25/09/2017 06:30

Met psycholoog of psychiater uitgewisselde gegevens niet meer veilig dankzij ROM benchmark

1 op de 4 Nederlanders heeft jaarlijks te kampen met psychische problemen. Een groot deel van deze mensen laat zich hiervoor behandelen bij een psycholoog of psychiater en wordt direct of indirect geconfronteerd met ROM-vragenlijsten. ROM staat voor Routine Outcome Measurement en omvat gegevens van patiënten die GGZ instellingen en vrijgevestigde psychologen/psychiaters verzamelen en op grond van de Wet kwaliteit, klachten en geschillen zorg verplicht moeten aanleveren aan de Stichting Benchmark GGZ (SBG). Deze stichting wordt gefinancierd door zorgverzekeraars en zij zijn erg geïnteresseerd in de informatie die de wetenschappelijk discutabele methodiek oplevert. Het verzamelen en verwerken van al deze data mag dan ook wat kosten. Naar schatting kost het project zo’n 30 miljoen per jaar, betaald van jouw premie.

Datahonger
In 2017 verzamelde SBG de gegevens van ongeveer 85% van de patiënten met psychische problemen, dit moet in 2018 toenemen tot 100%. Na het ontvangen van de data maakt SBG rapportages over de prestaties van behandelaars en instellingen en geeft daarmee instellingen en zorgverzekeraars inzicht in de behandeleffecten. Ook worden zorgverleners met elkaar vergeleken, de zogenaamde benchmark. De gegevens die SBG ontvangt zijn zeer gevoelige gegevens zoals bijvoorbeeld een diagnose (dus ook alcoholverslaving of pedofilie) maar ook antwoorden op zeer intieme vragen.

Kritiek
Er is veel kritiek op het verstrekken van ROM-gegevens aan SBG. Voor alle duidelijkheid: het gaat om het aanleveren van de ROM-data aan SBG en niet om het rommen zelf. Deze kritiek is zo fors dat LVVP (landelijke vereniging van vrijgevestigde psychologen en psychotherapeuten) en GGZ Nederland aangesloten zorgverleners opriep om geen ROM-data te verstrekken aan SBG. Een groot deel van de behandelaars is van mening dat de gegevens van patiënten te weinig beschermd zijn. Ondanks dat alle data gepseudonimiseerd zijn vrezen zij dat gegevens vrij snel herleidbaar kunnen worden en hierdoor dus inzichtelijk kunnen worden voor zorgverzekeraars. Ook wordt er door veel behandelaars en critici getwijfeld aan de wetenschappelijke benadering van de gegevensverwerking.

In dit essay, geschreven door onder meer hoogleraar psychiatrie Jim van Os, staat te lezen: “Beschouwing leert dat benchmarken op basis van ROM-data in Nederland, zoals voorgesteld door SBG en zorgverzekeraars, wetenschappelijke noch medisch-ethische toetsing kan doorstaan. De voornaamste problemen zijn: bias, confounding, mix van gebruikte instrumenten, lage sensitiviteit en het vergroten van de kosten in de ggz door onnodige en omstreden copyrightuitgaven aan commerciële partijen.” Maar daar blijft het niet bij. Volgens de Algemene Rekenkamer is het onmogelijk om met behulp van ROM-data de kwaliteit van instellingen en behandelaars te vergelijken omdat de methodologie volgens hen niet deugt. De kritiek is niet mals en komt niet van de minsten.

Patiënten
Patiënten weten nauwelijks wat er met hun gegevens gebeurt en zijn zich niet bewust van de mogelijke gevolgen hiervan op lange termijn. De meeste van hen denken dat de gegevens die ze verstrekken binnenskamers blijven terwijl dit niet het geval is. Het is niet uit te sluiten dat zorgverzekeraars in de nabije toekomst toegang krijgen tot de uiterst gevoelige ROM-informatie. Laat ik buiten beschouwing laten wat de gevolgen zullen zijn wanneer zorgverzekeraars te maken krijgen met een hack of een datalek en deze gevoelige gegevens op straat komen te liggen. Dit is anno 2017 een zeer reële dreiging.

Tel daarbij op dat zorginstellingen vaak te kampen hebben met datalekken. De Autoriteit Persoonsgegevens meldde eind 2016 dat 29 procent van alle in 2016 gemelde datalekken afkomstig waren van organisaties die actief zijn in de gezondheidszorg. Volgens KPMG een opvallende en schrikbarende trend. In 2017 werd bekend dat het overgrote deel van de zorgwebsites geen gebruik maakt van beveiligde verbindingen.

Privacy-toezichthouders op zowel Europees als nationaal niveau geven aan dat pseudonimiseren van patiëntendata absoluut niet afdoende is om te spreken van een veilige bescherming van gegevens. Met de mogelijkheid van koppeling aan andere databestanden wordt al rekening gehouden. Het wordt voor zorgverzekeraars dan wel heel makkelijk om inzicht te krijgen in zeer intieme gegevens.

