Het gebruik van pseudo-identiteiten binnen de risicovereveningssystematiek

Transcriptie

1 Het gebruik van pseudo-identiteiten binnen de risicovereveningssystematiek Houten, april 2007 ZorgTTP 1

2 Document Versie Auteur(s) Opmerking(en) Het gebruik van pseudoidentiteiten Drs. J.L. van Vlaanderen Eerste versie binnen de risicovereveningssystematiek Het gebruik van pseudoidentiteiten ,, Gewijzigde versie naar binnen de aanleiding commentaar risicovereveningssystematiek CBP Het gebruik van pseudoidentiteiten binnen de risicovereveningssystematiek Het gebruik van pseudoidentiteiten binnen de risicovereveningssystematiek Het gebruik van pseudoidentiteiten binnen de risicovereveningssystematiek ,, Gewijzigde versie n.a.v. commentaar CBP (d.d en volgende) ,, Figuren 3 en 4 aangepast n.a.v. commentaar CBP ,, Aangepaste versie n.a.v. uit audit voortkomende aanpassingen. 1

3 Inhoud 1. Inleiding 3 2. Bij risicoverevening betrokken partijen 5 3. Pseudonimisatie bij gegevens voor secundair gebruik Wijze van versleuteling Het converteren van pseudoniemen voor derden 9 4. Datalogistiek binnen de risicoverevening Logistiek bij verzamelen van data bestemd voor centrale opslag Logistiek bij doorleveren van gegevens aan derden Gebruik gecombineerde sleutels Ervaringen met het gebruik van pseudo-identiteiten binnen de zorgsector 15 Bijlage A. Persoonsgegevens uitvoering risicoverevening na invoering BSN. I Figuur 1 Persoonsgegevens uitvoering risicoverevening na invoering BSN stand februari 2007 na invoering SES-factor 6 Figuur 2 Het pseudonimsatieproces 8 Figuur 3 Definitieve pseudonimsatie 8 Figuur 4 Het converteren van pseudoniemen 9 Figuur 5 Het omzetten van domeingebonden pseudoniemen 9 Figuur 6 Datalogistiek en compartimentering risicoverevening 11 Figuur 7 Gevolgen compartimentering persoonsgegevens risicoverevening 12 Figuur 8 Scenario s doorlevering gegevens aan derden 13 2

