31 765 Kwaliteit van zorg

Nr. 78 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 29 augustus 2013

In de vaste commissie voor Volksgezondheid, Welzijn en Sport bestond er bij enkele fracties behoefte een aantal vragen en opmerkingen voor te leggen aan de minister van Volksgezondheid, Welzijn en Sport over de brief van 19 maart 2013 inzake het privacyreglement NIVEL (Kamerstuk 31 765, nr. 74).

De op 12 april 2013 toegezonden vragen en opmerkingen zijn met de door de minister bij brief van 28 augustus 2013 toegezonden antwoorden hieronder afgedrukt.

De voorzitter van de commissie, Neppérus

Adjunct-griffier van de commissie, Clemens

Inhoudsopgave

Blz.
     

I.

Vragen en opmerkingen vanuit de fracties

  

II.

Reactie van de minister

  

I. VRAGEN EN OPMERKINGEN VANUIT DE FRACTIES

Vragen en opmerkingen van de PvdA-fractie

Algemeen

De leden van de fractie van de PvdA hebben kennisgenomen van de toelichting op de privacy bij onderzoeken die het Nederlands instituut voor onderzoek van de gezondheidszorg (NIVEL) doet naar het gebruik van het elektronisch patiëntendossier (epd) en dossiervorming door huisartsen.

Deze leden vinden dat patiënten niet alleen recht hebben op goede zorg, maar ook op bescherming van hun gegevens. Het is positief dat zorgverleners onderzoek (laten) doen naar de accuratesse en effectiviteit van hun dossiervorming, maar het belang van de patiënt en daarmee ook zijn privacy moeten ook bij dit type onderzoek voorop staan.

De minister stelt dat de privacy gewaarborgd is, omdat gegevens worden geanonimiseerd voordat zij naar het NIVEL worden gestuurd. Deze leden hebben daarover nog een aantal vragen, zeker gezien de hoeveelheid informatie die verzameld wordt.

Bezwaar

De leden van de fractie van de PvdA hebben nog vragen over de dossiers van patiënten die bezwaar maken.

In de samenwerkingsovereenkomst die het NIVEL sluit met deelnemers aan het onderzoek Zorgregistraties eerste lijn staat dat deelnemende zorgverleners verplicht zijn de dossiers van alle patiënten aan te leveren. Alleen als patiënten bezwaar maken worden de gegevens niet doorgestuurd aan het NIVEL.

In artikel 3.4 staat dat, indien dit in het systeem van de zorgverlener mogelijk is, hiervan een aantekening wordt gemaakt die er voor zorgt dat de betrokken dossiers dan niet door de extractiesoftware worden «meegenomen». Echter, als deze aantekening in het systeem van de zorgverlener niet mogelijk is, wordt het bezwaar doorgegeven aan TTPzorg (trusted third party) die er voor zorgt dat de informatie alsnog niet bij het NIVEL terechtkomt.

Als patiënten bezwaar maken tegen het verzenden van hun gegevens, kan het dus toch zo zijn dat hun dossier aan TTPzorg gestuurd wordt. Is dit in lijn met het recht van de patiënt? Wat is de visie van het College bescherming persoonsgegevens (CBP) op deze werkwijze? Bij hoeveel van de deelnemende zorgverleners staat het systeem de aantekening die herkend wordt door de extractiesoftware niet toe? Worden patiënten hierover geïnformeerd?

Verzamelde gegevens / anonimiteit

De leden van de PvdA-fractie hechten grote waarde aan het anonimiseren vooraf, zodat er niet later gegevens verwijderd hoeven te worden.

In «Bijlage 1 HA: Specificatie gegevensverzameling NIVEL Zorgregistraties eerste lijn – huisartsen» staat vermeld welke patiëntgegevens worden verzameld. De opsomming van gegevens begint met «gegevens zoals die worden verzameld zijn o.a.:». Wat wordt met «o.a.» bedoeld? Is de lijst met opsommingen van patiëntgegevens die worden verzameld niet compleet? Zo nee, waarom is die niet compleet, en welke gegevens worden wel verzameld maar hier niet genoemd?