De afdeling psychiatrie van het Universitair Medisch Centrum in Maastricht onderzocht de situatie en vroeg aan honderd patiënten of ze het goed zouden vinden als hun gegevens zouden worden gedeeld met SBG. 70% van de patiënten reageerden negatief. De afdeling van dit ziekenhuis besloot vervolgens te stoppen met het aanleveren van ROM-data aan SBG ondanks het feit dat dit sinds 1 januari 2017 een wetsovertreding is. Niet meewerken kan voor een zorginstelling verstrekkende gevolgen hebben. De instelling loopt het risico dat de Inspectie voor de Gezondheidszorg langskomt en zorgverzekeraars kunnen per 1 januari 2018 het vergoeden zelfs volledig weigeren.

Bijzondere gegevens
ROM-data die naar SBG gaan zijn volgens het standpunt van Europese privacy-toezichthouders ondanks pseudonimisering te beschouwen als bijzondere persoonsgegevens. Dit brengt met zich mee dat patiënten in alle vrijheid een expliciete toestemming moeten verlenen. In de praktijk gebeurt dit niet of zeer zelden. Er zijn zelfs gevallen bekend waar patiënten worden gedwongen om mee te werken aan het invullen van ROM-lijsten op straffe van een boete als ze dit niet doen. Zo legde Centiv BasisGGZ onlangs een voorwaardelijke boete op toen een patiënt de lijst niet invulde.

Onderstaande overzicht laat je zien welke gegevens verzameld worden.

  • Versleutelde BSN
  • Sociaal economische status
  • Urbanisatiegraad
  • Geboorteland ouders (omgezet in herkomstcategorie)
  • Geboortejaar
  • Geslacht
  • Opleidingsniveau
  • Leefsituatie
  • Zorgaanbieder
  • Begin- en einddatum DBC
  • Primaire diagnosecode
  • DBC-prestatiecode
  • Zorgdomein
  • GAF-score
  • Reden einde DBC
  • ROM-vragenlijsten

Weigeren?
Wil je niet dat jouw gegevens worden gedeeld met SBG, download dan dit formulier en dit formulier, vul deze in en geef het aan je behandelaar. Het niet invullen van ROM-lijsten mag geen gevolgen hebben voor je behandeling of de vergoeding hiervan.

Referenties
• Stop benchmark met Rom. Geraadpleegd op 18 augustus 2018, van https://www.stopbenchmark.com/
• Os, J. van et al. (2012). Rom: gedragsnorm of dwangmaatregel? Tijdschrift voor psychiatrie 54(2012)3, 245-253
• Landelijke vereniging van vrijgevestigde psychologen en psychotherapeuten. Geraadpleegd op 18 augustus 2018, van https://www.lvvp.info/
• Stevens, J. (2017, 14 februari). Zorgverzekeraar dwingt GGZ-instelling medische data te delen. Geraadpleegd op 17 augustus 2017, van https://www.ftm.nl/artikelen/zorgverzekeraar-dwingt-ggz-instelling-medische-data-te-delen?share=1

Over Selwyn Donia 44 Artikelen
Ondernemer | Uitgever Rechtblog.nl | Wetenschap | (Arbeids)recht | Ex-DJ | Boekverslaafd | Statistiek & onderzoek | Kritische burger | Libido sciendi

Geef gerust je mening!

2 Reacties op "Met psycholoog of psychiater uitgewisselde gegevens niet meer veilig dankzij ROM benchmark"

Houdt mij op de hoogte van
avatar
Sorteren::   Nieuwste | Oudste
Harco
Harco

Gemakshalve gaat GGZ Nederland er volkomen aan voorbij dat de ROM-data die tot nu toe in de SBG-database verzameld zijn, wederrechtelijk zijn verkregen. Dat betekent het als er geen wettelijke grondslag voor is. De opgeslagen ROM-data dienen dus verwijderd te worden uit de databases en de Autoriteit Persoonsgegevens dient hier op toe te zien en handhavend op te treden, bijv. door het doen plaatsen van controle-software bij SBG.

j.berkelaar
j.berkelaar

Beste Harco,

Ik heb op 24 maart een handhavingsverzoek ingediend bij de Autoriteit Persoonsgegevens (AP) tegen Stichting Benchmark GGZ (SBG). Ik heb de AP verzocht het verzamelen en verwerken van bijzondere persoonsgegevens in de databank van SBG zo spoedig mogelijk op te schorten en toe te zien op de vernietiging per direct van de gegevens in de databank. Ook heb ik aangegeven dat er toezicht dient plaats te vinden op hernieuwde wederrechtelijke vulling van de databank. Inmiddels is er een onderzoek gestart door de Autoriteit Persoonsgegevens en zijn er tientallen vragen gesteld aan Stichting Benchmark GGZ.

De directeur van GGZ Nederland heb ik ook recent twee brieven geschreven over de ROM. Op mijn eerste brief heb ik een reactie ontvangen. Ik hoop binnenkort een reactie te krijgen op mijn twee brief.
Alle informatie is terug te vinden op de website: http://www.stopbenchmark.com

wpDiscuz