4 1. Inleiding De overheid stelt een aantal randvoorwaarden waarbinnen de zorgverzekeraars op de markt kunnen concurreren om verzekerden. Zo hebben zorgverzekeraars een acceptatieplicht en is het de verzekeraars niet toegestaan te differentiëren in premie op basis van onder andere de gezondheidstoestand van een verzekerde. Als gevolg van deze randvoorwaarden zijn verzekeraars met een ongezonde populatie zonder aanvullende mechanismen in het nadeel ten opzichte van verzekeraars met een gezonde populatie. In het zorgstelsel is daarom sprake van een systeem van risicoverevening. Risicoverevening is nodig om verzekeraars te compenseren voor het feit dat zij in hun verzekerdenportefeuilles verzekerden met verschillende gezondheidsrisico s hebben. Zo wordt een gelijk speelveld gecreëerd voor individuele verzekeraars. Voor de uitvoering van het risicovereveningssysteem is het noodzakelijk dat het College voor Zorgverzekeringen (CVZ) bepaalde (gezondheids)gegevens op individueel niveau kan gebruiken om per verzekeraar de uitkering uit het Zorgverzekeringsfonds vast te stellen. Volgens de Wet Bescherming Persoonsgegevens (WBP) is het niet zondermeer toegestaan om met persoonsgegevens te werken. Het Ministerie van VWS heeft aan het College Bescherming Persoonsgegevens (CBP) toegezegd passende maatregelen te treffen om bij gegevensuitwisseling ten behoeve van de risicoverevening binnen de grenzen van de WBP te blijven. Het is van belang hier op te merken dat het CBP onder het beschermen van persoonsgegevens niet alleen het implementeren van beveiligingsmaatregelen verstaat. Het is uiteraard van belang een solide beveiligingsbeleid met bijbehorende instrumenten en procedures te hebben. Deze maatregelen hebben echter over het algemeen de eigenschap dat er een beveiligingsschil wordt opgetrokken rond de te beveiligen informatie. De informatie zelf blijft daarbij ongewijzigd. Om een persoonsregistratie aan de strikte eisen die de WBP stelt te kunnen onttrekken is het noodzakelijk om de persoonsgegevens in de registratie dusdanig te wijzigen dat deze op geen enkele wijze meer kunnen worden herleid tot de personen op wie de informatie slaat. Dit proces wordt pseudonimisatie genoemd. Het is daarbij wel toegestaan om onderscheid te maken tussen individuen met bepaalde kenmerken. Informatie over een individu van het mannelijke geslacht met een bepaalde leeftijd woonachtig in een bepaald postcodegebied (4-cijferig) is bijvoorbeeld toegestaan als pseudoniem. Informatie over Jan Janssen, geboren op en woonachtig in postcodegebied 1234 AB zal worden aangemerkt als persoonsgegeven en valt daarom onder de WBP. Van belang is echter wel dat deze versleuteling op een dusdanige manier geschiedt dat individuele gegevens goed bruikbaar blijven voor uitvoering en onderhoud van de risicoverevening. Dit houdt ondermeer in dat koppeling aan gegevens uit andere bestanden mogelijk blijft. De inventarisatie van de beschikbare mogelijkheden om data op individueel geanonimiseerd niveau te verzamelen en te koppelen bestaat uit een aantal stappen. Als eerste is het van belang om een duidelijk beeld te hebben om welke partijen en gegevensstromen het gaat. De partijen en gegevensstromen die een rol spelen bij risicoverevening worden in hoofdstuk 2 in beeld gebracht. De omzetting van persoonsgegevens naar pseudoniemen bestaat uit een aantal stappen. Deze stappen bestaan uit een combinatie van technische en procedurele maatregelen. De procedurele maatregelen hebben als doel om het pseudonimisatieproces zodanig in te richten dat de betrokken partijen niet in staat zijn om de gegevens die ze in bezit hebben te herleiden tot identificeerbare personen. De technische maatregelen zijn gericht op de feitelijke vervaardiging van pseudo-identiteiten. In Hoofdstuk 3 wordt beschreven hoe de omzetting van persoonsgegevens naar pseudoniemen werkt. 3

5 Hoofdstuk 4 beschrijft de gevolgen voor de risicoverevening als de technische en procedurele maatregelen zoals beschreven in hoofdstuk 3 worden toegepast op de gegevensstromen voor risicoverevening zoals beschreven in hoofdstuk 2. In hoofdstuk 5 wordt toegelicht dat het mogelijk is om per persoon te werken met meerdere pseudoniemen, gebaseerd op verschillende persoonsgegevens. Hierdoor ontstaat de mogelijkheid om naast het BSN ook een combinatie van Naam, Geboortejaar, Geslacht en Voorletter (NGGV) 1 en een combinatie van adresgegevens als input te gebruiken voor een pseudoniem. Met behulp van deze aanvullende pseudoniemen kan ook met partijen die niet over het BSN beschikken een koppeling tot stand kan worden gebracht. Hoofdstuk 6 geeft aan waar in Nederland al met versleutelingen wordt gewerkt. 1 Het NGGV pseudoniem wordt vooralsnog alleen gebruikt door onderzoeksbureaus voor het doen van onderzoek naar het verdeelmodel dat ten grondslag ligt aan risicoverevening. CVZ beschikt niet over dit pseudoniem. 4

