Verplicht schenden van beroepsgeheim. Werkelijk?

Het is zover.

Op 30 augustus jongstleden hebben wij verplicht een NZa-webportaal aangemaakt voor onze praktijk. Nou ja, ‘wij’? Zeker niet. Mijn maat heeft het portaal aangemaakt. Omdat een behoorlijke dosis ICT-kennis en vaardigheden noodzakelijk aangewend moesten worden, waarover ik niet beschik. Ik vraag me af hoe de gemiddelde 60-plusser zonder zo’n maat dit allemaal doet…

Maar enfin, wij hebben een operationeel webportaal bij de NZa dus, net op tijd voor de deadline.

Het portaal is voor het verplicht aanleveren van patiëntendata, personalia, medische informatie, diagnoses, de zeer persoonlijke antwoorden van de HoNOS+ vragenlijst. Verplicht aanleveren, tenzij de cliënt ons dit verbiedt middels het tekenen van een privacyverklaring. Maar daar mogen wij zorgverleners de cliënten niet actief op attenderen…  

Verplicht aanleveren van data, in strijd met ons beroepsgeheim, data waarvan de anonimisering op zijn minst gezegd omstreden is en het doel, het vullen van een databank, op zijn zachtst gezegd ter discussie staat. Om nog maar niet te spreken over invalide concepten als zorgvraagtypering gemeten met een invalide meetinstrument als de HoNOS+.

Wat vooraf ging tot en met handhavingsprogramma en dwangsom

22 juni kregen we een automatisch gegenereerd bericht van het Zorgvraagtyperingsportaal van de NZa dat men voor ons een account heeft klaargezet waarmee we ‘vanaf 1 juli 2023 voor uw onderneming de gegevens zorgvraagtypering aan kunt leveren’. ‘Heeft u vragen?’, schreef de NZa vriendelijk. ‘We helpen u graag verder’.

Ja, we hebben vragen.

28 juni 2023

Beste NZa,

… vandaag zenden wij u een inhoudelijke reactie waarop wij antwoord behoeven alvorens aan uw verzoek te kunnen voldoen.  Wij hebben maanden geleden al een account bij u aangemaakt voor registratie van wachttijden. U verzoekt ons nu dat wij een account aanmaken voor de ZPM data-aanlevering (per 1 juli). Wij zijn geen ICT’er maar hebben ons wél zo veel mogelijk verdiept in o.a. het verschijnsel ‘API key’. Wij zijn gealarmeerd en ernstig bezorgd.

Toelichting: wij zijn per beroepseed gebonden aan ons beroepsgeheim en bij wet (AVG) verantwoordelijk voor de veiligheid van cliëntgegevens. U vraagt ons digitaal poorten open te zetten van al onze cliëntgegevens in ons EPD voor aanlevering van data aan u zonder dat wij vooraf kunnen controleren op correctheid van de aangeleverde gegevens of eventuele datalekkage.

Gebleken is dat anonimiseren van deze data niet bewezen is, in tegendeel…..

De privacy van onze cliënten en ons beroepsgeheim kunnen wij niet schenden door u digitaal toestemming te verlenen zonder dat wij van de NZa expliciet bewijs hebben ontvangen dat

de anonimiteit van de data voor 100% door u bewezen geborgd is dat data van een cliënt die een privacyverklaring heeft getekend gegarandeerd en bewezen niet automatisch met bijvoorbeeld een API key digitaal onze achterdeur uitvliegen.

U zult, als overheidsorgaan, begrijpen dat wij geen enkel risico willen en kunnen lopen om ons beroepsgeheim te schenden of de wet AVG te overtreden. De rechter zal hier over moeten oordelen. De lopende rechtszaak zal plaatsgevonden moeten hebben alvorens wij verdere stappen kunnen zetten…

Met vriendelijke groet,

18 juli 2023

Bericht van de NZa

‘U geeft aan zeker te moeten weten dat u de AVG en daarmee uw beroepsgeheim niet schendt bij het verstrekken van de gegevens van de zorgvraagtypering. We begrijpen uw zorgen. De uitvraag van deze gegevens moet inderdaad binnen de AVG-richtlijnen en daarom is dit punt extra getoetst door de Autoriteit Persoonsgegevens (AP).’

