Schippers: doorsluizen medische gegevens GGZ onrechtmatig
Het doorsluizen van medische gegevens van patiënten in de geestelijke gezondheidszorg naar een landelijke database is onrechtmatig. Dat schrijft demissionair minister Schippers in antwoord op Kamervragen van de SP. Voor het delen van deze medische gegevens had toestemming gevraagd moeten worden en dat is niet gebeurd. Het logisch gevolg hiervan zou moeten zijn dat het doorsluizen van deze gegevens wordt gestopt en de onrechtmatig verkregen gegevens worden vernietigd.
Gedurende elk behandeltraject bij psycholoog of psychiater wordt periodiek aan patiënten gevraagd hoe het met hen gaat. Op deze manier wordt gemeten hoe goed de behandeling werkt. Maar zorgverleners sturen deze vragenlijsten ook door naar een landelijke database. Dit gebeurt op steeds grotere schaal sinds 2008 en is sinds 1 januari 2017 voor elke zorgverlener zelfs verplicht geworden.
Onrechtmatig
Er wordt hierbij geen toestemming aan mensen gevraagd om hun medische gegevens te mogen delen met deze landelijke database. Men meende dat dat niet nodig was omdat de gegevens 'gepseudonimiseerd' worden, wat betekent dat persoonlijke gegevens in een unieke code worden omgezet, zodat ze niet makkelijk naar mensen terug te herleiden zijn. Maar de gegevens worden hiermee absoluut niet anoniem. Door deze werkwijze is in een vergelijkbare zaak door de Autoriteit Persoonsgegevens al op 13 april 2016 een streep gezet. Demissionair minister Schippers bevestigt dat nu.
De minister schrijft "Met de uitspraak van de Autoriteit Persoonsgegevens is duidelijk geworden dat pseudonimiseren geen anonimiseringmethode is […] Voor de verwerking van (dubbel) gepseudonimiseerde gegevens is dus een wettelijke grondslag nodig op basis van de Wet bescherming persoonsgegevens (Wbp). Het verkrijgen van expliciete toestemming van de patiënt is een van de grondslagen."
Ongeschikt
De landelijke database wordt beheerd door Stichting Benchmark GGZ (SBGGz). SBGGz verzamelt sinds 2008 medische gegevens over mensen die onder behandeling zijn in de geestelijke gezondheidszorg. In 2015 kreeg deze stichting medische gegevens over bijna 50% van de patiënten in handen. Sinds 1 januari 2017 is aanlevering van medische gegevens voor alle zorgaanbieders verplicht. Doet een zorgverlener niet mee, dan kan de zorgverzekeraar de vergoedingen voor deze zorgverlener stopzetten.
De gegevens zijn bedoeld om de voortgang van een individuele behandeling te volgen, maar worden met de landelijke database gebruikt voor heel andere doelen. Zo wil SBGGz de effectiviteit van verschillende behandelingsmogelijkheden en de prestaties van verschillende zorgverleners vergelijken. Niet alleen zijn de gegevens niet voor dat doel verzameld, ze zijn er volgens de Algemene Rekenkamer ook niet geschikt voor.
Toch wil SBGGz dat deze vergelijking uiteindelijk bepalend wordt voor de financiering van de zorg. De stichting wordt daarom ook door de zorgverzekeraars betaald. Het zal weinigen verbazen dat er verzet tegen deze werkwijze is gekomen onder met name de zorgverleners, wat geleid heeft tot de Kamervragen van Renske Leijten (SP) waar de minister nu haar reactie op heeft gegeven.
Vernietigen gegevens
Nu ook de minister en de Autoriteit Persoonsgegevens vaststellen dat de gegevens bij SBGGz onrechtmatig zijn verkregen, ligt het voor de hand dat deze gegevens direct verwijderd worden. Dat betekent waarschijnlijk dat alle medische gegevens die sinds 2008 door SBGGz zijn verzameld, vernietigd zullen moeten worden.
De erkenning door de minister zal ook op andere terreinen consequenties moeten hebben. Zo wordt de werkwijze met het pseudonimiseren ook toegepast bij de landelijke database met zorggegevens (DIS) van de NZa. Burgerrechtenbeweging Vrijbit voert al jaren een strijd tot in de rechtbank tegen deze onrechtmatige verzameling van medische gegevens.
Toestemming vragen
In haar beantwoording zinspeelt de minister erop, dat ze mogelijk de wet wil aanpassen om medische gegevens toch op een makkelijke manier te kunnen doorsluizen zonder aan betrokkenen toestemming te hoeven vragen. Dat zou het witwassen zijn van een onrechtmatige praktijk. Het is onbehoorlijk om eerst een onrechtmatige database op te tuigen zonder goed naar de privacyregels te kijken en dan achteraf de wet aan te passen. Het wordt tijd dat bestuurders en organisaties zich vooraf realiseren wat de privacyregels zijn en daar hun systemen en processen op inrichten. Dit zogeheten 'privacy-by-design' wordt ook nadrukkelijk een verplichte werkwijze met de nieuwe Europese privacywet die binnenkort van kracht wordt. Dan vormt het informeren van mensen en het toestemming vragen voor het delen van gegevens een gewoon onderdeel van het proces bij het invullen van een vragenlijst. Draconische reparatie-wetgeving die de rechten van mensen verder uitholt is onnodig en onwenselijk.
Sowieso zal elke individuele patiënt nu goed geïnformeerd moeten worden en om toestemming moeten worden gevraagd als men de gegevens van de vragenlijsten verder wil gebruiken dan in het behandeltraject. De minister schrijft daarbij ook "Een patiënt heeft altijd de mogelijkheid het delen van zijn gegevens met SBG te weigeren." Dus gewoon zoals het volgens de wet hoort.