achtergrond

Privacy in de GGZ: nu of nooit?

In april kwam voor het eerst grote publieke aandacht voor privacyschendingen in de geestelijke gezondheidszorg. Een recente enquête bevestigde de problematiek, en steeds meer zorgverleners en organisaties spreken zich uit tegen de verplichtingen van het DBC-systeem. Gaat de GGZ een vuist maken en het recht op een vertrouwelijke behandelrelatie opeisen?

Sinds maart 2012 hebben cliënten in de GGZ de mogelijkheid om een privacyverklaring te ondertekenen, waarmee ze aangeven geen diagnose informatie te willen verstrekken aan zorgverzekeraars. Wordt de privacyverklaring met de factuur meegestuurd, dan hoeft er geen Diagnose Behandel Combinatie (DBC) op de factuur te worden vermeld.

De regeling, eind 2011 toegewezen door de rechter na een bodemprocedure van een groep psychotherapeuten, is echter al sinds haar invoering ineffectief, zo gaf mede-eiser in de bodemprocedure Stichting KDVP al meerdere malen aan. Uit facturen die met de bezwaarregeling zijn ingediend, valt nog steeds de diagnose-informatie te herleiden door middel van het het declaratiebedrag. Elke aandoening heeft een uniek tarief; het factuurbedrag valt daarom eenvoudig te herleiden naar een specifieke diagnose. De privacyregeling voldoet daarmee niet aan de eisen die de rechter destijds stelde, maar tot op heden is daar geen actie op ondernomen door toezichthouder NZa, verantwoordelijk voor de implementatie.

Sabotage”

Bovendien ondervinden behandelaren en cliënten die wel gebruik maken van de privacyregeling, ernstige hinder bij het declareren, toonde Zembla in de uitzending “De jacht op uw medische gegevens” (vanaf 6:25). Betalingen vinden niet of pas na lange vertraging plaats, zelfs na het herhaaldelijk aanschrijven van de zorgverzekeraar, die bovendien onjuiste informatie verstrekt als er wordt geïnformeerd naar de privacyregeling. De psychotherapeuten spreken in de Zembla uitzending van machtsuitoefening en doelbewuste sabotage door zorgverzekeraars.

Een enquête gehouden in mei 2014 waarbij 582 vrijgevestigde GGZ-behandelaren werden ondervraagd over hun administratieve lasten, wijst erop dat de casussen van Zembla niet op zichzelf staan. Van de geënquêteerde therapeuten die ervaring hadden met de privacyregeling, gaf de helft aan declaratieproblemen te ervaren wanneer de cliënt gebruik maakte van de de opt-out. Het onderzoeksrapport citeert een opmerking van een geenquêteerde: “Privacy is een groot probleem. ‘Gelukkig’ dus dat mijn cliënten nooit bezwaar aantekenen tegen hun privacyschending.”

Hoewel driekwart van de ondervraagden van mening is dat de cliënt bij het eerste contact al op de hoogte moet worden gebracht van de mogelijkheid tot de opt-out, doet slechts 58% dit daadwerkelijk in de praktijk. Het onderzoeksrapport zegt daarover: “Als verklaring wordt genoemd dat het teveel gedoe is, dat cliënten dan zelf de behandeling moeten betalen en dat de kosten van de behandeling dan op de behandelaar worden afgewenteld. Dit geeft aan dat er veel angst en onduidelijkheid onder behandelaren leeft aangaande vergoedingen in geval er geen DBC op de nota staat.”

NZa zag eerder geen noodzaak om regeling aan te passen

Toezichthouder NZa hield in juni 2013, iets meer dan een jaar na de invoering van de regeling, een evaluatie van de privacyregeling voor de GGZ, een eis die de rechter stelde in het vonnis uit 2011. De NZa concludeerde in haar rapport dat er geen directe noodzaak was om de regeling aan te passen. Er waren nog te weinig praktijkervaringen opgedaan en de daarin geconstateerde verbeterpunten noopten niet tot een aanpassing van de regeling. Het gros van de deelnemers aan de evaluatie bleek niet op de hoogte van het bestaan van de privacyregeling.