‘U stelt vragen over de veiligheid bij het opvragen van deze gegevens door middel van een API key…
De beveiliging die wij toepassen is volledig in lijn met strenge normen die voor de overheid gelden voor het mogen verwerken van persoonsgegevens.’

9 augustus 2023

Beste NZa, Hartelijk dank voor uw antwoord.

We zijn met uw antwoord niet overtuigd van de expliciete betrouwbaarheid en anonimiteit van de datagegevens en we willen expliciet geen risico met doorbreken van ons beroepsgeheim.

U draagt bronnen aan die de betrouwbaarheid en de anonimiteit van de data zouden garanderen maar inmiddels is gebleken dat die anonimisering niet bewezen is. U weet dat hier een rechtszaak over start in september. U heeft ons onvoldoende overtuigd van het betrouwbaar kunnen aanleveren van onze vertrouwde patiëntgegevens. Wij wachten de rechtszaak af voordat wij overgaan tot aanlevering, tenzij u andere bronnen overtuigend bewijs kunt overleggen aan ons.

10 augustus 2023

Bericht van de NZa

‘… willen wij u informeren dat de NZa een wettelijke basis heeft voor het opvragen van deze gegevens. Deze basis is zorgvuldig beoordeeld door de Autoriteit Persoonsgegevens, die zich positief heeft uitgelaten over de rechtmatigheid ervan in overeenstemming met de privacy- en beroepsgeheimwetgeving. Zorgaanbieders in de ggz of forensische zorg zijn verplicht om uiterlijk op 31 augustus 2023 de gegevens met betrekking tot zorgvraagtypering aan de NZa te verstrekken.

Dat er een rechtszaak loopt, verandert niets aan deze aanleverplicht. Mochten de gegevens niet vóór de gestelde deadline zijn ontvangen, dan zijn we genoodzaakt om passende handhavingsmaatregelen te nemen. Zorgaanbieders die niet tijdig aanleveren, worden opgenomen in ons handhavingsprogramma en kunnen worden geconfronteerd met een dwangsom…’

Het is een klucht waar niet om te lachen valt.

30 augustus jongstleden dus:

‘Oké Anja, het is gelukt, maar ik ben er een paar uur mee bezig geweest’.

‘O ja echt, was het zo’n klus joh.’

‘Ja, had ik ook niet verwacht bij een portaal van de overheid. Ik kon geen inloggegevens vinden, maar kwam erachter dat deze via de knop ‘wachtwoord vergeten’ diende te worden aangemaakt. Je zou denken, zet dan ‘inloggegevens aanmaken’ op die knop. Daarna moest ik een API key van het portaal afhalen die ik in mijn EPD moest zetten zodat ons EPD beveiligd kan communiceren met de webportaal. Ironisch dat Google Chrome deze API key ongevraagd onthoudt en later onbedoeld zichtbaar als inlognaam-suggestie presenteert in het ‘gebruikersnaam’-veld. Slordig. Zo kan iedereen op deze computer onze API key zien.’

‘Nee?!’

‘Ja.

Toen moest ik Intramed bellen en hoorde dat er zaken ‘niet goed stonden’, ook niet in de handleiding van de NZa, dat ik de AGB-code ergens anders moest invullen dan in het vakje met de naam ‘AGB-code’ en dat in dit vakje 00000000 moest worden ingevuld.’

‘De ICT bij de NZa rammelt dus behoorlijk.’

‘Ja… maar het is uiteindelijk gelukt. We hebben een webportaal bij de NZa en verplicht data aangeleverd. We kunnen de aangeleverde bestanden inderdaad niet inzien. We weten dus niet wat voor data ons EPD aanlevert. We kunnen dus ook niet checken wat werkelijk aan data is afgeschermd wanneer er een privacyverklaring is getekend.’

‘We hebben dus een webportaal, moeten data aanleveren, ons beroepsgeheim schenden, tenzij een cliënt dit ons verbiedt middels een privacyverklaring, maar dat mogen we cliënten niet vertellen, en we kunnen niet zien wat er aan data uit ons EPD wordt getrokken?’

‘Yep.’

‘Zouden ze dan echt niet begrijpen dat veiligheid in de therapeutische relatie de basis is van ons werk?’

‘Gelukkig hebben we de rechtszaak nog.’

• Vertrouwen in de GGZ
• Terugkijken: Argos: het geheim van de spreekkamer