Co-auteur: werkstudent Sanne van Esterik
De Tweede Kamer heeft zich eind november 2022 uitgesproken tegen gegevensverzameling door de Nederlandse Zorgautoriteit (‘NZa’). De NZa ontvangt sinds 1 juli dit jaar persoonsgegevens van 800.000 ggz-patiënten. Het gaat om informatie over gedeclareerde zorgprestaties inclusief de informatie die bij de declaratie op de factuur moet worden vermeld. Denk daarbij aan het gekozen zorgvraagtype en de diagnosehoofdgroep. Psychiaters, psychologen en andere zorgverleners zijn momenteel verplicht om deze informatie aan de toezichthouder aan te leveren.
Vanaf 1 januari 2023 zouden psychologen, psychiaters en andere zorgverleners verplicht worden (meer) persoonlijke informatie van patiënten aan de NZa door te geven. De Autoriteit Persoonsgegevens (‘AP’) heeft nu ook een oordeel geveld over deze nieuwe wetgeving.
Het gaat om een vragenlijst die een behandelaar over zijn patiënt invult, de zogenoemde HoNOS+-vragen (Health of the Nation Outcome Scales) en enkele andere gegevens. In deze vragenlijst staan onder meer vragen met betrekking tot informatie over psychiatrische aandoeningen, gedragsproblemen en verslavingen. Deze gegevens zijn niet direct herleidbaar naar de patiënt en worden gepseudonimiseerd opgeslagen, maar de NZa beschikt wel over datasets om herleidbaarheid mogelijk te maken. Deze gegevensverzameling gaat volgens de Tweede Kamer te ver, ook al zou het ten behoeve van het inzicht op de toekomstige zorgbehoefte zijn. De antwoorden op de HoNOS+-vragen zeggen namelijk veel over de psychische aandoening van een patiënt. De Tweede Kamer schaart zich – door het stemmen voor de motie – unaniem achter het protest van psychiaters en psychologen tegen de dataverzameling van de NZa.
De motie houdt (kort gezegd) in dat er geen persoonsgegevens worden opgevraagd of ontvangen door de NZa bij de dataverzameling vanwege de privacygevoeligheid. De Tweede Kamer vreest namelijk voor een datalek of misbruik van de (persoons)gegevens, waarbij iemands meest persoonlijke informatie op straat kan komen te liggen.
Eén van de doelstellingen van de NZa is om de zorg betaalbaar te houden. In het kader is het zogeheten zorgprestatiemodel ontwikkeld. Op basis van data wil de NZa meer zicht krijgen op de toekomstige zorgvraag. Daarvoor stelt de NZa uitgebreide datasets van patiënten nodig te hebben. Daarnaast worden de patiëntgegevens volgens de NZa versleuteld en is de herleidbaarheid tot personen tot een minimum beperkt. Volledige zeggenschap voor de patiënt ontbreekt echter. De gegevens zullen namelijk zonder toestemming worden gedeeld. Een patiënt kan wel bezwaar maken tegen het delen van zijn/haar gegevens door een privacyverklaring bij de zorgverlener in te vullen. Het is alleen de vraag in hoeverre patiënten momenteel op de hoogte zijn van deze verstrekking en hun rechten in dit kader.
De AP heeft een adviesfunctie bij nieuwe wet- en regelgeving met privacyimpact. Zo heeft privacytoezichthouder ook advies gegeven over de betreffende nieuwe wetgeving. Met aan aantal aanpassingen is het oordeel positief: de NZa mag gegevens niet koppelen aan andere datastromen binnen de NZa; gegevens moeten na twee jaar verwijderd worden; en de gegevens worden eenmalig over één jaar uitgevraagd. De verwerking is volgens de AP nodig voor de verdere ontwikkeling van de zorgvraagtypering en het daarmee gemoeide maatschappelijk belang.
De motie die de Tweede Kamer heeft aangenomen is aangepast zodat de nieuwe regelgeving in lijn met het advies van de AP moet zijn. Per 1 juli 2023 zal de gegevensaanlevering daarom gaan plaatsvinden. Zorgaanbieders hebben dan tot 1 september volgend jaar om de gegevens aan te leveren.
Meer lezen over Zorg en ICT? Lees verder:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.