De weinige concrete ervaringen met de privacyregeling die op dat moment in het NZa-rapport staan, benoemen desondanks al dezelfde problematiek. Zorgverzekeraars verlenen geen medewerking, zijn moeilijk te bereiken, zijn op uitvoeringsniveau onbekend met de regeling en verstrekken onjuiste informatie aan patiënten, waaronder het advies een andere zorgverlener te kiezen, “die wel DBC declaraties wil indienen”.  Ook de weerwil van zorgverzekeraars om DBC-vrije facturen te behandelen, wordt in de evaluatie al gesignaleerd: “Er wordt door meerdere respondenten aangegeven dat de zorgverzekeraars zeer star zijn met hun procedures, dat bijna alle facturen geweigerd worden met wisselende argumentaties of de mededeling ‘voldoet niet aan de regels’. Betaling vindt niet of na vele maanden plaats.”

Over de rol van de verzekeraar stelt de NZA dat door de anonieme opzet van de evaluatie, de meldingen niet verder kunnen worden onderzocht. Problemen kunnen echter worden gemeld: “De NZa wijst erop dat de zorgplicht van zorgverzekeraars binnen deze regeling onverkort van kracht is, ook daar waar verschillen van inzicht bestaan over de wijze van declaratie. De NZa houdt hier toezicht op en komt waar nodig in actie.”

Prioriteit

Die belofte deed de toezichthouder ongeveer een jaar voordat Zembla de declaratieproblematiek breed uitlichtte in haar uitzending van 17 april 2014. Met de onlangs gehouden enquête die het bestaan van de problematiek breed bevestigt, werpt zich de vraag op hoeveel prioriteit de in 2011 door de rechter verplichte implementatie van de privacyregeling heeft gehad bij toezichthouder NZa en de zorgverzekeraars, verenigd in Zorgverzekeraars Nederland (ZN).

Loek Caubo, directeur van ZN, gaf al in de Zembla uitzending aan het niet nodig te achten om zorgverzekeraars op de gebrekkige uitvoering van de privacy opt-out aan te spreken: “Ik ga ervan uit dat als onze leden zien dat dit probleem bestaat, zij dit zelf zullen oplossen.”

Er is tot op heden nog steeds geen mogelijkheid om elektronisch te declareren met de privacyregeling, zo meldt KDVP op haar website in mei 2014. Ook is er nog steeds geen mogelijkheid om tarieven aan te passen, zodat uit het declaratiebedrag geen diagnose meer kan worden afgeleid. De vragen die SP-Kamerlid Henk van Gerven op 23 april stelde aan minister Schippers, wachten nog steeds op beantwoording. Op 21 mei gaf de minister aan de vragen niet binnen de gebruikelijke termijn te kunnen beantwoorden, omdat er meer informatie moest worden ingewonnen bij derden. Wel heeft de minister de gelegenheid gevonden om op 8 juli een wetsvoorstel in te dienen bij de Tweede Kamer waarmee zorgverzekeraars inzage kunnen krijgen in medische dossiers.

Verzekeraars wilden niet reageren voor de camera’s van Zembla. Dat gold ook voor de NZa. Zorgverzekeraars VGZ en Ohra reageerden achteraf wel schriftelijk op de uitzending. VGZ bevestigde dat de vergoeding van nota’s met een privacyverklaring bij enkele klanten vertraging had opgelopen, maar wijt dit aan een fout in het verwerkingsproces, dat inmiddels is aangepast, aldus VGZ. Van het doelbewust saboteren van privacyverklaringen is volgens VGZ geen sprake. Ohra stelt dat het telefoongesprek met haar  klantenservice zoals verwerkt in de Zembla uitzending een onjuiste suggestie wekt. De verzekeraar betreurt het dat in dat gesprek verkeerde informatie is verstrekt, maar zegt de privacy van haar klanten volledig te respecteren.

“Één vuist naar zorgverzekeraars”

Daarover bestaan binnen de GGZ inmiddels grote twijfels. Zowel individuele GGZ-behandelaren als zorgverlenerskoepels reageerden ontstemd op de Zembla uitzending, en niet alleen op de vermeende sabotage van privacyverklaringen. Zembla toonde eveneens aan dat de diagnose-informatie aangeleverd door GGZ-behandelaren aan de database DIS alsmede aan de Stichting Benchmark GGZ, niet zo anoniem is als deze partijen menen te kunnen garanderen. De gepseudonimiseerde diagnose-informatie valt wel degelijk terug te herleiden tot een individueel persoon.

Bij het College Bescherming Persoonsgegevens, dat in 2007 de aanlevering van diagnose-informatie aan deze partijen goedkeurde, is sprake van voortschrijdend inzicht, aldus collegelid Wilbert Thomesen: “DIS is pseudoniem opgezet, waarvan lange tijd is gezegd: dit is op zichzelf voldoende waarborg. Maar tegelijkertijd is ook altijd gezegd: het hangt van de staat van techniek af of je dat wel of niet kunt herleiden tot echte persoonsgegevens. Dus je kunt niet zeggen – en dat is voortschrijdend inzicht – dat pseudonimiseren zonder meer hetzelfde is als anonimiseren.”

