Gepubliceerd: 05 december 2016

Al enige weken stond vast dat er te Utrecht op 2-12-2016 twee rechtszittingen bij de rechtbank Midden-Nederland zouden plaatsvinden; te weten de zaken UTR 16/4199WBP V93 en UTR 16/3326 WBP V97. Deze beide rechtszaken zijn door Burgerrechtenvereniging Vrijbit aangespannen tegen de Autoriteit Persoonsgegevens (AP).

De eerstgenoemde juridische procedure betreft het beroep tegen de Beslissing op Bezwaar van de AP om niet handhavend op te willen treden tegen de onrechtmatige verzameling, verwerking en doorlevering van medische diagnose- en behandelgegevens (DBC’s) in het DIS, die reeds plaatsvindt vanaf 2006. In 2006 had het CBP (nu AP) al aangegeven dat het DIS geen tot personen herleidbare gegevens mocht bevatten. Door koppeling van data uit het DIS met in andere bestanden beschikbare gegevens bleken deze data wel degelijk herleid te kunnen worden tot concrete “personen van vlees en bloed”. Dat heeft de NZa - waar het DIS sinds mei 2015 onder ressorteert - zelf moeten erkennen.

De tweede juridische procedure gaat over de Gedragscode Zorgverzekeraars. De goedkeuring van die gedragscode door het CBP is in de uitspraak van de rechtbank Amsterdam op 13-11-2013 vernietigd. Tot op heden is er geen aan het oordeel van de rechter aangepaste Gedragscode ter goedkeuring voorgelegd aan de AP en worden sinds jaar en dag medische gegevens van burgers dus onrechtmatig verwerkt.

Zoals hierboven al aangestipt stond al weken vast dat beide procedures behandeld zouden worden op 2-12-2016, nadat een eerdere geplande zitting op 30-9-2016 hierover ook al was afgezegd. Op donderdagmiddag, 1-12, heeft het bureau “wrakingen en verschoningen” een mail gestuurd dat mr. R. Praamsma een verzoek tot verschoning had ingediend. Hoewel dit op belangenverstrengeling en/of partijdigheid zou kunnen duiden, is vooralsnog onbekend wat de exacte reden(en) tot terugtrekking is (zijn). Heel opvallend is het feit dat er een inhoudelijk verband is tussen deze rechtszaken en wetsvoorstel 33980. Over dit voorstel van Minister Schippers aangaande verdere uitholling van het medisch beroepsgeheim zal vermoedelijk in december 2016 in de Eerste Kamer worden gestemd.

Hier kunt u het persbericht "Rechtszaken over medische gegevens gaan morgen 2-12 niet door omdat een van de rechters zich vanmiddag wegens partijdigheid heeft teruggetrokken" van Burgerrechtenvereniging Vrijbit (www.vrijbit.nl) vinden.

Lees meer over dit verzoek om verschoning van rechter Praamsma in het artikel van niet praktiserend huisarts W.J. Jongejan getiteld: "Verschoning rechter verklaard in zaken over beroepsgeheim en privacy".

Gepubliceerd: 01 december 2016

Nog steeds zet onze stichting zich ten volle in om te realiseren dat er een werkzame regeling wordt gemaakt voor het digitaal declareren met privacyverklaring zonder dat uit het DBCtarief alsnog de diagnose kan worden afgelezen als patiënt/cliënt en therapeut gebruik hebben gemaakt van de opt-outregeling.

Er zijn naar CBP(nu AP)/ZN/NZa in de afgelopen 3 jaar herhaaldelijk brieven en/of handhavingsverzoeken gestuurd, die successievelijk zijn afgewezen. Daarop heeft de KDVP bezwaar aangetekend en heeft op 9 juli 2015 een hoorzitting plaatsgevonden bij het CBP. Hier kunt u de notitie lezen die de KDVP vorig jaar bij deze hoorzitting heeft ingebracht.

Het CBP heeft na de hoorzitting een Beslissing op Bezwaar genomen en ons bezwaarschrift afgewezen. Wij hebben ons genoodzaakt gezien om tegen deze Beslissing op Bezwaar in beroep te gaan. Hier kunt u ons beroep dd 22-10-2015 lezen. Naar aanleiding van dit beroep was er een rechtszitting gepland op 30-3-2016.

Ondertussen was de NZa in opdracht van de AP gestart met een onderzoek naar de werking in de praktijk van de opt-outregeling, met name naar de mogelijkheid om digitaal te kunnen declareren zonder dat uit het DBCtarief alsnog de diagnose is af te leiden. Omdat op de zitting bleek dat dit onderzoek nog niet was voltooid, heeft de rechter ter plekke besloten om de zitting te schorsen en heeft de NZa tot eind oktober de tijd gekregen om hun onderzoek af te ronden.

Inmiddels is het onderzoeksrapport van de NZa afgerond en zijn de conclusies bekend. In een nieuwe, nadere Beslissing op Bezwaar, die mede is gebaseerd op het onderzoek van de NZa, stelt de AP kort gezegd dat het digitaal declareren met gebruik van privacyverklaring voldoende naar tevredenheid is geregeld en dat zorgverzekeraars altijd bereid zouden zijn om een willekeurig afwijkend tarief uit te betalen.

De KDVP is het niet eens met deze conclusie. Wij hebben dan ook besloten om het eerder ingestelde beroep aan te houden. In tegenstelling tot wat er wordt geconcludeerd in het onderzoeksrapport van de NZa bestaat er nog steeds geen aangepaste, effectieve, digitale declaratieprocedure, waarmee kan worden voorkomen dat uitgaande van een aangepaste tariefstelling - een tarief dat niet hoger mag zijn dan het maximale toepasselijke DBC tarief - diagnostische informatie wordt aangeleverd aan zorgverzekeraars als gebruik wordt gemaakt van de opt-outregeling.

Er is door de NZa en/of ZN geen officieel document gemaakt en verstrekt aan hulpverleners, waarin concreet staat beschreven hoe zorgverleners digitaal kunnen declareren zonder dat tot de diagnose herleidbare informatie wordt aangeleverd bij afgifte van een privacyverklaring. Er is wel een zgn. “dummycode” gerealiseerd die het mogelijk maakt om een via VECOZO gevalideerde declaratie in te dienen zonder dat diagnose-informatie besloten zit in de betreffende declaratiecode.

Maar er is nog steeds geen effectieve regeling ontworpen voor het vaststellen van het declaratiebedrag zonder dat de diagnose kan worden afgeleid uit het toepasselijke DBC tarief en tegelijk ook niet meer wordt gedeclareerd dan het maximale (toepasselijke) DBC tarief. De validatie van de declaratie door VECOZO is op geen enkele wijze verbonden met de acceptatie en uitbetaling van een aangepaste nota opgesteld op basis van een formele, aangepaste tariefstelling/berekeningswijze om herleiding van diagnose-informatie te voorkomen.

De rechtbank Amsterdam heeft ons nog niet bericht wanneer de voortzetting van de beroepsprocedure die is geschorst op 30-3-2016 zal plaatsvinden.

Hier kunt u ons beroep dd 11-11-2016 tegen de nadere Beslissing op Bezwaar van de AP vinden.

Gepubliceerd: 17 november 2016

Op 14 november 2016 vond in de stadschouwburg van Amsterdam de jaarlijkse uitreiking plaats van de Big Brother Awards 2016. Burgerrechtenbeweging Bits of Freedom organiseerde voor de 12e keer op feestelijke en ludieke wijze de toekenning van de prijzen aan personen, bedrijven en/of overheden, die in het afgelopen jaar inbreuken op privacy hebben bevorderd.

De Big Brother Awards kent een aantal prijzen; voor de expertprijs en de positieve privacyprijs verwijzen we naar de website van Bits of Freedom (www.bof.nl).