6 2. Bij risicoverevening betrokken partijen De bij de risicoverevening betrokken partijen, hun onderlinge relaties en de gegevens die worden uitgewisseld zijn in kaart gebracht in figuur 1. Er wordt daarbij uitgegaan van een situatie waarbij verzekeraars, ziekenhuizen, Belastingdienst (BD) en Uitvoeringsinstituut Werknemersverzekeringen (UWV) beschikken over een (gecheckt) Burgerservicenummer (BSN), en waarbij versleuteling o.b.v. het BSN plaatsvindt 2. Deze figuur is gebaseerd op de schets die is afgestemd met het CBP en opgenomen in de Memorie van Toelichting bij de Ministeriële Regeling behorende bij de Zorgverzekeringswet (zie Bijlage A). N.B. In figuur 1 staat aangegeven dat bij de aanlevering van (gepseudonimiseerde) gegevens door verzekeraars aan het CVZ, de verzekeraars eventueel gebruik maken van Vektis. Dit is mogelijk als Vektis als bewerker in de zin de Wet Bescherming Persoonsgegevens kan optreden namens zorgverzekeraars. Om gebruik te maken van deze constructie dienen verzekeraars en Vektis wel aan een aantal voorwaarden te voldoen. Zo is de verzekeraar die Vektis als bewerker inschakelt, op grond van artikel 14, tweede lid, WBP verplicht een overeenkomst met Vektis aan te gaan. Daarbij beperkt Vektis zich tot het verwerken van persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van de desbetreffende persoonsgegevens. In figuur 1 en in de bijlage is te zien dat de uitvoering van de risicoverevening een op zichzelf staand proces is en weinig tot geen raakvlakken heeft met andere processen. Kortom, versleuteling bij de risicoverevening impliceert niet dat ook bij een reeks van andere processen tot versleuteling moet worden overgaan. De enige uitzondering hierop is onderzoek in het kader van de risicoverevening. Hiervoor is het vaak noodzakelijk dat onderzoeksbureaus over gegevens uit diverse bronnen kunnen beschikken, waaronder die van het CVZ. In figuur 1 en in bijlage A is tevens verwerkt dat als bij het Sectoraal Aanspreekpunt voor de Zorg (SA-Z) op basis van door verzekeraars aangeleverde ingangs- en einddata een dubbele verzekering wordt geconstateerd, er twee gegevensstromen ontstaan, namelijk een versleutelde stroom t.b.v. de uitvoering risicoverevening en een onversleutelde stroom t.b.v. het informeren van verzekeraars. 2 N.B. Tot het moment dat de wet op het BSN is ingevoerd wordt gebruik gemaakt van het Sofinummer. 5

7 Figuur 1 Persoonsgegevens uitvoering risicoverevening inclusief mogelijke invoering SES Situatie met versleuteling obv BSN en info-uitwisseling met onderzoeksbureaus indicatie dubbele verzekering SA-Z verzekeraars-id ingangs- en einddatum UWV avi (arbeidsongeschiktheid, ww, bijstand) ingangs- en einddatum Verzekeraars-SA-Z ingangs- en einddatum Verzekeraars -LGR - lft, gesl, regio-gegevens, adresgegevens Verzekeraars -voormalig Zfw verzekerd - mogelijk relevant tot 2008 zfw verzekerd Verzekeraars -Farmacie - farmaciegegevens Verzekeraars -DBC s - Evt via Vektis gegevens lft, geslacht, regio, huishouden-id Zfw 2005 farmacie ingangs- en einddatum o.a. tbv vaststelling dubbele verzekering CVZ PSEUDONIEM CVZ verzekeraars-id ingangs- en einddatum (o.a. t.b.v. vaststelling dubbele verzekering) lft (geb mnd + jaar), geslacht, postcode (4-cijferig) + zfw verz > regio farmaciegegevens ---> fkg s ----> dkg s avi (bd) + avi (uwv) ----> avi SES (bd)) + huishouden-id ----> SES Onderzoekbureaus PSEUDONIEM ONDERZOEKSBUREAU avi (bd) + avi (uwv) ----> avi ink (bd) + huishouden ---> SES avi (uwv) avi (bd) SES (bd) Van BD avi (zelfstandigen)) SES (inkomen) mogelijk relevant vanaf 2008 Toelichting: in vet organisaties cursief sleutel, identificatie normaal gegeven onderstreept gegeven waar het bij de uitwisseling om gaat huishouden-id o.b.v. versleuteling adresgegevens = versleuteling 6