De minister stelt dat de privacy van patiënten gewaarborgd is omdat de gegevens geanonimiseerd worden. Onderzoekers van de Universiteit van Amsterdam stellen dat met de gebruikte set gegevens (patiëntnummer; woonverbandnummer; geboortedatum; geslacht; vier cijfers postcode; inschrijfdatum; uitschrijfdatum; reden uitschrijving; type patiënt (vast-, passant-, waarneem-); UZOVI nummer van de verzekeraar waar de patiënt bij verzekerd is en, indien mogelijk, of de patiënt alleen een basisverzekering of ook een aanvullend verzekeringspakket heeft) zoveel informatie wordt gegeven dat in 80% van de gevallen herleidbaar is om welke patiënt het gaat. Is de minister bekend met dit onderzoek, en wat is haar reactie hierop? Heeft het CBP ook naar de gebruikte set gegevens gekeken en zo ja, wat was zijn mening over de herleidbaarheid? Zo nee, kan het CBP hier alsnog een onderzoek naar doen?

In het Privacyreglement erkent het NIVEL dat patiënten mogelijk herleidbaar zijn, maar dat dit om een kleine groep specifieke patiënten gaat. Hoe verhoudt zich dit tot uitspraken van de minister dat gegevens geanonimiseerd zijn?

In artikel 4.2 van de Samenwerkingsovereenkomst staat dat «zolang de pseudonimiseringssoftware die onderdeel is van de extractiemodule nog niet geïnstalleerd is, in plaats van het pseudoniem de gegevens van de Patiënt onder het bij de deelnemer aan die Patiënt toegekende patiëntnummer kunnen worden geëxtraheerd. Zodra ook de pseudonimiseringssoftware is geïnstalleerd wordt dit patiëntnummer vervangen door het pseudoniem.» De leden van de PvdA-fractie vragen waarom de pseudonimiseringssoftware niet direct met de rest van de extractiemodule wordt geïnstalleerd, of in ieder geval voordat gegevens worden geëxtraheerd. Kan de minister dit toelichten?

In hoeveel gevallen is de pseudonimiseringssoftware later geïnstalleerd, en is inmiddels bij alle deelnemende zorgverleners deze software geïnstalleerd?

In artikel 6 staat dat direct identificerende persoonsgegevens slechts zullen worden verwerkt indien dat gezien de opzet van het onderzoeksproject volstrekt noodzakelijk is. Behoudens hoge, in de gedragscode beschreven uitzonderingen, zal dit uitsluitend met toestemming van de betrokkenen kunnen plaatsvinden. Kan de minister toelichten om welke uitzonderingen het gaat?

Koppelen gegevens onderzoeken

De leden van de PvdA-fractie hebben ook een vraag over het koppelen van gegevens uit de verschillende onderzoeken. De minister noemt in haar brief drie specifieke onderzoeken die het NIVEL uitvoert: 1. de mini epd-scan; 2. de uitgebreide epd-scan; en 3. het Landelijk Informatienetwerk Huisartsenzorg (LINH), dat in transitie is naar de Zorgregistratie eerste lijn.

Tijdens het vragenuur van 12 februari 2013 stelde de minister dat alle drie de onderzoeken, die los van elkaar plaatsvinden, bekeken zijn op hun privacygevoeligheid. Vervolgens zei de minister: «Als je het zou koppelen, zou je inderdaad een probleem hebben, maar dat is niet het geval. Het zijn drie losse onderzoeken.»

Welke garantie hebben patiënten dat de gegevens van de onderzoeken inderdaad niet gekoppeld worden? In welke regels is dat vastgelegd, wie houdt daar op welke wijze toezicht op en wat zijn de sancties in geval van overtreding? Wat zou volgens de minister het probleem zijn als de gegevens gekoppeld zouden worden? Kan zij dit toelichten?

Gebruik van gegevens door derden

De leden van de fractie van de PvdA hebben vragen over het gebruik van de gegevens door derden. In artikel 6 van het Privacyreglement staat dat andere onderzoeksgroepen binnen het NIVEL maar ook onderzoekers van andere organisaties, een verzoek kunnen indienen om de verzamelde gegevens te gebruiken voor onderzoek.

Uit het voorlopig governance-document blijkt dat over zulke aanvragen beslist wordt door de verschillende kamers binnen NIVEL Zorgregistraties waarin de beroepsverenigingen vertegenwoordigd zijn. De privacycommissie wordt hier niet direct bij betrokken. Is de minister van mening dat de privacy van patiënten hiermee voldoende gewaarborgd is? Wordt bij het toestaan van gebruik van gegevens door derden ook rekening gehouden met de mogelijke koppeling van gegevens uit meerdere onderzoeken? Zo ja, op welke wijze en waaruit blijkt dit? Zo nee, waarom niet? Kan de minister hierop ook een toelichting geven in het kader van haar eerder aangehaalde uitspraken tijdens het vragenuur van 12 februari 2013 over de mogelijke problemen na het koppelen van gegevens uit de verschillende onderzoeken?