De winnaar van de publieksprijs werd door de Nederlandse bevolking uit een drietal genomineerden gekozen en viel dit jaar wederom ten deel aan Edith Schippers. In 2011 is zij ook tot winnaar uitgeroepen op basis van het feit dat ze het omstreden elektronisch patiëntendossier een private doorstart had gegeven, nadat de Eerste Kamer het voorstel om privacyredenen had weggestemd.

Dit jaar heeft de minister de publieksprijs gewonnen vanwege haar wetsvoorstel voor een wijziging in de Wet marktordening gezondheidszorg. Met dit wetsvoorstel wil de minister zorgverzekeraars de mogelijkheid geven om zonder toestemming vooraf van de patiënt inzage te hebben in diens medisch dossier. Doel van dit wetsvoorstel zou het beter kunnen opsporen van fraude zijn. Onderzoek heeft echter aangetoond dat het overgrote deel van fraude helemaal niet door verzekerden zelf wordt gepleegd, maar door zorgverleners en/of tussenpersonen. En daarenboven is geconstateerd dat fraude in de zorg over 2015 slechts 0,015% van het hele budget betrof. Zonder deze wetswijziging was het tot nu toe al goed mogelijk om fraude op te sporen; dus de te behalen winst staat in geen verhouding tot het verder uithollen van het medisch beroepsgeheim.

De minister was niet zo sportief om de prijs persoonlijk in ontvangst te komen nemen. Zij heeft een schriftelijke reactie gestuurd, die erop neerkomt dat zij juist heel blij is met de door haar voorgestelde wetswijziging van de Wmg, zoals ze ook in 2011 heeft laten weten zelf zeer tevreden te zijn met het feit dat ze de private doorstart van het EPD heeft weten te realiseren. Gelukkig bleek er een arts in de zaal te zitten die spontaan een kort, maar geëmotioneerd slotwoord sprak waarin ze zei dat Edith Schippers deze prijs meer dan verdiend had!

Hier is de video te bekijken van de uitreiking van de Big Brother Awards 2016.

Gepubliceerd: 21 oktober 2016

Onze stichting KDVP is niet tegen het terugdringen van fraude in de zorg, maar wel tegen het zonder toestemming vooraf van patiënten/cliënten inzien van medische dossiers door zorgverzekeraars om fraude te kunnen opsporen.

Op 13-9 jl. heeft de Tweede Kamer met een wetsvoorstel ingestemd die dit mogelijk moet maken. Het is de verwachting dat de Eerste Kamer in december 2016 over dit voorstel zal stemmen.

 

Wij ondersteunen het initiatief van www.privacybarometer.nl om de senatoren erop te wijzen dat het wetsvoorstel in zijn huidige vorm afschaffing van het medisch beroepsgeheim betekent. Hier kunt u hun bericht lezen dat al naar 250 patiënten- en beroepsverenigingen is gestuurd.

 

Als u ook van mening bent dat het medisch beroepsgeheim niet verder uitgehold moet worden kunt u door op onderstaande link te klikken een kant-en-klare brief vinden die kan worden gestuurd aan senatoren in de commissie volksgezondheid die nog twijfelen over hun stem.

 

Een tweede mogelijkheid is om via een petitie uw stem te laten horen:

 

Om te voorkomen dat het medisch beroepsgeheim met dit voorstel verdwijnt, kunt u er ook voor kiezen om onderstaande petitie te ondertekenen: https://schrap3398016.petities.nl

 

Nog beter is het natuurlijk om beide te doen!

Gepubliceerd: 03 oktober 2016

De Nederlandse overheid en het bedrijfsleven werken hard aan een alomvattend plan om onze medische gegevens in bulk toegankelijk te maken voor doelen die niets met hulpverlening te maken hebben maar alles met winst- en machtsuitbreiding. Dit beleid wordt door ons kabinet in alle stilte stap voor stap uitgevoerd. Onlangs heeft Minister Schippers in samenwerking met het ministerie van Veiligheid en Justitie voorstellen ontwikkeld die neerkomen op het afschaffen van het medisch beroepsgeheim. Een vrije vertrouwelijke toegang tot de zorg wordt opgeofferd voor BIG DATA ambities met het goud van de datamarkt: medische persoonsgegevens.

Deze verontrustende ontwikkeling wordt uiteengezet in een doortastend essay van publicist/niet praktizerend huisarts Wim Jongejan. Daarin wijst hij op de samenhang tussen de nieuwe EPD-wet, de verzamelhonger van overheden en commerciële partijen en de landelijke uitrol van het LSP-systeem. Voorzien van een uiterst informatieve inleidende tekst is dit artikel te vinden op de website van het Platform bescherming burgerrechten (https://platformburgerrechten.nl/2016/09/23/leestip-longread-over-big-data-en-het-lsp).

Gepubliceerd: 18 september 2016

Zoals de CBB rechter heeft geoordeeld in zijn uitspraak op 2-8-2010 mag er bij gebruik van een privacyverklaring geen tot de diagnose herleidbare informatie naar derden, die niet direct bij de behandeling zijn betrokken, worden gestuurd. Vanwege deze uitspraak is de hulpverlener verplicht aan elke patiënt/cliënt die zich aanmeldt de mogelijkheid  te bieden om gebruik te maken van de opt-outregeling.

Indien een patiënt/cliënt opteert voor de opt-outregeling wordt de NZa privacyverklaring ondertekend waarmee hij/zij aangeeft geen toestemming te verlenen voor het verstrekken van diagnostische informatie aan derden, die niet direct bij de behandeling zijn betrokken. Deze regeling geldt al voor het aanleveren van de diagnostische informatie aan zorgverzekeraars en aan het DIS. De informatie die in het DIS terechtkomt is weliswaar gepseudonimiseerd, maar deze informatie kan via koppeling aan informatie in andere bestanden relatief eenvoudig worden herleid  tot gegevens over personen van vlees en bloed.

Hetzelfde geldt voor de data die in gepseudonimiseerde vorm bij de SBG terechtkomen. Ook daar kan die informatie worden gekoppeld aan data in andere bestanden, zodat het wederom persoonsgegevens worden. Inmiddels hebben privacytoezichthouders op zowel Europees als nationaal niveau onderkend  dat pseudonimiseren absoluut niet afdoende is om te spreken van een veilige bescherming. Gepseudonimiseerde data zijn onder de huidige omstandigheden met relatief weinig inspanning om te zetten naar persoonsgegevens.

In het kwaliteitsstatuut wordt benadrukt dat het in de behandeling vooral om de “patiënt journey” gaat; dit zou moeten betekenen dat de patiënt een belangrijke stempel mag/moet drukken op de keuzes in de behandeling, weliswaar in samenspraak met de hulpverlener. Een reden temeer om de wens van de patiënt/cliënt serieus te nemen en te honoreren als hij/zij heeft aangegeven dat hij/zij geen toestemming geeft voor het aanleveren van tot de diagnose herleidbare data aan de SBG.

De KDVP raadt U dus aan om bij elke aanmelding de patiënt/cliënt de keuze te geven of hij/zij gebruik wil maken van de opt-outregeling – met een privacyverklaring - waarmee wordt aangegeven dat op basis van de rechterlijke uitspraak geen tot de diagnose herleidbare informatie naar derden die niet bij de behandeling zijn betrokken (SBG) mag worden gezonden.

VWS heeft overigens zelf toegegeven dat de opt-outregeling ook van toepassing moet zijn op de aanlevering van data aan de SBG, getuige hun uitspraak: “Er ontstaat dus geen probleem met de wettelijke verplichting als niet voor 100% van de clienten ROM-gegevens worden aangeleverd. Het is volgens ons belangrijk, indien gewenst, een opt-out in de volgende versie van het kwaliteitsstatuut goed te regelen. Partijen zijn daarvoor zelf aan zet en kunnen er zelf voor zorgen dat dit geen showstopper wordt in het ROM-traject”.