8 3. Pseudonimisatie bij gegevens voor secundair gebruik Voordat de werkwijze bij pseudonimisatie nader wordt omschreven is het belangrijk om een aantal in deze notitie gebruikte begrippen te definiëren. Onder versleuteling wordt binnen de context van pseudonimisatie de onomkeerbare omzetting van persoonsgegevens (hash operatie) naar een voor elke ingegeven waarde uniek resultaat verstaan. In deze notitie wordt ook gebruik gemaakt van de term encryptie. Met encryptie worden in deze notitie omkeerbare methoden voor versleuteling bedoeld. Het is bij encryptie mogelijk om gegevens tijdelijk te maskeren. Omdat er sprake is van een tijdelijke, omkeerbare bewerking is het vooralsnog niet toegestaan om hiermee pseudoniemen te vervaardigen die gebruikt worden om een gegevensverzameling te onttrekken aan de eisen van de WBP. Het ongedaan maken van encryptie wordt decryptie genoemd. De omzetting van persoonsgegevens naar pseudoniemen bestaat uit een aantal stappen. Deze stappen bestaan uit een combinatie van technische en procedurele maatregelen. De procedurele maatregelen hebben als doel om het pseudonimisatieproces zodanig in te richten dat de betrokken partijen niet in staat zijn om de gegevens die ze in bezit hebben te herleiden tot identificeerbare personen. De technische maatregelen zijn gericht op de feitelijke vervaardiging van pseudoidentiteiten. In dit hoofdstuk wordt aan de hand van een aantal stappen beschreven hoe het totale productieproces er uit ziet bij het vervaardigen van pseudoniemen. Hierbij zal onderscheid gemaakt worden tussen versleuteling bij het bronsysteem, versleuteling bij een te vertrouwen derde partij, ook wel Trusted Third Party (TTP) genoemd, versleuteling bij de beheerder van de centrale dataverzameling en de samenhang tussen deze vormen van versleuteling. 3.1 Wijze van versleuteling In dit rapport wordt uitgegaan van het scenario dat een verzekeraar gegevens via een TTP heeft aangeleverd aan CVZ conform de methode zoals beschreven in het IVZ rapport "Beschrijving gebruik pseudo-identiteiten binnen het Diagnose Behandel Combinatie Informatiesysteem - structurele situatie" 3 (zie figuur 2). Het gebruik van deze methode stelt CVZ in staat om een gegevensverzameling aan te leggen op individueel niveau waarbij elk individu beschikt over een pseudo-identiteit. Verantwoord gebruik van pseudonimisatie biedt partijen de mogelijkheid om zich onttrekken aan de stringente eisen die de WBP stelt. 3 Beschrijving gebruik pseudo-identiteiten binnen het Diagnose Behandel Combinatie Informatiesysteem - structurele situatie. Houten, november 2005 par

9 Figuur 2 Het pseudonimsatieproces Bronsysteem TTP CVZ Bron bestand Transport bestand Transport bestand ID Pseudo ID Pseudoniemen Pre-pseudonimisatie Pseudonimisatie Doel bestand Pseudo ID Pseudoniemen Database Transport bestand Transport bestand Figuur 2 toont de route die gegevens afleggen vanaf een bronsysteem naar CVZ. Een bronsysteem is een partij die in het bezit is van persoonsgegevens en overige gegevens. De gegevens worden bij de bron gesplitst in identificerende gegevens (ID) en overige gegevens. Op de ID gegevens wordt een eerste pseudonimisatie uitgevoerd. Het resultaat van deze eerste stap zijn zogenaamde prepseudoniemen. Vervolgens worden de pre-pseudoniemen en de overige data gereed gemaakt voor transport. Daarbij wordt het datadeel met de overige gegevens (rest) verzegeld met het publieke certificaat van CVZ. De TTP is niet in staat om deze gegevens te openen en zal deze gegevens slechts uit logistieke overwegingen over zijn infrastructuur routeren. Alleen CVZ is in staat om met haar privé certificaat de binnenkomende gegevens zichtbaar te maken. Het datadeel met de prepseudoniemen wordt verzegeld met het publieke certificaat van de TTP. De TTP is in staat om met behulp van haar privé certificaat de binnenkomende gegevens zichtbaar te maken. Vervolgens wordt overgegaan tot definitieve pseudonimisatie. Definitieve pseudonimisatie is een door de TTP uit te voeren geheime handeling met als doel de herleidbaarheid tot de oorspronkelijke persoonsgegevens definitief te verbreken. Nadat deze stap is voltooid word nog een domein specifieke encryptie toegepast voordat het pseudoniem de TTP verlaat. Deze encryptie zorgt ervoor dat verschillende domeinen de beschikking krijgen over verschillende op éénzelfde definitief pseudoniem gebaseerde pseudoniemen. Definitieve pseudonimisatie wordt in beschreven in figuur 3. Figuur 3 Definitieve pseudonimsatie Pre- pseudoniem RV1N12AVCGBXX3 Definitief Pseudoniem OS2NAFH88JK024H CVZ Pseudoniem RV3N3WQOK502GG 2 e bewerking met geheime stap (TTP) TTP[RV1N12AVCGBXX3] Encryptie voor domein CVZ ENCR CVZ[OS2NAFH88JK024H] 8

