In Groot-Brittannië mogen medische gegevens uit het Britse elektronisch patiëntendossier binnenkort worden doorverkocht aan private partijen die deze data gebruiken om ‘de zorg te verbeteren’, zo viel vorige maand in The Guardian te lezen. Deze gegevens worden weliswaar gepseudonimiseerd, maar dat vormt geen garantie dat deze informatie niet meer herleidbaar is tot een persoon. Gecombineerd met andere (medische) data is het volgens de beheerder van het Britse EPD ‘theoretisch’ mogelijk dat bedrijven een specifiek persoon aan de gepseudonimiseerde gegevens kunnen koppelen.
Patiënten hebben weinig vertrouwen
Patiënten hebben zich stevig uitgesproken tegen het plan, wijzend op de gevoeligheid van medische informatie. Het is volgens de patiëntenorganisatie medConfidential een grote vrees van patiënten dat hun gegevens voor commerciële doeleinden gebruikt worden en uiteindelijk onder ogen komen van partijen als werkgevers en verzekeraars. De patiënt heeft namelijk geen zicht op wat er met zijn gegevens gebeurt nadat deze bij het EPD ‘de deur uit’ zijn. Er is daarbij weinig vertrouwen in het pseudonimiseren van deze gegevens:
‘Rather than prevent this, the care.data scheme is deliberately designed so that ‘pseudonymised’ data – information that can be re-identified by anyone who already holds information about you – can be passed on to ‘customers’ of the information centre, with no independent scrutiny and without even notifying patients. It’s a disaster just waiting to happen.’
De Nederlandse situatie
Met de ontwikkelingen omtrent de invoering van een elektronisch patiëntendossier in ons land – een door de Eerste Kamer weggestemd EPD dat in private vorm (LSP) doorstart kreeg, maar tot op de dag van vandaag veel privacyzorgen baart – roept het nieuws uit Groot-Brittannië de vraag op hoe realistisch dit scenario in Nederland is.
Het Nederlandse LSP is vooralsnog niet toegankelijk voor zorgverzekeraars. Volgens de huidige wetgeving zijn in principe uitsluitend zorgverleners die bij een behandeling betrokken zijn, gerechtigd om het medisch dossier van een patiënt bij een andere zorgverlener in te zien via het LSP. Voor iedere persoon of organisatie die niet is aangemerkt als zorgverlener, is het EPD verboden terrein.
UZI-pas
Het Nederlandse LSP is daarmee “slechts” toegankelijk voor een paar honderdduizend zorgverleners met een zogeheten UZI-pas. Organisaties en personen die niet kunnen beschikken over een UZI-pas kunnen in Nederland via het LSP geen medische informatie opvragen.
Het EPD is echter niet het enige landelijke informatiesysteem met medische gegevens van Nederlandse burgers. Er bestaat sinds tien jaar een andere grote databank met medische gegevens, waaruit net als bij het Britse EPD gepseudonimiseerde medische gegevens worden verstrekt aan tal van organisaties en instellingen. Ook hierbij is sprake van flinke privacybezwaren met betrekking tot de herleidbaarheid van deze gegevens.
Het andere EPD
Zorgverleners in Nederland zijn verplicht om op de declaratiefactuur aan de zorgverzekeraar een variëteit aan behandelinformatie aan te leveren. Deze informatie gaat tegelijkertijd in gepseudonimiseerde vorm naar een landelijke database, het zogeheten DBC-Informatiesysteem (DIS), opgericht in 2004. Het DIS bevat daarmee informatie over alle bij verzekeringen gedeclareerde zorgbehandelingen in Nederland.
Het DIS bevat daarmee ook informatie over het bestaan van gezinsproblemen, drank en drugsgebruik, financiële problemen en problemen met politie en justitie.
Om wat voor informatie gaat het concreet? Allereerst moet de zogeheten DBC (Diagnose Behandel Combinatie), een administratieve code die een diagnose en de bijbehorende behandeling weergeeft, worden aangeleverd. Bij behandelingen in de geestelijke gezondheidszorg wordt bij het DIS ook informatie aangeleverd over psychosociale en omgevingsfactoren, voorzien van een waardering die de ernst van deze factoren weergeeft. Het DIS bevat daarmee ook informatie over het bestaan van gezinsproblemen, drank en drugsgebruik, financiële problemen en problemen met politie en justitie. Deze informatie moet sinds 1 januari 2014 ook worden verwerkt in de zorgvraagzwaarte informatie die zorgverleners verplicht moeten gaan aanleveren bij zorgverzekeraars.
Het DIS wordt beheerd door een organisatie genaamd DBC-onderhoud. Onlangs is besloten dat het functioneren daarvan geheel valt onder de verantwoordelijkheid van de NZa, de marktmeester van de zorg. Het doel van de gegevensverzameling in het DIS is door middel van statistische analyse meer zicht en daarmee grip krijgen op zorgkosten.