Met deze uitspraak van VWS erkent zij expliciet dat de opt-outregeling van toepassing moet zijn op het aanleveren van ROM-data en MDS aan de SBG. Het zou echter correct, verhelderend en transparant zijn als dit in een addendum van het kwaliteitsstatuut zo snel mogelijk nadrukkelijk wordt vermeld.

Gepubliceerd: 13 september 2016

Op 8 september 2016 werd in de tweede Kamer het voorstel van Minister Schippers behandeld, waarin zij voorstelt dat zorgverzekeraars patiënten achteraf mogen informeren dat zij in hun medisch dossier hebben gekeken. De meerderheid van de Tweede Kamer zou het hiermee eens zijn! Dit plan werd gepresenteerd als een manier om zorgfraude te bestrijden. De patiëntenfederatie is fel tegen dit voorstel en vindt dat de patiënt in elk geval vooraf om toestemming moet worden gevraagd.
Zembla reageert op twitter als volgt:
“Patiënten moeten inzage in hun medisch dossier door de zorgverzekeraar kunnen weigeren. Ook als het gaat om fraudeonderzoek, stelt de patientenfederatie. De Tweede Kamer vergaderde donderdag over inzage in het dossier. Tijdens het debat bleek dat een meerderheid van de Tweede Kamer de zorgverzekeraars inzage wil geven in medische dossiers om fraude op te sporen. SP en D66 zijn tegen. VVD, PvdA, CDA en PVV zijn voor het plan van minister Schippers (VVD). De overige partijen waren niet aanwezig bij het debat. De definitieve stemming wordt waarschijnlijk de komende week”.
Lees ook: https://troostoverleven.nl/2016/09/medische-gegevens-op-straat-dan-doe-ik-het-zelf-wel
Op www.privacybarometer.nl is op 11-9-2016 een reactie geplaatst onder de titel “Laatste brief voor stemming over inzage medisch dossier door zorgverzekeraars” en op 13-9-2016 is een artikel gepubliceerd getiteld “Zorgverzekeraars krijgen inzage in medische dossiers”.

Gepubliceerd: 28 augustus 2016

Naar aanleiding van de “Beslissing op Bezwaar” van de AP (Autoriteit Persoonsgegevens) op 11-7-2016 heeft onze stichting het noodzakelijk geacht om naar de rechter te stappen.

De KDVP heeft op 16-8-2016 formeel beroep ingesteld tegen de beslissing op bezwaar van de AP. Voor de “aanloop” naar deze stap raden we u aan om een eerder nieuwsbericht - gedateerd  6-3-2015 - te lezen en/of de berichtgeving in onze laatste KDVP Nieuwsbrief van 28-4-2016, ad punt 1, nog eens door te nemen. Beide zijn op deze website te vinden.

Hieronder zijn onze belangrijkste bezwaren verwoord:

Het eerste bezwaar van de KDVP is primair gericht tegen het uitblijven van aanpassing van procedures en bedrijfsprocessen door zorgverzekeraars voor de verwerking van medische gegevens zoals vastgelegd in de Gedragscode Zorgverzekeraars. Na de uitspraak van de rechtbank Amsterdam op 13-11-2013, waarbij de door het CBP (vanaf 1-1-2016 AP) verleende goedkeuring van de Gedragscode werd vernietigd, hadden de in de Gedragscode vastgelegde procedures voor de verwerking van medische gegevens verkregen bij declaraties moeten worden aangepast aan de oordelen van de rechter.  De rechter heeft namelijk geoordeeld dat de in de Gedragscode beschreven procedures en bedrijfsprocessen geen juiste uitwerking vormen van Wbp (Wet bescherming persoonsgegevens)  en EVRM (Europees Verdrag voor de Rechten van de Mens).

De door de rechter opgelegde verplichting tot aanpassing van die procedures en bedrijfsprocessen is tot op heden niet gebeurd,  terwijl zorgverzekeraars wèl nadrukkelijk hebben laten weten dat zij zich aan deze Gedragscode gehouden weten ook nadat de door het CBP verleende goedkeuring daarvan door de rechter is vernietigd. Het uitblijven van aanpassing van verwerkingsprocedures aan de uitspraak van de rechter heeft inmiddels geleid tot het jarenlang op onrechtmatige wijze verwerken van medische persoonsgegevens door zorgverzekeraars. Op dit bezwaar van de KDVP heeft de AP tot op heden geen actie ondernomen.

Een ander bezwaar heeft te maken met het standpunt van de AP dat na de bijstelling van de Regeling Zorgverzekering op 8-7-2010 een goedkeuring van de Gedragscode Zorgverzekeraars niet meer noodzakelijk was. De bijstelling van deze regeling was noodzakelijk gebleken nadat de KDVP had gesteld dat van de Gedragscode Zorgverzekeraars geen “derdewerking” kan uitgaan. De bijstelling van de Regeling Zorgverzekering in 2010  moest een wettelijke basis verschaffen voor het uitvoeren van materiële controleprocedure. De wijzigingen in de Regeling Zorgverzekering  hadden verder geen gevolgen voor vorm en inhoud van de in de Gedragscode beschreven procedures en bedrijfsprocessen voor de verwerking van medische gegevens door zorgverzekeraars.

Hieruit kan de KDVP maar èèn conclusie trekken: de bijstelling van de Regeling Zorgverzekering in 2010 brengt geen verandering in nut en noodzaak van een goedkeuring door de AP van de in de Gedragscode vastgelegde verwerkingsprocedures van medische persoonsgegevens.

Een nieuwe, aan de uitspraak van de rechter aangepaste Gedragscode dient dan ook  alsnog ter goedkeuring te worden voorgelegd aan de AP.

Hier kunt U het volledige beroep dat de KDVP onlangs heeft ingediend tegen het besluit van de AP vinden.

Gepubliceerd: 27 augustus 2016

In 2015 heeft Burgerrechtenorganisatie Vrijbit (www.vrijbit.nl) de Autoriteit Persoonsgegevens (AP) verzocht een onderzoek in te stellen naar- mogelijk onrechtmatige - gegevensverstrekkingen vanuit het DBC Informatie Systeem (DIS) aan andere partijen. In het DIS worden vanaf 2006 door hulpverleners stelselmatig gegevens aangeleverd over bij de zorgverzekeraar gedeclareerde zorg. Ook in de GGZ geven hulpverleners alle data over hun behandelingen vanaf 2006 door aan het DIS. Het DIS is de grootste medische databank van ons land. Vanuit het DIS worden gegevens doorgestuurd naar verschillende vaste afnemers en daarnaast kunnen andere partijen een verzoek doen om uitlevering van data.

Het DIS is bij de oprichting in 2006 door het CBP (nu AP) de meest risicovolle database van Nederland genoemd. In de afgelopen 10 jaar is er vaak kritiek geuit op dit systeem, aangezien gepseudonimiseerde gegevens bij koppeling aan gegevens in andere bestanden zonder veel moeite kunnen worden herleid tot persoonsgegevens. Zoals het CBP toentertijd heeft gesteld, zou het DIS in dat geval moeten worden opgeheven.

In 2015 heeft de NZa zelf - als toezichthouder en juridisch verantwoordelijke voor gegevensverwerking door het DIS - moeten toegeven dat data in het DIS zonder al teveel inspanning te herleiden zijn tot “personen van vlees en bloed”. Naar aanleiding van het handhavingsverzoek van Burgerrechtenorganisatie Vrijbit – met steun van de KDVP - en erkenning van herleidbaarheid van DISgegevens door de NZa zelf werd de AP gedwongen zich te bezinnen op haar standpunt over de veiligheid van de in het DIS opgeslagen gegevens. De AP besloot dan ook in november 2015 in actie te komen door een onderzoek in te stellen.