10 De uitkomst van het proces voor definitieve pseudonimisatie is altijd een partij of domein gebonden pseudoniem, in het voorbeeld een CVZ pseudoniem. De definitieve pseudoniemen verlaten nimmer de TTP en worden slechts gebruikt als basis pseudoniem om, indien daartoe toestemming is verleend, pseudoniemen van de ene partij te converteren naar pseudoniemen voor een andere partij. De input van het pseudonimisatieproces wordt in dat geval niet gevormd door pre-pseudoniemen, maar door partij gebonden pseudoniemen. In figuur 3 is deze situatie beschreven. 3.2 Het converteren van pseudoniemen voor derden Partijen die voor incidentele opdrachten in het kader van onderzoek naar de risicoverevening worden ingezet zullen de beschikking krijgen over pseudo-identiteiten die niet gelijk zijn aan de pseudo-identiteiten die bij het CVZ zijn opgeslagen. Omdat van deze partijen niet bekend is welke andere data reeds in hun bezit zijn, is gekozen voor een extra encryptie. De kans op indirecte herleidbaarheid kan op deze manier sterk worden verkleind. De omzetting van CVZ pseudoniemen ten behoeve van onderzoek vindt plaats met behulp van de TTP. Onderzoeksbureaus wordt de mogelijkheid geboden om de door CVZ geleverde pseudoniemen te koppelen met andere in het kader van risicoverevening gepseudonimiseerde gegevens (zie figuur 4). Figuur 4 Het converteren van pseudoniemen Pseudoniem CVZ RV3N3WQOK502GG Definitief Pseudoniem OS2NAFH88JK024H Pseudoniem X X3N44HJK098!ZGP Decryptie voor domein CVZ DECR CVZ[RV3N3WQOK502GG] Encryptie voor domein X ENCR X[OS2NAFH88JK024H] Voordeel van deze werkwijze is dat specifieke onderzoeksbestanden kunnen worden gemaakt zonder dat het door CVZ gebruikte pseudoniem bij veel partijen bekend raakt. Het proces om bovenstaande procedure uit te voeren is beschreven in figuur 5. Figuur 5 Het omzetten van domeingebonden pseudoniemen CVZ TTP Onderzoeksbureau Database Transport bestand Transport bestand Pseudoniemen Pseudoniemen Decryptie en encryptie pseudoniemen Pseudoniemen Pseudoniemen Doel bestand Transport bestand Transport bestand Database 9

11 CVZ biedt een beveiligd bestand met pseudoniemen aan bij de TTP volgens een voorgeschreven berichtformaat. CVZ beschikt hiertoe over een door de TTP verstrekte software applicatie. De TTP converteert de aangeboden pseudoniemen volgens de procedure zoals beschreven in figuur 4, en verzendt het resultaat beveiligd naar het onderzoeksbureau dat gemachtigd is de gegevens te ontvangen. 10