DIS verzorgt data-uitleveringen
‘Door DIS wordt het medisch handelen en de bekostiging daarvan transparanter. Daarnaast is DIS van belang voor het monitoren van marktontwikkelingen en de ontwikkeling en het onderhoud van het DBC-systeem’, zo valt te lezen op de website van het DIS. (update okt 2019: deze website bestaat niet meer. Actuele informatie over de DBC systematiek kunt u hier lezen). ‘DIS zorgt voor een veilig beheer en verzorgt wettelijke data-uitleveringen aan een vijftal publieke afnemers. Na toestemming van de data-eigenaren kan DIS ook informatie leveren aan derden, bijvoorbeeld voor beleids- of wetenschappelijk onderzoek.’
Minister Edith Schippers van Volksgezondheid beantwoordde in mei 2012 Kamervragen van SP-Kamerlid Renske Leijten, die de minister vroeg hoeveel personen toegang hebben tot het DIS, en hoeveel daarvan niet gebonden zijn aan het medisch beroepsgeheim. De minister antwoordde daarop:
Maar over de vraag of de medische gegevens in het DIS daadwerkelijk niet te herleiden zijn naar een persoon bestaan gegronde twijfels.
DIS-gegevens zijn gepseudonimiseerd, het is daarom niet mogelijk tot personen te herleiden gegevens uit het DIS te herleiden. Het medisch beroepsgeheim en medisch tuchtrecht zijn dan ook niet van toepassing op deze gegevens. Over het exacte aantal mensen dat van de verschillende betrokken partijen toegang heeft tot deze gegevens heb ik geen gegevens.
Maar over de vraag of de medische gegevens in het DIS daadwerkelijk niet te herleiden zijn naar een persoon (en daarmee juridisch niet als persoonsgegevens gelden) bestaan gegronde twijfels. Evenals in Groot-Brittannië kan de gepseudonimiseerde informatie in het DIS door koppeling aan informatie in andere bestanden in theorie vrij eenvoudig worden herleid tot personen. Dit is mogelijk wanneer deze informatie gekoppeld wordt aan gegevens die elders al bekend zijn over een persoon. Dat stelt Platformdeelnemer KDVP op basis van een uitvoerige analyse van de wijze van de pseudonimisering in het DIS ((Zie voor een uitgebreide versie van deze analyse hoofdstuk 3.2 in dit Visiedocument van Stichting KDVP [pdf])).
Herleiding door middel van ontoereikende pseudonimisering
Dit komt door de wijze waarop de gegevens in het DIS zijn versleuteld; de pseudonimisering bestaat uit de versleuteling van de naam, geboortedatum, postcode, geslacht en Burgerservicenummer van de in het DIS opgeslagen behandelinformatie. De informatie over diagnose, behandeling, medicatie, psychosociale factoren en omgevingsfactoren wordt echter niet versleuteld, evenmin als de begin- en einddatum van behandelingen, de behandelaar in kwestie en de verzekeraar waarbij de behandelkosten zijn gedeclareerd.
De naam van de persoon staat niet bij de behandelinformatie, maar alle bij één persoon uitgevoerde behandelingen staan wel aan elkaar gekoppeld.
Daarbij eist de systematiek van het DIS dat verschillende behandelingen moeten kunnen worden gekoppeld aan één persoon. Met andere woorden, de naam van de persoon staat niet bij de behandelinformatie, maar alle bij één persoon uitgevoerde behandelingen staan wel aan elkaar gekoppeld.
Zo is het in de praktijk zeer wel mogelijk om op basis van bijvoorbeeld de begin- en einddatum van een behandeling, de betreffende verzekeraar en de diagnose- en behandelinformatie in DBC’s, een match te maken met informatie die op dat moment al aanwezig is bij zorgverzekeraars of andere organisaties die beschikken over gegevens in de gepseudonimiseerde persoonsdossiers van het DIS. Op die wijze valt deze informatie, indirect, te koppelen aan individuele personen. In het verlengde van deze herleidingsmogelijkheden zou het zelfs mogelijk zijn om de encryptieformule te kraken.
Persoonsgegevens als grootkapitaal in het Informatietijdperk
Het op grote schaal opslaan van medische persoonsgegevens bij zorgverzekeraars en in de landelijke database DIS leidt al sinds de invoering van het DBC-systeem tot veel weerstand onder zorgverleners. Niet alleen vormt de verplichte aanlevering van medische gegevens door zorgverleners een structurele inbreuk op het beroepsgeheim en de privacy van patiënten, ook trekken zorgverzekeraars steeds meer sturingsmacht naar zich toe nu ze over steeds meer informatie kunnen beschikken.
Dat laatste benadrukt Ab van Eldijk, voorzitter van Platformdeelnemer Stichting KDVP in een analyse die onlangs op deze site verscheen. Van Eldijk wijst op een fenomeen dat hij resource grabbing noemt; het op grote schaal vergaren en in bezit nemen van nieuwe, nog niet toegeëigende hulpbronnen. Het is een proces dat leidt tot een fundamentele herverdeling van de economische en bestuurlijke macht.