In reactie op dit onderzoek van de AP heeft de NZa als verantwoordelijke partij van het DIS besloten om het verstrekken van gegevens uit het DIS met onmiddellijke ingang te reduceren tot leveringen aan een paar partijen. Van de partijen die volgens de NZa na november 2015 nog gegevens mochten ontvangen stelde de AP vast dat zelfs van deze partijen twee overheidsorganen ten onrechte gegevens uit het DIS ontvingen, te weten het Ministerie van VWS en het Centraal Planbureau.

Het is onbegrijpelijk en onjuist dat de AP haar onderzoek alleen heeft gericht op dataleveringen die aan partijen in de periode vanaf november 2015 zijn gedaan, zijnde het moment waarop de NZa naar aanleiding van het door de AP gestarte onderzoek het verstrekken van gegevens uit het DIS drastisch had beperkt. Dit betekent dat slechts een klein deel van alle data-leveringen die in de afgelopen 10 jaar werden gedaan zijn getoetst op rechtmatigheid! Er kan maar één conclusie worden getrokken en die luidt dat het onderzoek van de AP naar wat vermoedelijk het grootste datalek van Nederland is een verhullende “wassen neus” mag worden genoemd.

Ronald Huissen heeft over dit onderzoek van de AP op 16-8-2016 een artikel gepubliceerd op www.platformburgerrechten.nl met de titel: ”Wat onderzocht de Autoriteit Persoonsgegevens allemaal niet aan het DIS?”

Huisarts in ruste en publicist Wim Jongejan plaatste op 8-8-2016 een artikel op www.zorgictzorgen.nl getiteld: “Autoriteit Persoonsgegevens ondergraaft stelselmatig eigen gezag”. Ook in dit artikel wordt ingegaan op het gebrekkige en onvolledige karakter van het onderzoek van de AP naar de rechtmatigheid van gegevensuitleveringen vanuit het DIS aan derden.

Gepubliceerd: 20 juli 2016

Oproep om het manifest ”Zelf aan het roer” te ondertekenen!

Eerder dit jaar hebben huisartsen landelijk aandacht gevraagd voor “minder regels, meer ruimte voor samenwerking en meer vertrouwen in de deskundigheid van de zorgverlener” via een manifest getiteld “Het roer moet om” (zie www.vvaa.nl). Deze actie heeft veel reacties uitgelokt en uiteindelijk voor verandering gezorgd.

Onlangs hebben 30 verschillende zorgprofessionals de handen ineen geslagen en in het verlengde van de vorige actie een manifest opgesteld getiteld “Zelf aan het roer”. Onze stichting heeft deelgenomen aan dit samenwerkingsverband en onderschrijft de inhoud van dit manifest.

Zoals de titel al zegt is het streven om de hulpverlener het roer weer in handen te geven om samen met de patiënt/cliënt te kunnen bepalen wat goede zorg is. Verzekeraars, managers en consultants zitten ten onrechte op de stoel van de behandelaar. Het manifest roept deze derde partijen op zich terug te trekken en de regie van de behandeling weer terug te geven aan hulpverlener en patiënt/cliënt. Ook kan er alleen sprake zijn van vertrouwelijkheid als zgn. derde partijen zich uit de spreekkamer terugtrekken.

Wij nodigen hulpverleners in de GGZ van harte uit om dit manifest te ondertekenen. Ook vragen wij u met klem om collega’s of anderen in uw omgeving attent te maken op de mogelijkheid dit manifest te ondertekenen. Zegt het voort!

Hier kunt u het manifest vinden.

Gepubliceerd: 12 juli 2016

In het kader van het voorzitterschap van Nederland van de Europese Unie vond in de beurs van Berlage te Amsterdam van 8 tot 10 juni een driedaags congres over e-health plaats. Dit congres werd georganiseerd door de Europese Commissie, HIMMS Europe en “ons” ministerie van VWS. Het was het tot nu toe grootste Europese congres over de toepassingsmogelijkheden van e-health.

Zowel minister Schippers als staatssecretaris van Rijn hopen dat e-health in de toekomst breed kan worden ingezet in de zorg voor mensen die daar baat bij zouden kunnen hebben. In een interview met NRC Handelsblad liet de minister zelfs weten dat, vanwege de vele mogelijkheden die e-health kan bieden, ziekenhuizen in 2030 overbodig zouden kunnen zijn.

In verband met dit congres had het ministerie van VWS een officiële brochure uitgegeven. In deze brochure staat letterlijk dat”privacy niet langer een issue is”. In diezelfde brochure beweert Lucien van Engelen – directeur van het innovatiecentrum van het Radboud Universitair Medisch Centrum – het volgende: “ We hebben echt te maken met een privacymaffia. We zijn hierin doorgeschoten”. En Jeroen Tas – directeur bij Philips Health – wist te melden: “Verandering is voor iedereen lastig en dat geldt zeker in een conservatieve markt als de zorg”.

Kortom; de privacy zou nieuwe technologische ontwikkelingen in de zorg in de weg staan en belemmeren. Kennelijk hebben bovengenoemde personen nog nooit gehoord van het begrip”privacy by design”. Het is namelijk heel goed mogelijk om nieuwe ICT technologie te ontwikkelen en tegelijk rekening te houden met privacywetgeving. Goede zorg betekent ook dat medische persoonsgegevens zorgvuldig en vertrouwelijk worden behandeld en dat het toestemmingsvereiste goed is geregeld.

Op de site van de Privacy Barometer ( www.privacybarometer.nl) is op 12-6-2016 een artikel verschenen van Reinout Barth  waarin wordt gesteld dat men zozeer verblind lijkt te zijn door de technologische mogelijkheden die e-health kan bieden, dat over het hoofd wordt gezien dat burgers ook behoefte hebben aan een adequate bescherming van hun privacy.

Via “privacy by design”valt te realiseren dat èn nieuwe zorg ICT-mogelijkheden worden ontwikkeld èn de privacy van burgers toch gewaarborgd blijft. Waar een wil is, is een weg!

Gepubliceerd: 07 juli 2016

In het kader van de decentralisatie hebben gemeentes vanaf 2015 de jeugdhulpverlening onder hun hoede gekregen. Gemeentes zijn dus al anderhalf jaar verantwoordelijk voor de beoordeling van hulpvragen, de uitvoering van de hulpverlening aan jeugdigen/gezinnen en het controleren van declaraties. Voor het uitvoeren van al deze taken hebben gemeentes de beschikking over vertrouwelijke persoonsgegevens. Tot op heden was er wettelijk echter niets geregeld over het waarborgen van de privacy en daarmee over hoe om moet worden gegaan met gevoelige persoonsgegevens in de jeugdhulpverlening.

Inmiddels is er wel een concept Regeling Jeugdzorg geformuleerd waarin de tot nu toe ontbrekende privacyregels zijn beschreven. Het is de bedoeling dat deze RegelingJeugdzorg onder de Jeugdwet komt te “hangen”als een nadere uitwerking.

In het artikel van Ronald Huissen – “Alle jeugdzorginformatie verplicht vanuit de gemeente naar het Rijk” – dat op 22-6-2016 op de site van het Platform Burgerrechten (www.platformburgerrechten.nl)  is geplaatst wordt gesteld dat die nieuwe Regeling Jeugdzorg wat de privacy waarborging betreft helaas tekort schiet. Hoewel de regeling in het leven is geroepen om de privacy beter te borgen, wordt met deze regeling de privacy van jongeren en ouders juist verder uitgehold!