12 4. Datalogistiek binnen de risicoverevening In dit hoofdstuk wordt de logistieke route beschreven die data volgt vanuit de bronsystemen naar de centrale opslag (CVZ) en vervolgens de eventuele doorlevering van een deel van de gegevens aan derden. De beschrijving valt uiteen in een beschrijving van de input bestemd voor het centrale systeem in paragraaf 4.1 en een beschrijving van de output vanuit dit systeem richting derden in paragraaf Logistiek bij verzamelen van data bestemd voor centrale opslag De in hoofdstuk 2 beschreven stappen geven een beeld van het proces dat leidt tot pseudonimisatie. Wanneer deze stappen worden toegepast op de partijen die betrokken zijn bij risicoverevening levert dit een plaatje op waarin deze partijen en de daarbij behorende gegevensstromen zijn weergegeven. Figuur 6 geeft deze situatie weer. Het gaat hier als het ware om een integratie van de figuur uit bijlage A en Figuur 2. In de figuur is een duidelijke scheiding aangebracht tussen de partijen aan de basis die als bronsysteem fungeren (verzekeraars, UWV, BD), de centrale voorziening (TTP ) en het CVZ en partijen aan wie het CVZ een deel van zijn gegevens voor onderzoek doorlevert. In deze figuur wordt ook de procedurele impact van het model zichtbaar. Geen enkele partij kan in het bezit komen van tot personen te herleiden data waarvoor geen autorisatie is afgegeven. Figuur 6 Datalogistiek en compartimentering risicoverevening. ZV ZV ZV UWV BD Zorg Bronsystemen Vektis DIS TTP TTP domein CVZ Doelsysteem Afnemers Onderzoek Derden Overwegingen bij Figuur 6: De compartimentering tussen bronsystemen, centrale opslag en afnemers waarborgt een scheiding tussen tot personen herleidbare gegevens en pseudo-identiteiten. 11

13 De bij CVZ opgeslagen pseudoniemen worden alleen gebruik voor uitvoering van de risicoverevening. Bij levering van data aan derden voor het onderzoek risicoverevening of eventueel ander onderzoek wordt gebruik gemaakt van voor dat doel geconverteerde pseudoniemen. Deze stap wordt uitgevoerd bij de TTP. De door de TTP toegepaste werkwijze voor pseudonimisatie bij risicoverevening is zodanig ingericht dat deze, na tussenkomst van de TTP, koppeling met pseudoniemen die binnen het DBC informatiesysteem (DIS) worden gebruikt mogelijk maakt. Door het gebruik van verschillende sleutels voor verschillende afnemers kan de kans op indirecte herleidbaarheid tot persoonsgegevens sterk worden verminderd. Door CVZ in het kader van risicoverevening verstrekte gegevens kunnen door derden (onderzoeksbureaus) niet zondermeer worden gekoppeld aan andere gegevens. Indien een derde partij de gegevens wil koppelen met andere gegevens zal steeds moeten worden afgewogen of de beoogde koppeling gevolgen heeft voor de herleidbaarheid van de gegevens. Indien na koppeling sprake is van directe of indirecte herleidbaarheid gelden de eisen van de WBP onverkort. In Figuur 7 zijn de gevolgen zichtbaar gemaakt van het gebruik van pseudo-identiteiten per betrokken partij. Er wordt onderscheid gemaakt tussen informatie die de desbetreffende partij wel in bezit heeft en de organisatie die buiten het bereik ligt van de bewuste partij. Figuur 7 Gevolgen compartimentering persoonsgegevens risicoverevening Partij Heeft wel Heeft geen Status Bronsysteem Persoonsgegevens Inhoudelijke data Eerste sleutel Pseudo-identiteiten Persoonsregistratie volgens WBP TTP Houder databank met pseudoniemen (bijv. CVZ) Afnemer CVZ Pre pseudoniemen Pseudoniemen CVZ pseudoniemen en inhoudelijke data risicoverevening Geconverteerde pseudoniemen en inhoudelijke data risicoverevening Persoonsgegevens Inhoudelijke data. Wel verantwoordelijk voor routering inhoudelijke data Tot personen herleidbare gegevens Persoonsgegevens die gekoppeld kunnen worden aan inhoudelijke data risicoverevening 4.2 Logistiek bij doorleveren van gegevens aan derden Partij met notarieel karakter, geen persoonsregistratie. Geen persoonsregistratie volgens WBP Geen persoonsregistratie volgens WBP. Figuur 8 toont een het doorleveren van gegevens van het CVZ naar derde partijen, die in de Figuur 7 onder de noemer afnemer zijn opgenomen. In de figuur dienen gepseudonimiseerde gegevens afkomstig van het CVZ ten behoeve van onderzoek in het kader van de risicoverevening gekoppeld te worden met gegevens uit andere bronsystemen, zoals Zorgis en LADIS. Om er voor te zorgen dat gegevens kunnen we worden gekoppeld en toch gepseudonimiseerd blijven is tussenkomst van een TTP noodzakelijk. Deze stelt een voor de afnemer (in de regel een onderzoeksbureau) bruikbare derde sleutel vast. In de praktijk kan conversie, nadat een passende sleutel is vervaardigd, geautomatiseerd plaatsvinden. 12