Partijen die in de eerste fase van deze ontwikkeling toegang weten te krijgen tot cruciale informatie, weten zowel financieel-economische als (semi-) publieke sturingsmacht op te bouwen.
In de 16e eeuw vond een dergelijke ontwikkeling plaats in de Britse landbouw. Toen landbouwgronden interessant bleken voor commerciële producties, werden gemeenschappelijke gronden afgebakend en tot individueel bezit gemaakt, wat leidde tot veel verzet onder boeren. Deze ontwikkeling veroorzaakte een fundamentele wijziging van de machtsverhoudingen in de samenleving.
In de huidige informatiemaatschappij, waarvan we op dit moment de beginfase meemaken, is Big Data die nieuwe hulpbron. Met de ontwikkeling van informatietechnologie is het mogelijk geworden om op grote schaal informatie te verzamelen, op te slaan en selectief uit te lezen. Partijen die in de ongereguleerde eerste fase van deze ontwikkeling op grote schaal toegang weten te krijgen tot cruciale informatie, weten snel zowel financieel-economische als (semi-)publieke sturingsmacht op te bouwen.
Data grabbing
In plaats van het toe-eigenen van landbouwgronden, richten partijen zich anno 2014 op data, het goud van het informatietijdperk. Van Eldijk noemt het data grabbing, het verzamelen van zoveel mogelijk data, in het bijzonder persoonsgegevens. Zowel de (semi-)overheid als zorgverzekeraars in Nederland hebben in de afgelopen jaren enorme hoeveelheden medische gegevens kunnen verzamelen door zorgverleners te verplichten tot de aanlevering van diagnose-informatie en behandelgegevens, gekoppeld aan psychosociale en omgevingsinformatie.
Het is een ontwikkeling die stichting KDVP middels beroepsprocedures probeert tegen te gaan. In de rechtszaak die de stichting in 2012 voerde tegen de NZa, gaat Van Eldijk in zijn pleitnotitie [pdf] in op de grote hoeveelheid macht die zorgverzekeraars via hun contracteerbeleid uitoefenen op de zorgverleners wiens behandelingen ze vergoeden, en de hoeveelheid medische persoonsgegevens die zorgverzekeraars daarbij kunnen opeisen.
Gedetailleerde diagnose-informatie
Het contracteerbeleid stelt zorgverzekeraars in de positie om het aanleveren van gedetailleerde diagnose-informatie als harde voorwaarde te stellen aan zorgverleners. Doen zorgverleners dat niet, dan wordt er geen contract afgesloten en hebben zorgverzekeraars de mogelijkheid om zorgverleners extra te korten op vergoeding van de geleverde zorg.
Deze verplaatsing van publieke sturingsmacht naar het contracteerbeleid van zorgverzekeraars wordt gesteund door de minister van Volksgezondheid. Zij heeft het onlangs mogelijk gemaakt dat zorgverzekeraars tot 100 procent korten op een vergoeding van niet gecontracteerde zorg die wordt verleend op basis van restitutie. Met dit beleid steunt de minister het selectieve contracteerbeleid van zorgverzekeraars dat verplicht tot steeds gedetailleerdere digitale informatie-uitwisseling.
Noch de minister noch beroeps- en patiëntenorganisaties leggen zorgverzekeraars daarbij iets in de weg, stelt Van Eldijk: ‘Met groot gemak wordt de controle over uitwisseling en gebruik van medische persoonsgegevens ingeleverd in onderhandelingen over kostenbeheersing, tarieven, kwaliteit en hoofdbehandelaarschap.’
Centrale sturingsmacht bij zorgverzekeraars
Hiermee is de centrale sturingsmacht in de zorg komen te liggen bij zorgverzekeraars, die zijn uitgegroeid tot de dominante partij in de zorgsector ten koste van de publieke sturing van de zorg en de positie van patiënten en zorgprofessionals.
Beroepsorganisaties en overheid zouden zich moeten realiseren dat door zorgverzekeraars zoveel informatie te laten toe-eigenen, de machtsbalans wezenlijk verschuift. ‘Zodra zorgverzekeraars de beschikking hebben over alle informatie, wordt het voor hen mogelijk om als dominante partij in de zorg exclusieve sturingsmacht uit te oefenen’, waarschuwt Van Eldijk.
Dit artikel van Ronald Huissen, redacteur van het Platform Burgerrechten, is eerder gepubliceerd op de site van het platform.
Foto: Flickr/UnTapping the World/CC By 2.0
In aanvulling hierop: Het Centraal Bureau voor de Statistiek CBS krijgt de sleutel waarmee het DIS-gegevens tot personen kan terugbrengen. Zie http://www.enrgin.nl/xdata/devrijepsych/Downloads/CBP100106.pdf.
Zie voor verdere aspecten van DIS http://www.enrgin.nl/xdata/devrijepsych/Downloads/Addendum%20bij%20hoofdstuk%204%20van%20het%20beroepschrift.pdf