Er wordt in de Regeling Jeugdzorg erg veel aan de willekeur van gemeentes overgelaten wat betreft het opvragen en doorleveren van vertrouwelijke informatie. Nog verontrustender is het dat in de Regeling een artikel is opgenomen waarin wordt bepaald dat alle informatie die gemeentes verzamelen bij het uitvoeren van de jeugdzorg, moet worden doorgestuurd naar het Rijk, te weten zowel naar de Minister van Volksgezondheid als die van Veiligheid & Justitie.

Gepubliceerd: 07 juli 2016

In april 2016 is het Europees Parlement erin geslaagd om een nieuwe Algemene Verordening Gegevensbescherming (AVG) overeen te komen. Deze verordening regelt de privacybescherming voor alle lidstaten van de EU en definieert een rechtmatig gebruik van persoonsgegevens.

In deze recent overeengekomen verordening zijn een aantal nieuwe regels opgenomen waaronder de mogelijkheid voor overheden om onbeperkt persoonsgegevens van burgers te koppelen. Dit voorstel komt van Nederlandse kant. Minister van der Steur van “Veiligheid en Justitie” heeft bewerkstelligd dat het mogelijk wordt om in de publieke sector persoonsgegevens voor andere doeleinden te gebruiken dan waar ze oorspronkelijk voor waren verzameld. Daarmee wordt het zgn. doelbindingsbeginsel met voeten getreden.

 “Doelbinding” houdt in dat door de overheid verzamelde privégegevens over burgers alleen gebruikt mogen worden voor het doel waarvoor ze oorspronkelijk zijn afgegeven. Zo weten wij als burgers precies wat er met onze persoonsgegevens wordt gedaan. In de nieuwe AVG is dus overeengekomen, op initiatief van onze Minister, om het doelbindingsbeginsel verder los te laten. Hiermee wordt een onbeperkte (risico) profilering van burgers mogelijk en zijn burgers niet meer beschermd tegen willekeurige inmenging in hun privéleven.

Dit is een wijziging vergeleken met de richtlijnen uit 1995. Daarin waren ook uitzonderingen op de regel opgenomen, zoals de bevoegdheid van de Belastingdienst, die gegevens wel voor andere doeleinden mocht gebruiken dan waarvoor ze aanvankelijk waren verzameld. Met de huidige AVG is de mogelijkheid om privégegevens van burgers voor andere doeleneinden te gebruiken nog verder verruimd.

Hetgeen Minister van der Steur in Brussel heeft voorgesteld is echter in strijd met moties die onlangs in de Tweede Kamer zijn gepresenteerd. Het was de wens van het Nederlandse parlement om het huidige privacybeschermingsniveau te handhaven. Waarom dan toch deze uitbreiding van informatiemacht?

Op www.platformburgerrechten.nl is op 24-5-2016 een uitgebreid artikel van de hand van Ronald Huissen over dit heikele punt verschenen. In dit artikel getiteld “Nederland had niet akkoord mogen gaan met nieuwe privacyregels EU” leest u meer over de mogelijkheden die de nieuwe AVG onze overheid biedt om haar burgers te profileren en hoe dit op gespannen voet staat met het recht op eerbiediging van het privéleven zoals vastgelegd in het Europees Verdrag van de Rechten van de Mens.

Gepubliceerd: 20 mei 2016

Naar aanleiding van het bezwaarschrift van de KDVP tegen de beslissing van de AP met betrekking tot ons handhavingsverzoek van 2 maart 2015 vond op 19 mei 2016 te Den Haag een hoorzitting plaats bij de Autoriteit Persoonsgegevens.

Onze stichting heeft op 2 maart 2015 een handhavingsverzoek aan de AP gestuurd waarin wij (opnieuw) en met klem aandacht vragen voor het feit dat de Gedragscode Zorgverzekeraars nog steeds niet is aangepast aan de oordelen van de rechtbank Amsterdam van 13 november 2013 en de uitspraak van het CBb van 2 augustus 2010. De door de KDVP op de hoorzitting ingebrachte notitie kunt u hier vinden.

De rechtbank Amsterdam heeft de goedkeuring door het CBP ( nu AP) van de Gedragscode Zorgverzekeraars uit 2011 vernietigd. De rechter achtte de procedures voor verwerking van medische gegevens – zoals in de Gedragscode vastgelegd – geen juiste uitwerking van de Wet bescherming persoonsgegevens en in strijd met artikel 8 van EVRM en het medisch beroepsgeheim. De KDVP heeft Zorgverzekeraars Nederland (ZN) in 2014 meermalen aangesproken op het niet-aanpassen van de Gedragscode. Omdat ZN weigerde om de noodzakelijke aanpassingen in de Gedragscode door te voeren, zijn medische gegevens van miljoenen Nederlanders bijgevolg jarenlang op onrechtmatige wijze verwerkt. In de briefwisseling tussen Zorgverzekeraars Nederland en de KDVP zegt ZN in 2014 over de afgekeurde Gedragscode: “De Gedragscode blijft onverkort van toepassing op onze leden”.

Omdat ZN na herhaalde verzoeken niet van zins bleek om de Gedragscode aan te passen aan de rechterlijke oordelen en de AP vervolgens weigerachtig bleef waar het handhavend optreden zou behoren te doen richting ZN, heeft de KDVP besloten een handhavingsverzoek c.q. bezwaarschrift in te dienen. De AP dient binnen een termijn van 6 weken na de hoorzitting een ”beslissing op bezwaar“ te nemen.

Gepubliceerd: 14 mei 2016

Google heeft in april 2016 de beschikking gekregen over de medische data van 1.6 miljoen patiënten die in 3 Londense ziekenhuizen worden behandeld.

 

Het door Google opgekochte bedrijf “DeepMind” heeft een overeenkomst weten te sluiten met de Royal Free NHS Trust, waarmee zij de beschikking kreeg over uiterst gevoelige medische gegevens van 1.6 miljoen patiënten die in 3 ziekenhuizen in Londen worden behandeld zonder dat hiervoor toestemming was gevraagd. Het betreft o.a. informatie over patiënten met HIV, met depressie of over mensen die een abortus hebben ondergaan.

Op www.zorgictzorgen.nl is een artikel getiteld “Vreemde deal Google met NHS-ziekenhuizen. Nederland geen haar beter” geplaatst van de hand van huisarts (np) W. Jongejan over deze deal van Google met de Royal Free Trust in Londen, waar de 3 ziekenhuizen onder vallen.

In dit artikel wordt een vergelijking gemaakt tussen de data-mining of gegevensanalyse die Google uitvoert en het in 2006 opgerichte DBC Informatiesysteem ofwel DIS in Nederland, waar jaarlijks miljoenen medische gegevens van burgers in worden opgeslagen. Tot voor kort konden private partijen een aanvraag indienen bij het DIS om uitlevering van de gepseudonimiseerde medische gegevens om – net als Google - op deze data een analyse uit te voeren. Jaren geleden is er al op gewezen dat gepseudonimiseerde medische gegevens in het DIS tot personen herleidbaar zijn. In 2015 heeft ook de NZa dit in een procedure van de Open State Foundation moeten erkennen. Dit betekent dat de in het DIS opgeslagen gepseudonimiseerde gegevens bijna 10 jaar lang aan allerlei publieke en private partijen zijn verstrekt, terwijl deze zonder toestemming van de patiënt en met doorbreking van het medisch beroepsgeheim verkregen gegevens eenvoudig herleid konden worden tot personen. De privacy toezichthouder keek daarbij toe zonder in actie te komen.

Gepubliceerd: 26 april 2016

Sinds de jeugdzorg in 2015 is overgeheveld naar de gemeenten worden er met regelmaat incidenten gemeld, waaruit blijkt dat de privacy van jongeren en ouders niet voldoende beschermd is. Tot nu toe tracht elke gemeente naar eigen goeddunken de gegevensuitwisseling in de jeugdhulpverlening te regelen, maar daarbij wordt de privacy vaak totaal over het hoofd gezien. Om declaraties te controleren vroegen sommige gemeenten hele dossiers op bij hulpverleners. Andere gemeenten lieten cliënten bij intake een formulier tekenen waarmee in principe alle in de toekomst gewenste informatie bij de hulpverlener opgevraagd mocht worden.