14 In Figuur 8 wordt dit principe weergegeven. Afnemer A zal in de regel een onderzoeksbureau zijn dat onderzoek uitvoert in het kader van de risicoverevening en daarbij gebruik maakt van gegevens afkomstig van het CVZ en gegevens afkomstig van andere bronnen, zoals Zorgis en LADIS. De in onderstaande figuur werkwijze houdt in dat de afnemer te allen tijde alleen gepseudonimiseerde gegevens ontvangt. Deze zijn deels afkomstig van databanken zoals Zorgis en LADIS, die al met een versleuteling werken. Voor de afnemer worden alle te koppelen gegevens gepseudonimiseerd aangeleverd. Figuur 8 Scenario s doorlevering gegevens aan derden CVZ met pseudoniemen ZORGIS/ LADIS met pseudoniemen RV3N ZS3N TTP DECR[RV3N, ZS3N]= OS2N ENCR A [OS2N]= AS3N ENCR B [OS2N]= BS3N AS3N BS3N Afnemer A Afnemer B 13

15 5. Gebruik gecombineerde sleutels In hoofdstuk 1 is al beschreven dat er gebruik wordt gemaakt van een tweetal typen pseudoniemen. Dit heeft te maken met de wens om de bij koppelingen niet volledig afhankelijk te zijn van een op BSN gebaseerd pseudoniem. Daarom wordt binnen de risicoverevening gebruik gemaakt van een tweetal aanvullende zoeksleutels. De eerste aanvullende zoeksleutel is een pseudoniem gebaseerd op Achternaam (1e 8 posities), Geboortejaar, Geslacht en Voorletter (NGGV). De tweede sleutel, de adressleutel, is een pseudoniem gebaseerd op de adresgegevens Postcode (1 e 4 posities), huisnummer en huisnummertoevoeging. CVZ en de onderzoeksbureaus zijn met behulp van deze aanvullende pseudoniemen beter in staat om koppelingen tot stand te brengen op bijvoorbeeld het niveau van een huishouden. De sleuteldelen zijn als volgt opgebouwd: BSN sleuteldeel Deze sleutel is volledig gebaseerd op het toekomstige BSN nummer/huidige sofinummer. Vooralsnog wordt het sofi-nummer gebruikt. NGGV sleuteldeel Gelijktijdig 4 met een sleutel o.b.v. het BSN nummer zal gewerkt worden met een sleuteldeel gebaseerd op delen van de Naam (1e 8 posities), Geboortejaar, Geslacht en Voorletter. Met behulp van dit sleuteldeel is het mogelijk om ook koppelen met gegevens waarbij de leverancier, de afnemer niet over het BSN beschikt. Adres sleutel (SES sleutel) Pseudoniem dat is gebaseerd op een samenstel van postcode, huisnummer en huisnummertoevoeging. Deze sleutel wordt onder andere gebruikt om het verzamelinkomen op adresniveau te bepalen. Voor de totstandkoming van de sleutels is het noodzakelijk dat de brongegevens die voor de sleutels gebruikt worden zo eenduidig mogelijk zijn. Bij het BSN nummer is dit geen probleem omdat het een uniek nummer betreft. Bij een sleutel op basis van samengestelde gegevens dienen validaties ingebouwd te worden teneinde te kunnen corrigeren voor variatie en fouten in de brondata. Deze validaties zullen onder andere gericht zijn op het opsporen van verschillen in de wijze waarop namen en data zijn geregistreerd. Met behulp van een aantal beslisregels kan automatisch worden gecorrigeerd voor een aantal veel voorkomende verschillen in registratiewijze. De kwaliteit van de verkregen pseudoniemen kan hierdoor aanzienlijk worden verbeterd. 4 Men zou kunnen zeggen als twee onderdelen van de sleutelbaard. 14

