeft de Zorg-IT branch een aantal maatregelen voorgesteld en ingevoerd. Voor de verzending van behandelgegevens naar het DIS (via ZORG-TTP) zijn waarborgen ingebouwd ter voorkoming van problemen wanneer bestanden door de ontvanger of bij onderschepping worden geopend. Het is zeer belangrijk om de voortgaande discussies over verzending, versleuteling, gesloten data-kanalen en risico s van onderschepping (bv nieuwe deep package inspection technieken) te blijven volgen. Ook deze beveiligingen dienen optimaal te zijn, willen grootschalige lekken van medische informatie worden voorkomen (zie ook rapporten Expertcommissie EPD op dit punt). In het kader van dit visiedocument wordt niet nader ingegaan op deze aspecten van het DBC-informatiesysteem 3.2 Pseudonimisering en versleuteling: In het verlengde van wat hierboven is gezegd over de verzending van behandelgegevens zal in dit document ook niet worden ingegaan op de techniek van data-versleuteling die wordt gebruik bij datatransport. Voor dit visiedocument over gegevensverwerking in de GGZ is het echter wel van belang te kijken naar de wijze waarop versleuteling/pseudonimisering van gegevens plaatsvindt binnen het ZorgTTP, een werkwijze waarbij de koppeling met data uit andere gegevensbestanden (UWV, Belastingdienst etc.) mogelijk moet blijven. De gekozen werkwijze bepaalt met welke typen bestanden de medische informatie beschikbaar in het DIS, kan worden gelinkt. 47

50 Het ZorgTTP maakt drie soorten pseudoniemen (zie ook Figuur 2) aan van het persoonsgegevens bestand dat via zorgaanbieders binnen komt 89 : - de CBS sleutel : dit is een sleutel die is gebaseerd op : Postcode, Geboortedatum, Geslacht. Het CBS is de enige instantie die de mogelijkheid krijgt met deze sleutel data te herleiden tot persoonsgegevens. Bijgevolg van deze mogelijkheid tot herleiding moet de aanlevering van gegevens aan het DIS die deze doorlevert aan het CBS worden aangemerkt als het aanleveren van medische persoonsgegevens, waarop WBP en beroepsgeheim onverkort van toepassing zijn. Het CBS heeft met de dataset van het DIS in combinatie met andere data over personen (bv GBA) onverkort toegang tot de database die door het CBP als zeer gevoelig werd aangemerkt 90. Zoals al eerder opgemerkt,wordt de wettelijke bevoegdheid van het CBS waar het gaat om de verwerking van medische gegevens beperkt door hetgeen daarover bepaald is in WBP en het Europees Verdrag voor de Rechten van de Mens. De verwerking door het CBS van medische persoonsgegevens, verkregen via het DIS, maakt dat het gehele aanleveringstraject onverkort moet voldoen aan WBP en EVRM. (zie ondermeer 2.1). - de Naam sleutel gebaseerd op Naam, Geboortedatum en Geslacht. Deze sleutel is al eerder genoemd als de sleutel voor onderzoeksbureaus waarmee deze data kunnen worden gekoppeld aan gegevens waar geen BSN bij aanwezig is. Deze Koppelingsoptie vergt, dat gegevens uit een te koppelen dataset van een corresponderend pseudoniem worden voorzien dat is aangemaakt op basis van naam, geboortedatum, geslacht. Zoals ZorgTTP aangeeft, is het hierbij vooral belangrijk dat indirecte herleidbaarheid geen probleem wordt. Indirecte herleidbaarheid blijkt echter niet met zekerheid uit te sluiten! (zie hieronder) - De BSN sleutel. Ook hierbij geldt dat alleen bestanden kunnen worden gekoppeld via het ZorgTTP. Koppeling biedt ook hier weer veel potentiële mogelijkheden tot herleidbaarheid. De versleutelingstechniek zoals gebruikt door het ZorgTTP zou gebaseerd zijn op eerdere ervaringen met versleuteling (ZORGIS/LADIS), welke volgens ZorgTTP door het CBP zijn aangemerkt als best pracice 91. De organisatie en procedures die gevolgd worden door ZorgTTP wijken echter op belangrijke punten af van deze best practice (zie hieronder). Om de kans te verkleinen dat de sleutels die DIS en CVZ gebruiken gekraakt kunnen worden, voert Zorg TTP een aantal gekoppelde procedures voor pseudonimisering uit. De TTP is in staat om de binnenkomende [persoons]gegevens zichtbaar te maken. Vervolgens wordt overgegaan tot definitieve pseudonimisatie. Definitieve pseudonimisatie is een door de TTP uit te voeren geheime handeling met als doel de herleidbaarheid tot de oorspronkelijke persoonsgegevens definitief te verbreken. Nadat deze stap is voltooid word nog een domein specifieke encryptie toegepast voordat het pseudoniem de TTP verlaat. Deze encryptie zorgt ervoor dat 89 Factsheet pseudonimisatie ZorgTTP, april Brief CBP aan VWS dd. 10 januari 2006 pseudonimisering DIS. Kenmerk: z Het gebruik van pseudo-identiteiten binnen de risicovereveningssystematiek Houten, 26 april 2007 ZorgTTP (Oorspronkelijk document opgesteld door IVZ). 48

51 verschillende domeinen de beschikking krijgen over verschillende op éénzelfde definitief pseudoniem gebaseerde pseudoniemen. Definitieve pseudonimisatie wordt in beschreven in figuur [4] 92. Figuur 4 Definitieve Pseudonimisatie Onderzoeksbureaus kunnen data krijgen voor bijvoorbeeld de risicoverevening, maar: Omdat van deze partijen niet bekend is welke andere data reeds in hun bezit zijn, is gekozen voor een extra encryptie. De kans op indirecte herleidbaarheid kan op deze manier sterk worden verkleind [zie figuur 5] Voordeel van deze werkwijze is dat specifieke onderzoeksbestanden kunnen worden gemaakt zonder dat het door CVZ gebruikte pseudoniem bij veel partijen bekend raakt. 93. Figuur 5 Het converteren van pseudoniemen. De ZorgTTP gaat dus uit van een definitief pseudoniem voor de encryptie en maakt daar domein specifieke versleutelde pseudoniemen van die (idealiter) alleen door ZorgTTP weer tot het definitieve pseudoniem herleid kunnen worden. Ondanks de zorgvuldige procedures van best practice gaat de vergelijking met ZORGIS mank bij het DIS. De best practice in ZORGIS bestond uit meer dan alleen een methode voor pseudonimisering. Tot deze praktijk behoorde ook de aggregatie van datuminformatie van behandelingen en kende tevens de regel dat alleen informatie mocht worden uitgeleverd in geaggregeerde vorm van ten minste drie cliënten en meerdere instellingen (deze aggregatiestap kon worden aangepast als de Beheerscommissie Landelijke Registraties van GGZ Nederland dat nodig achtte) 94. Deze maatregelen die een extra privacy bescherming kunnen bieden, maken geen deel uit van de best practice zoals die is doorgevoerd bij DIS of bij CVZ. 92 Het gebruik van pseudo-identiteiten binnen de risicovereveningssystematiek Houten, 26 april 2007 ZorgTTP (Oorspronkelijk document opgesteld door IVZ). 93 Het gebruik van pseudo-identiteiten binnen de risicovereveningssystematiek Houten, 26 april 2007 ZorgTTP (Oorspronkelijk document opgesteld door IVZ). 94 mr. J.A.L. Krabben (2005) Landelijke zorgregistraties Onderzoek landelijke zorgregistraties, Rapport 3; College bescherming persoonsgegevens, Den Haag, maart