Hardnekkige misverstanden over privacy in de geestelijke gezondheidszorg
ArrayDe recente berichtgeving in Vrij Nederland over privacyaspecten van declaraties in de geestelijke gezondheidszorg (GGZ) bevat een aantal pertinente onjuistheden. Beweringen dat gegevens van patienten uit het DIS (DBC Informatie Systeem) ongelimiteerd ter beschikking van instanties zouden staan en zelfs verkocht worden, zijn volledig ongegrond. Ook wordt de wijze waarop zorgverzekeraars met de gegevens van hun klanten omspringen op een manier neergezet die op geen enkele wijze overeenkomt met de werkelijke situatie.
Zorgverzekeraars gaan zeer zorgvuldig om met privacygegevens van hun klanten en mogen deze in geen geval voor ander gebruik doorsturen naar andere verzekeraars. Zorgverzekeraars hebben hiervoor een gedragscode en handelen daarnaar. Gegevens doorsturen gebeurt niet, tenzij dat vanuit de wet verplicht is.
De onjuiste weergave van privacy in de GGZ is tendentieus, feitelijk onjuist en schaadt de belangen van patienten en burgers. Alle burgers in Nederland hebben baat bij een financieringssysteem waarbij het duidelijk is welke producten tegen welke kwaliteit en prijs worden geleverd. Zonder een dergelijk systeem wordt de gezondheidszorg in Nederland onbetaalbaar.
Patienten, niet alleen in de GGZ, maar ook in de somatische zorg hebben recht op een correcte berichtgeving over data van hun behandelingen, die er niet op gericht is hen ongefundeerde angsten aan te praten vanuit het perspectief en de belangen van een kleine minderheid van een bepaalde beroepsgroep.
Hoe zit het nu eigenlijk echt met het DIS?
Persoonlijke gegevens van een patient – zoals naam, adres en woonplaats – mogen op basis van de Wet op de Bescherming Persoonsgegevens (WBP) niet naar DIS worden verzonden en niet in DIS worden opgeslagen. Uitzondering hierop zijn: eerste vier cijfers van de postcode, landcode, geboortejaar en geslacht. Om te zorgen dat DIS aan de WBP voldoet, moeten de patientgegevens gepseudonimiseerd worden aangeleverd.
Pseudonimiseren
Pseudonimiseren wil zeggen dat de gegevens middels een algoritme (hashing) tot een onleesbare reeks omgevormd worden. Deze reeks is niet terug te herleiden tot de originele gegevens. Ook kunnen de gegevens niet gekoppeld worden aan een individuele patient.
Verspreiding
De levering van gegevens uit het DIS zijn strikt gereguleerd op basis van wetgeving en protocollen. Naast de teruggave van de data aan de zorgaanbieders verspreidt DIS alleen informatie over DBC’s aan afnemers die de informatie nodig hebben voor de uitvoering van hun wettelijke taken. Dit is een beperkt aantal afnemers:
• de Nederlandse Zorgautoriteit (NZa), die toezicht houdt op de zorgmarkt en de DBC’s in de GGZ onderhoudt;
• het College voor Zorgverzekeraars (CVZ) met haar taken voor pakketbeheer, budgettering van verzekeraars en fondsbeheer;
• andere afnemers zijn VWS, het CBS en Stichting DBC-Onderhoud.
Iedere afnemer krijgt alleen data die voor de betreffende taak van de afnemer noodzakelijk is en die op geen enkele wijze gekoppeld is aan een individuele patient. Ook heeft iedere afnemer geheimhoudingsplicht aangaande de data. Op het hanteren van wetgeving en protocollen bij de verspreiding van DIS-gegevens wordt toegezien door een onafhankelijke Commissie van Toezicht. Voor dit toezicht wordt jaarlijks door een derde partij een audit uitgevoerd. Met al deze maatregelen wordt strikt toegezien op de verspreiding van de DBC-informatie en wordt geborgd dat er geen privacygevoelige informatie over patienten verspreid wordt.
Bron: DBC-Onderhoud &Â Zorgverzekeraars Nederland