16 6. Ervaringen met het gebruik van pseudo-identiteiten binnen de zorgsector De in deze notitie beschreven systematiek wordt momenteel op een aantal plaatsen binnen de Nederlandse gezondheidszorg toegepast. Voorbeelden in Nederland zijn; Sleutelsystematiek ISIS Ten behoeve van de jeugdgezondheidszorg is het Intersectoraal Informatiesysteem (ISIS) ontwikkeld door de stichting IVZ in opdracht van de overheid. Dit systeem heeft weliswaar model gestaan voor alle door IVZ ontwikkelde sleutelsystemen, maar is nooit in gebruik genomen. Dit project is echter van onschatbare waarde geweest bij het opdoen van terzake doende kennis op het gebied van het versleutelen van persoonsgegevens. Sleutelsystematiek LADIS/ZORGIS (1994 heden) Sinds 1994 wordt voor het Landelijk Alcohol en Drugs Informatiesysteem (LADIS) en later ook voor de ZORGIS registratie gebruik gemaakt van versleuteling. Het CBP heeft de wijze waarop deze versleuteling plaatsvindt - zoals neergelegd in het Beheersreglement Landelijke Registraties GGZ van augustus in het verleden aangemerkt als best practice. Onderzoek risicoverevening GGZ (2005) In de eerste helft van 2005 is ten behoeve van de ontwikkeling van een model voor risicoverevening in de GGZ gebruik gemaakt van pseudonimisatie. De betrokken bronsystemen zijn daarbij voorzien van een sleutel die koppelbaar is met de sleutels zoals gebruikt bij LADIS en ZORGIS. Cohort-onderzoek ten behoeve van de Palga registratie (2005 heden) De stichting Palga maakt gebruik van een TTP voor het versleutelen van persoonsgegevens in cohorten die door onderzoeksinstituten aangeboden worden voor matching met de CIPA database. Naast gebruik in Nederland is er momenteel sprake van normalisatie binnen CEN/ISO verband op dit gebied. 15

17 Bijlage A. Persoonsgegevens uitvoering risicoverevening na invoering BSN. Schets afgestemd met het CBP en opgenomen in de Memorie van Toelichting bij de Ministeriële Regeling bij de Zorgverzekeringswet. Schema 3: Persoonsgegevens uitvoering risicoverevening situatie na invoering met versleuteling obv Verzekeraars-SA-Z ingangs- en einddatum ingangs- en einddatum SA-Z ** verzekeraars-id ingangs- en einddatum avi (bd) Van BD avi (zelfstandigen)) Verzekeraars-LGR - lft, gesl, regio-gegevens Verzekeraars-Farmacie farmaciegegevens Verzekeraars-DBC s indien optie 7 akkoord!! Ziekenhuizen-DBC s (indien optie 7 niet akkoord) gegevens lft, geslacht, regio farmacie-gegevens DIS SLEUTEL CVZ geg lft, geslacht regio SLEUTEL verzekeraars-id geb jaar (nu geb datum) geslacht postcode (4-cijferig) CVZ geg fkg s, dkg s, avi SLEUTEL verzekeraars-id farmaciegegevens ---> fkg s ----> dkg s avi (bd) + avi (uwv)----> avi avi avi (uwv) UWV avi (arbeidsongeschiktheid, ww, bijstand) Toelichting: in vet organisaties cursief sleutel, identificatie normaal gegeven onderstreept gegeven waar het bij de uitwisseling om gaat = versleuteling ** SAPZ. CBP eist dat CVZ niet verantwoordelijk is voor SAPZ, maar dat SAPZ een eigen verantwoordelijkheid draagt. Nagegaan moet worden hoe dit zich verhoudt met de taak van het CVZ (op grond van derde lid Artikel 35 Zvw) om dubbele inschrijving te melden I