In maart 2015 heeft de Autoriteit Persoonsgegevens al gewaarschuwd dat het zo niet kan en dat er wetgeving moet komen om de geheimhoudingsplicht gelegitimeerd te mogen doorbreken. In de afgelopen maanden is er door de ministeries van VWS en VenJ gewerkt aan een aanpassing van de Jeugdwet en de Regeling Jeugdwet, waarmee privacy, vertrouwelijkheid en beroepsgeheim in de jeugdhulpverlening beter zou zijn geborgd.

In het najaar van 2015 zijn beroepsverenigingen en cliënten- en ouderorganisaties betrokken geweest bij consultatief overleg over deze aanpassing van regelgeving. De KDVP heeft samen met organisaties van cliënten en ouders de voorgestelde regelgeving van commentaar voorzien en heeft daarbij suggesties gedaan voor noodzakelijke aanpassingen. Bij afronding van het consultatieve overleg is echter gebleken dat de verantwoordelijke ministeries niets hebben gedaan met de inbreng van organisaties van cliënten en ouders.

Zes cliënten- en ouderorganisaties hebben vervolgens de handen ineen geslagen omdat zij vinden dat de conceptregeling nog teveel “open formuleringen” bevat, waardoor de privacy van jongeren en hun ouders nog steeds onvoldoende is beschermd.

LOC Zeggenschap in zorg, Ieder(in), LPGGz, Ouderkracht voor ’t kind, UW ouderplatform en Zorgbelang Nederland hebben in samenwerking met Ab van Eldijk, voorzitter van de KDVP, een rapport geschreven, waarin zij aanbevelingen doen om de gegevensuitwisseling in de jeugdhulp van goede privacywaarborgen te voorzien. Zonder goede privacywaarborgen is het onmogelijk om het vertrouwen van cliënten te winnen. Zonder een solide vertrouwensrelatie kan geen goede hulpverlening plaatsvinden en dat kan uiteindelijk zorgmijding tot gevolg hebben.

Hier kunt u het nieuwsbericht van de zes cliënten- en ouderorganisaties vinden.

Hier is het rapport te lezen dat direct naar de ministers van VWS en VenJ is gestuurd, evenals naar de staatssecretarissen en de voorzitters van de Tweede Kamerfracties.

Ook dit artikel van Ronald Huissen van het Platform Burgerrechten over de huidige situatie in de jeugdhulpverlening (met daarin interviews met cliënten en hulpverleners) is lezenswaardig en even schokkend als illustratief!

Gepubliceerd: 23 april 2016

Op 17-4-2016 is een artikel verschenen op het Platform bescherming burgerrechten (www.platformburgerrechten.nl) over het DIS, zijnde het grootste datalek van Nederland. In het DIS worden alle medische gegevens over behandelingen die wij als Nederlanders hebben ondergaan, opgeslagen en doorgesluisd naar andere partijen. Ook kunnen private organisaties de gegevens uit het DIS opvragen.

De gegevens in het DIS die zonder toestemming van patiënten door zorgverleners worden aangeleverd mogen niet herleidbaar zijn tot reële personen. Dat heeft de AP in 2006 terecht gesteld bij de oprichting van het DIS. Daarom moesten gegevens die werden aangeleverd bij het DIS versleuteld ofwel gepseudonimiseerd worden.

In de afgelopen jaren is er echter bij herhaling op gewezen dat via koppeling van DIS-data aan gegevens in allerlei andere databanken herleiding tot personen van vlees en bloed eenvoudig mogelijk is.

In 2015 heeft de NZa - nu verantwoordelijk voor het DIS -  in een juridische procedure aangespannen door de Open State Foundation moeten erkennen dat DISdata kunnen worden herleid tot reële personen.

De consequentie daarvan is dat DIS data onrechtmatig worden verkregen en dat ook verwerking en gebruik van deze gegevens onrechtmatig is. Het DIS zou onder deze omstandigheden per direct moeten worden opgeheven. Dat heeft de AP ook al aangegeven bij de oprichting.

De burgerrechtenvereniging Vrijbit (www.vrijbit.nl)  heeft om die reden een handhavingsverzoek aan de AP gestuurd.

Zonder een inhoudelijk besluit te nemen op het handhavingsverzoek van Vrijbit heeft de AP eind 2015 aangegeven een onderzoek te zijn gestart naar de herleidbaarheid van DIS-data bij de NZa. Om die reden mogen er vanaf de start van dit onderzoek geen gegevens worden doorgestuurd naar andere partijen, maar de onrechtmatige aanlevering van behandelinformatie gaat voorlopig gewoon door. Dat betekent dat de privacy van patiënten/cliënten aan de lopende band door hulpverleners wordt geschonden, omdat deze nog steeds verplicht zijn – met doorbreking van hun beroepsgeheim – uitgebreide medische behandelgegevens (ondermeer volledige DSM-IV) door te geven aan het DIS. En dan te bedenken dat het DIS vanaf 2005 al zo lek is als een mandje…! 

Hoezo “onafhankelijk” toezicht door het AP? Het is niet meer dan een misleidende illusie die in de praktijk averechts werkt omdat de AP niet optreedt tegen inbreuken op de privacy van burgers, maar deze daarentegen legitimeert.

Gepubliceerd: 23 april 2016

In een eerder nieuwsbericht met de titel “de KDVP doet alarmbel rinkelen” hebben we aandacht besteed aan de uitkomst van een uiterst bedenkelijk onderzoek van het NIVEL uitgevoerd via het “Consumentenpanel Gezondheidszorg”. Dat “onderzoek” zou hebben aangetoond dat de Nederlandse bevolking bereid is om al hun medische data ter beschikking te stellen voor grootschalig wetenschappelijk onderzoek  

Het zijn ondermeer de lobbyisten van farmaceuten die hopen zo zonder toestemming van patiënten toegang te krijgen tot de medische gegevens van alle Nederlanders. De “conclusie” van dit panelonderzoek is door het NIVEL ingebracht bij de besluitvorming in Brussel over “General Data Protection Regulation ofwel GDPR” in hoop dat het zonder toestemming van patiënten verkrijgen van medische persoonsgegevens op basis van deze regeling mogelijk wordt.

Het voor grootschalig onderzoek zonder toestemming van patiënten toegang krijgen tot patiëntdossiers is al eerder bepleit in een rapport van de KNMG (link) met betrekking tot de onderzoeksbevoegdheden van de Inspectie voor de Gezondheidszorg (IGZ).Volgens de voormalig directeur van de MIVD is het allemaal een kwestie van vertrouwen en moet ook de privacy met betrekking tot medische gegevens niet langer een beletsel zijn bij het verzamelen van deze gegevens voor het analyseren/profileren van burgers.

Alle reden om wakker te worden na het alarmerende bericht van NIVEL

Het zonder toestemming openstellen, opvraagbaar maken van medische persoonsgegevens zou ons anders moeten doen nadenken over het centraal toegankelijk maken van patiëntdossiers bij zorgverleners via het LSP evenals over de aanlevering van tot personen herleidbare medische informatie aan zorgverzekeraars en het DIS.

Gepubliceerd: 23 april 2016

Op 5-4-2016 is in de Tweede Kamer de Jeugdwet behandeld. De Jeugdwet is onderdeel van de Veegwet/Verzamelwet, die op dit moment in de Tweede Kamer ter behandeling voorligt. In verband met de decentralisatie van taken van de overheid naar gemeenten moet er ook nieuwe regelgeving worden ontwikkeld voor de uitwisseling van medische gegevens binnen de jeugdhulpverlening.