Esther van Fenema, psychiater in het Leids Universitair Medisch Centrum, pleitte kort na de Zembla uitzending voor “één GGZ vuist naar zorgverzekeraars”. In hoeverre die vuist er komt, en of dit veranderingen teweeg gaat brengen in de huidige praktijk, moet zich de komende tijd gaan uitwijzen.

Het onderwerp staat in ieder geval prominent op de agenda, zo leert een rondje langs verschillende zorgverlenerskoepels. Het Landelijk Platform GGZ, waarin meerdere GGZ-koepelorganisaties zijn verenigd, liet in een verklaring op haar site weten ontstemd te zijn over de omgang met diagnose-gegevens en n.a.v. de Zembla uitzending een brief naar het ministerie te hebben gestuurd.

Verschillende leden van het LPGGZ reageerden op vergelijkbare wijze: De GGZ-afdeling van het Nederlands Instituut van Psychologen verzocht haar bestuur alles in het werk te stellen om verzekeraars te dwingen uitvoering te geven aan de privacyregeling (link). Daarnaast moeten de onlangs aangekondigde plannen in het Bestuurlijk Akkoord waarbij de privacy van cliënten in het geding is, worden opgeschort “totdat veiligheid en zinvolheid van de dataopslag gewaarborgd zijn”.

Ook de resultaten van de eerder genoemde enquête laten zien dat 81% van de vrijgevestigde GGZ-therapeuten pseudo-anonimisering (omkeerbare anonimisering) bij data-aanlevering bezwaarlijk vindt. 72% vindt de privacy van hun cliënten zo zwaarwegend dat het een reden vormt om aanlevering te weigeren. Toch levert 55% deze data in de praktijk wel aan.

Voorzitter Arnoud van Buuren van de Nederlandse Vereniging voor Vrijgevestigde Psychologen en Psychotherapeuten (NVVP) reageerde kort na de Zembla uitzending op scherpe toon. “We zullen dit met andere partijen van aanbieders opnieuw aan de orde stellen. Wat mij betreft stoppen we met aanleveren zolang dit niet geregeld wordt. Ik heb getekend voor DIS-aanlevering onder garantie van anonimiteit.” Die is niet gewaarborgd, aldus van Buuren. Hij geeft aan zelf vooralsnog gestopt te zijn met het aanleveren van informatie aan het DIS, alsmede aan Stichting Benchmark GGZ, “als er niet eerst waterdichte garanties voor volstrekte anonimiteit zijn.”

“Privacyvriendelijke oplossingen worden stelselmatig genegeerd”

Gaat de recente ophef over de gebrekkige privacyregeling en het DIS leiden tot een waterdichte garantie voor een vertrouwelijke behandelrelatie in de GGZ? Ab van Eldijk, voorzitter van Stichting KDVP, toont zich skeptisch. Sinds KDVP in verweer is gekomen tegen de privacyschendende verplichtingen van het DBC-systeem en de bijbehorende databank DIS, is er meerdere malen gewezen op privacyvriendelijke methoden om dezelfde doelen te bereiken – zonder gehoor. Oplossingen zijn voorhanden, maar er wordt niets mee gedaan.

Van Eldijk: “Ook professor Jim van Os en professor Martin Buijsen (die in de Zembla uitzending forse kritiek hadden op de gegevensverzameling door zorgverzekeraars en het DIS, red.)  maken duidelijk dat de huidige manier van informatieverwerking in de zorg een niet legitieme inbreuk vormt op vertrouwelijkheid, privacy en beroepsgeheim in de zorg. Maar ook na deze kritiek in de uitzending van Zembla is noch door de overheid, noch door zorgverzekeraars gekeken naar andere mogelijkheden voor de uitwisseling van medische persoonsgegevens in de zorg die geen inbreuk vormen op de privacy van patiënten en het beroepsgeheim van zorgverleners. Datzelfde zien we ook  bij de doorstart van het LSP, een in de praktijk onbeveiligbaar informatie-monster dat domweg wordt ingevoerd zonder te willen kijken naar veilige alternatieven die geen inbreuk vormen op de privacyrechten van burgers. Dat oplossingen die een veilige, gerichte, verwerking van informatie in de zorg  mogelijk maken tot op heden stelselmatig worden genegeerd, is even veelzeggend als verontrustend.”