Zijn er al aanvragen door derden geweest? Zo ja, door wie en met welk doel?

Keuze voor datasets

De verschillende kamers beslissen ook welke data verzameld worden en over mogelijke uitbreiding van datasets. Is het juist dat er geen privacy-experts of vertegenwoordigers van patiënten- of consumentenorganisaties betrokken zijn bij dit soort beslissingen? Kan de minister toelichten waarom dit niet het geval is?

Samenstelling adviesraad onderzoek

In het voorlopig governance-document NIVEL Zorgregistraties eerste lijn (versie d.d. 7 november 2012) is vastgelegd hoe de adviesraad wordt samengesteld. Het NIVEL beslist welke partijen deelnemen aan de adviesraad, kamers kunnen voorstellen doen. De leden van de PvdA-fractie hebben hierover een aantal vragen.

Op welke gronden beslist het NIVEL hoe de adviesraad wordt samengesteld? In het document worden voorbeelden genoemd van partijen die in de adviesraad vertegenwoordigd kunnen zijn, zoals patiënten- en consumentenorganisaties, maar ook Zorgverzekeraars Nederland. Welke partijen zijn op dit moment in de adviesraad vertegenwoordigd? Voor welke periode nemen zij deel aan de adviesraad? Kunnen zij uit de adviesraad verwijderd worden? Kunnen patiëntenorganisaties alleen in de adviesraad vertegenwoordigd zijn als zij door kamers worden voorgedragen? Genoemde leden zijn van mening dat de patiënt de eigenaar is van zijn of haar gegevens. Deze leden vinden dan ook dat patiëntenorganisaties altijd in de adviesraad plaats zouden moeten kunnen nemen.

Vragen en opmerkingen van de PVV-fractie

De leden van de PVV-fractie hebben met belangstelling kennisgenomen van de brief van de minister inzake het privacyreglement van het NIVEL. Deze leden zijn blij met de toelichting en de aanvullende documenten, toch hebben zij nog een paar vragen.

De leden van de PVV-fractie vragen hoe het NIVEL de afweging maakt of melding bij het CBP al dan niet nodig is voor het verwerken van medische gegevens. Kan de minister dit verduidelijken? Is het niet aan te bevelen elke verwerking van medische gegevens te melden bij het CBP? Deze leden vragen verder hoe gecontroleerd wordt dat de zorgverlener zijn patiënten goed inlicht over het gebruik van zijn gegevens voor onderzoek of statistiek door derden. Is het de patiënt duidelijk gemaakt dat hij hier bezwaar tegen kan maken? Tot slot willen de leden van de PVV-fractie graag weten welke vergoeding zorgverleners krijgen voor het beschikbaar stellen van patiëntgegevens.

Vragen en opmerkingen van de SP-fractie

De leden van de SP-fractie hebben kennisgenomen van de brief van de minister en de onderzoekvoorwaarden van het NIVEL. Zij danken de minister voor het informeren van de Kamer. Zij vragen de minister of zij zich ervan bewust is dat zaken rond gegevensuitwisseling een zeer beladen onderwerp zijn. Zij vragen de minister de zorgen die leven over de mogelijke problemen met het op straat komen te liggen van privégegevens bij onderzoeken goed te betrekken bij de plannen. Zij vragen tevens de toezegging dat de privégegevens van mensen optimaal beschermd worden bij de onderzoeken van het NIVEL.

De leden van de SP-fractie vinden het goed dat het NIVEL onderzoek doet naar de gegevensuitwisseling en gegevens gebruikt voor inhoudelijk onderzoek. Bij dat laatste onderzoek is een privacycommissie ingesteld. Deze leden willen graag weten of er in die commissie ook mensen met kennis van infrastructuur en veiligheid zijn opgenomen.

Vragen en opmerkingen van de D66-fractie

De leden van de D66-fractie zijn van mening dat onderzoek kan bijdragen aan de verbetering van de kwaliteit van zorg. Deze leden achten het daarbij van het grootste belang dat de uitvraag van patiëntgegevens voor onderzoeksdoeleinden proportioneel is en dat dit met de grootst mogelijke privacy-waarborgen omgeven is. Genoemde leden maken zich in dat kader zorgen over onderzoek dat wordt uitgevoerd door het NIVEL. De vrees voor een mogelijk privacylek is tot op heden nog niet weggenomen. Zij vragen de minister om een nadere toelichting.

De leden van de D66-fractie stellen vast dat het NIVEL twee onderzoeken uitvoert waar individuele patiëntgegevens aan te pas komen. Het betreft hier de «uitgebreide epd-scan» en het Landelijk Informatienetwerk Huisartsenzorg.