Juist omdat vertrouwen in de jeugdhulpverlening zo essentieel is, achten hulpverleners in de jeugdzorg het van belang dat in deze nieuwe regelgeving heel concreet en specifiek wordt vastgelegd welke informatie op individueel niveau verplicht aan welke partijen moet worden aangeleverd om te worden verwerkt en gebruikt voor expliciet benoemde doelen.  

Helaas zijn in de nieuwe regelgeving - zoals die nu wordt voorgesteld voor de jeugdhulpverlening - geen transparante en van privacy waarborgen voorziene regels en procedures uitgewerkt overeenkomstig algemene vereisten en beginselen vastgelegd in Wbp en EVRM. Dit betekent dat aanlevering, toegang, doorlevering, koppeling en gebruik van persoonsgegevens niet legitiem kan plaatsvinden.

Ook worden er in de voorgestelde regeling jeugdwet veel open formuleringen gehanteerd, waardoor gemeenten naar eigen goeddunken kunnen besluiten welke informatie zij bij hulpverleners willen opvragen. Dat laatste staat gelijk aan het tekenen van een blanco cheque! Het komt voor dat gemeenten bij aanmelding de cliënt verzoeken om een toestemmingsformulier te ondertekenen dat de gemeente vanaf dat moment de volmacht geeft om in de toekomst alle door hen nodig geachte informatie bij  hulpverleners op te vragen. 

Het controleren van declaraties op hun juistheid, fraude-onderzoek, het doen van materiële controles behoren tot de taken van gemeenten. Ook op dit punt zijn ondoorzichtige en niet restrictief geformuleerde bepalingen in de regeling Jeugdwet opgenomen, die alle ruimte laten voor het ongelimiteerd opvragen van informatie bij hulpverleners.

Het is van het grootste belang dat bepalingen op zodanige wijze zijn uitgewerkt, dat er niet meer vertrouwelijke persoonsgegevens en/of risicovolle informatie - met doorbreking van geheimhoudingsplicht - verplicht moet worden aangeleverd dan noodzakelijk en proportioneel is. Het verplicht aanleveren van vertrouwelijke informatie moet op de minst inbreukmakende wijze plaatsvinden.

Zeer kwalijk is het dat de verantwoordelijke bewindslieden in de Jeugdwet bepalingen willen opnemen die gemeenten verplichten  om de verkregen persoonsgegevens incidenteel dan wel structureel te verstrekken aan “onze ministers” van VWS en van VenJ.

De voorzitter van onze stichting is enerzijds met organisaties van ouders en cliënten en anderzijds met een aantal politieke partijen en de ministeries van VWS en VenJ volop in gesprek over de definitieve invulling van deze nieuwe regelgeving. Vooralsnog is zowel de voorgestelde aanpassing van de Jeugdwet als de voorgestelde definitieve regeling Jeugdwet in strijd met de Wet bescherming persoonsgegevens en het Europees Verdrag van de Rechten van de Mens en vormt aanlevering, verwerking en gebruik van  persoonsgegevens overeenkomstig de voorgestelde regelgeving een onrechtmatige inbreuk op de geheimhoudingsplicht van hulpverleners in de jeugdzorg.

Grondige aanpassing van de voorgestelde regelgeving is noodzakelijk wil sprake kunnen zijn van een legitiem aanleveren, verwerken en gebruiken van persoonsgegevens die noch een onnodige inbreuk vormen op privacyrechten van jongeren noch op de geheimhoudingsplicht van hulpverleners in de jeugdzorg.

Hier kunt u de notitie vinden die hierover aan leden van de Tweede Kamer is gestuurd.

Hier kunt u het fragment vinden van het woordelijk verslag van de zitting van de Tweede Kamer op 5-4-2016 voor zover dat gaat over aanpassing van de jeugdwet.

Gepubliceerd: 23 april 2016

Ab van Eldijk is als voorzitter van de KDVP door het programma RadioReporter, dat elke zondagavond een thema uit de actualiteit behandelt, benaderd om deel te nemen aan een discussie over het EPD/LSP. Overige deelnemers aan het debat waren Guido van ’t Noordende en Theo Hooghiemstra. Guido van ’t Noordende is  onderzoeker aan de UvA naar veiligheid en privacy van grote computersystemen en tevens degene die de zgn. “Whitebox” heeft ontwikkeld. Theo Hooghiemstra is gezondheidsjurist en werkzaam bij de organisatie PBLQ als principal consultant.

De discussie ging over de vraag waar je als burger eigenlijk voor tekent als je toestemming geeft dat je medische gegevens worden uitgewisseld via het LSP. Waar teken je voor als je “ja” hebt aangekruist op het formulier dat je door de huisarts of apotheek onder de neus wordt geschoven? Hoe veilig zijn onze medische gegevens in het LSP; wie kunnen er straks allemaal een kijkje nemen in onze gezondheidsdata? Kan de ontworpen “Whitebox” ervoor zorgen dat medische informatie met behoud van het medisch beroepsgeheim veilig kan worden uitgewisseld tussen zorgverleners?

De KDVP is van mening dat het LSP leidt tot uitholling van het medisch beroepsgeheim en een systematische schending van de privacy van patiënten tot gevolg heeft. Nadat het LSP (toen nog EPD geheten) in 2011 in de Eerste Kamer werd beoordeeld, is het om veiligheidsredenen afgewezen. Daarna heeft een private doorstart plaatsgevonden met in principe hetzelfde EPD systeem (nu LSP geheten) en is er, ondanks de eerdere kritiek op dit systeem, door verantwoordelijke partijen nooit gezocht naar een veiliger alternatief. De door Guido van ’t Noordende ontwikkelde Whitebox is wel een voorbeeld van een veilig alternatief systeem, omdat in dit systeem arts en patiënt bepalen wie welke informatie voor welk doel krijgt.

Hier kunt u de uitzending van RadioReporter met de vertolking van duidelijk verschillende standpunten t.a.v het LSP van 10-4 alsnog beluisteren.

Gepubliceerd: 04 april 2016

Zoals u heeft kunnen lezen in onze laatste nieuwsbrief (ad punt 1) heeft de KDVP samen met burgerrechten vereniging Vrijbit overleg met de Nationale Ombudsman gevoerd over het feit dat zowel Vrijbit als onze stichting zich ernstig zorgen maken vanwege het niet-optreden van de Autoriteit Persoonsgegevens (voorheen CBP) ondanks herhaalde handhavingsverzoeken aan hun adres.

Burgerrechten vereniging Vrijbit (www.vrijbit.nl) heeft twee handhavingsverzoeken aan de AP gestuurd; de ene betreft de aanlevering, doorlevering en gebruik van medische persoonsgegevens bij dan wel door het DIS.

Het andere handhavingsverzoek heeft betrekking op het niet aanpassen van de Gedragscode Zorgverzekeraars aan de uitspraak van de Rechtbank Amsterdam (13-11-2013) en op de onrechtmatige verwerking van medische persoonsgegevens die daar het gevolg van is.

Vrijbit heeft vanwege het herleidbaar zijn van de gepseudonimiseerde DISdata een handhavingsverzoek naar de AP gestuurd. De AP heeft in 2006, bij de oprichting van het DIS, namelijk gesteld dat DISdata absoluut niet herleidbaar mogen zijn tot reële personen. Als data in het DIS via koppeling met data in andere bestanden toch te herleiden zijn tot identificeerbare personen, moet aanlevering en verwerking van deze medische gegevens bij het DIS worden stopgezet.

Nu de NZa onlangs in een procedure van de Open State Foundation heeft moeten erkennen dat de gespeudonimiseerde DISdata herleidbaar zijn tot ”personen van vlees en bloed” zou aanlevering, verwerking, doorgifte en gebruik van deze gegevens bij het DIS onmiddellijk moeten worden gestaakt.

De constatering dat Disdata herleidbaar zijn betekent dat in de afgelopen 10 jaar jaarlijks miljoenen data met gegevens over medische behandelingen van de gehele Nederlandse zijn verwerkt, opgeslagen en van daaruit zijn doorgegeven aan tal van overheidsdiensten en private organisaties.

Het DIS is in feite het grootste datalek van Nederland. De AP heeft ondanks waarschuwingen van zorgverleners en meldingen in de media al jaren nagelaten om hiertegen op te treden.

Tegelijk met bovengenoemd handhavingsverzoek betreffende het DIS heeft Vrijbit bij de AP een handhavingsverzoek ingediend vanwege het feit dat zorgverzekeraars de Gedragscode Zorgverzekeraars nog steeds niet hebben aangepast nadat de rechtbank Amsterdam bij uitspraak van 13-11-2013 heeft geoordeeld dat de procedures voor verwerking van medische persoonsgegevens, zoals die waren vastgelegd in de Gedragscode Zorgverzekeraars, geen juiste uitwerking vormen van Wbp en EVRM.

In deze uitspraak uit 2013 stelt de rechter nadrukkelijk dat de AP ook het oordeel van de CBb rechter (uitspraak 2-8-2010) had moeten betrekken waar het gaat om de verbijzondering van verwerkingsprocedures in de GGZ bij afgifte van een privacyverklaring. Omdat zorgverzekeraars bewust hebben nagelaten om verwerkingsprocedures die geen juiste uitwerking vormen van WBp en EVRM aan te passen, is sprake van verwijtbare nalatigheid die resulteert in onrechtmatig handelen door zorgverzekeraars. En het is bij uitstek de taak van de AP om hiertegen handhavend op te treden.

De stichting KDVP heeft Vrijbit in deze beide procedures bijgestaan tijdens de hoorzittingen bij de AP op 15-3-2016. De AP zal na de hoorzitting binnen een termijn van 6 weken een besluit nemen. Indien zij afwijzend zouden besluiten, staat een gang naar de rechter open.

Hier kunt de notitie over het DIS en tevens de notitie over de Gedragscode vinden. Beide notities zijn op de hoorzitting door onze stichting KDVP gepresenteerd.

Gepubliceerd: 13 maart 2016

Op www.zorgictzorgen.nl is op 24-2-2016 een artikel geplaatst van de hand van Wim J. Jongejan ( niet praktiserend huisarts) waarin wordt beschreven hoe de Autoriteit Persoonsgegevens als toezichthouder een actief beleid voert waar het kleine privacyzaken betreft, maar wegkijkt en een laissez-faire houding aanneemt als het over grote privacyzaken gaat.

En helaas blijft het hier niet bij! De AP gaat regelmatig nog een stap verder door de overheid tegemoet te komen met het advies om nieuwe wetgeving te maken, zodat daarmee de grote privacyschendingen “opgelost worden”.

Hier is het artikel getiteld “Verbieden Wattsapp bij artsen klein bier voor in grote privacyzaken stille Autoriteit persoonsgegevens” van Wim Jongejan  te lezen.

Gepubliceerd: 04 maart 2016

Deze verwerking is onrechtmatig omdat de procedures vastgelegd in de Gedragscode Zorgverzekeraars nog steeds niet zijn aangepast aan de uitspraak van de Rechtbank Amsterdam uit 2013.

In reactie op het besluit dd 8-2-2016 van de AP (voorheen CBP) op ons handhavingsverzoek dd 2-3-2015, heeft de KDVP formeel bezwaar aangetekend tegen deze beslissing van de AP.

In ons nieuwsbericht dd 25-1-2016 (zie hieronder!) berichtten wij u al dat de AP naar aanleiding van dit handhavingsverzoek van de KDVP onderzoek heeft gedaan naar praktijken van zorgverzekeraars die ondanks afgifte van een privacyverklaring alsnog om documenten of brieven vragen waarin diagnose-informatie is opgenomen.

De AP heeft echter nagelaten om zorgverzekeraars aan te spreken op het onrechtmatig verwerken van medische persoonsgegevens nu procedures beschreven in de Gedragscode Zorgverzekeraars niet zijn aangepast nadat de Rechtbank Amsterdam in 2013 heeft geoordeeld dat deze procedures geen juiste uitwerking vormen van de Wet Bescherming Persoonsgegevens (WBP) en het Europees Verdrag voor de Rechten van de Mens (EVRM).

En dat terwijl de rechtbank Amsterdam nog eens nadrukkelijk heeft geconstateerd dat het bij uitstek aan het AP is om er op toe te zien dat verwerkingsprocedures van zorgverzekeraars een juiste en effectieve uitwerking vormen van regelgeving en rechterlijke uitspraken.

 

Hier kunt u het formele bezwaarschrift dd 26-2-2016 van de KDVP vinden.

Gepubliceerd: 25 januari 2016

Stichting KDVP heeft in een brief dd 2-3-2015 aan de AP (vanaf 1-1-2016 Autoriteit Persoonsgegevens en voorheen CBP) een verzoek gestuurd tot handhavend optreden jegens ZN (Zorgverzekeraars Nederland) en de zorgverzekeraars. In onze brief vragen wij opnieuw aandacht voor het feit dat er in de praktijk bij gebruikmaking van een privacyverklaring toch door zorgverzekeraars om inhoudelijke, diagnostische informatie wordt gevraagd als voorwaarde tot uitbetaling van de declaratie. Ondanks aanlevering van de NZa privacyverklaring op basis van de opt-outregeling eisen zorgverzekeraars vaak ten onrechte dat de verwijsbrief met daarin de vermoedelijke diagnose ofwel het behandelplan inclusief diagnose van de hulpverlener wordt opgestuurd.

Op dit handhavingsverzoek van de KDVP zegt de AP via een brief dd 14-12-2015 dat zorgverzekeraars door het AP zijn aangesproken op deze praktijken en hebben laten weten dat “voorzover er al werd gevraagd naar behandelplan en diagnose informatie uit de verwijsbrief bij verzekerden met een privacyverklaring, dit naar aanleiding van het inlichtingenverzoek van het CBP is gestaakt”.

Tenslotte belooft de AP in ditzelfde schrijven dat zij een nieuw onderzoek zullen starten indien blijkt dat zorgverzekeraars in dezelfde fout vervallen en wederom inhoudelijke, diagnostische informatie opvragen bij gebruikmaking van een privacyverklaring op basis van de opt-outregeling. Dit betekent dat wij de AP moeten voorzien van informatie als zorgverzekeraars opnieuw in de fout gaan, zodat de AP een nieuw onderzoek kan starten ingeval van onterechte praktijken van zorgverzekeraars.

De KDVP heeft naar aanleiding van deze belofte van de AP twee standaardbrieven opgesteld; de ene kan door de cliënt worden gebruikt om naar de verzekeraar te sturen en de andere door de hulpverlener in het geval dat de zorgverzekeraar ondanks privacyverklaring niet wil uitbetalen tenzij toch inhoudelijke, diagnostische informatie wordt doorgegeven.

Hier kunt u de standaardbrief voor de cliënt en de standaardbrief voor de behandelaar zien in pdf-formaat. U kunt zelf een kopie van het verzoek om diagnostische informatie door de verzekeraar aan de AP toesturen.

Download hier de brief voor de cliënt in Word

Download hier de brief voor de behandelaar in Word

Maar vooral doen wij het dringende verzoek om zulke “overtredingen” door zorgverzekeraar in elk geval aan de KDVP te melden, zodat wij alle voorbeelden van dergelijke praktijken kunnen verzamelen en de AP kunnen waarschuwen en aanspreken, opdat zij opnieuw een onderzoek starten.