Deze leden vragen of het klopt dat de Landelijke Huisartsen Vereniging (LHV) en de zorgverzekeraars hebben afgesproken dat iedere praktijk in 2013 een volledige epd-scan uitvoert om in aanmerking te komen voor de variabiliseringsgelden 2013. Worden in het kader van de epd-scan en het LINH onderdelen van patiëntendossiers aan het NIVEL beschikbaar gesteld, waarbij het gaat om een groot deel van alle medische informatie in een huisartsendossier zoals «episodes, consulten en ruiters» en persoonlijke gegevens zoals de vier cijfers van iemands postcode, geboortedatum en geslacht? Zo ja, worden de gegevens gewist, nadat de epd-scan en het LINH zijn afgerond? Wat is de reactie van de minister op het promotieonderzoek «Measuring and predicting anonymity» waaruit blijkt dat op basis van de gegevens geboortedatum, geslacht en postcode bijna 70% van de Nederlandse bevolking uniek geïdentificeerd kan worden? Deelt de minister de conclusie dat er in de praktijk dan in plaats van een zogenaamd «geanonimiseerd dossier « een vrijwel compleet epd bij een derde partij bekend is, zonder dat de privacy van de patiënt volledig gewaarborgd is? Zo ja, welke consequenties verbindt de minister hieraan? Wil de minister het NIVEL erop aanspreken om over te stappen op een verdergaande wijze van anonimiseren? Deze leden vragen de minister ook in hoeverre patiënten op de hoogte zijn gesteld van het feit dat hun epd-gegevens ten bate van de «uitgebreide epd-scan» toegankelijk zijn voor het NIVEL. Hebben zij daarvoor toestemming gegeven?

De leden van de D66-fractie constateren dat het volgens de minister onmogelijk is om de verschillende met individuele patiëntgegevens uitgevoerde onderzoeken door het NIVEL aan elkaar te koppelen. Deze leden vragen de minister toe te lichten waarom dit niet mogelijk is als deze onderzoeken door hetzelfde instituut worden uitgevoerd.

II. REACTIE VAN DE MINISTER

Bezwaar

De leden van de PvdA -fractie merken op dat in de samenwerkingsovereenkomst die het NIVEL sluit met deelnemers aan het onderzoek Zorgregistraties eerste lijn staat dat deelnemende zorgverleners verplicht zijn de patiëntendossiers van alle patiënten aan te leveren. Alleen als patiënten bezwaar maken worden de gegevens niet doorgestuurd aan het NIVEL. In artikel 3.4 van de samenwerkingsovereenkomst staat dat, indien dit in het systeem van de zorgverlener mogelijk is, van het bezwaar een aantekening wordt gemaakt die ervoor zorgt dat de betrokken patiëntendossiers niet verzonden worden. Als het systeem van de zorgverlener deze mogelijkheid niet biedt, wordt het bezwaar door de zorgverlener doorgegeven aan ZorgTTP, die ervoor zorgt dat de informatie alsnog niet bij het NIVEL terechtkomt. De leden van de PvdA-fractie vragen of het zo kan zijn dat patiëntendossiers van patiënten die bezwaar hebben gemaakt, toch aan ZorgTTP toegestuurd worden.

Het NIVEL geeft in de betreffende bijlage van de brief van 19 maart (artikel 3.4 van de samenwerkingsovereenkomst met de praktijk) aan dat het gaat om de situatie waarin het elektronisch dossiersysteem van de zorgverlener (XIS) niet de mogelijkheid biedt om patiënten die bezwaar maken te registreren. In dat geval wordt door pseudonimiseringssoftware, die vervaardigd is door ZorgTTP en die in de praktijk van de zorgverlener is geïnstalleerd, de mogelijkheid geboden aan te geven van welke patiënten de gegevens niet mogen worden verzonden. Dit betekent dat de gegevens van patiënten die bezwaar hebben gemaakt, vóór verzending uit de praktijk uit de bestanden gefilterd worden. Volgens informatie van het NIVEL krijgen ZorgTTP noch NIVEL hierdoor de patiëntgegevens van patiënten die bezwaar hebben gemaakt te zien.

In gevallen waarin het niet mogelijk is om patiënten die bezwaar maken in het XIS te registreren en ook de pseudonimiseringssoftware nog niet is geïnstalleerd, stuurt de zorgverlener de patiëntennummers van patiënten die bezwaar hebben gemaakt naar de databasebeheerder van het NIVEL, die vervolgens opname van de gegevens in de database van het NIVEL blokkeert. Het NIVEL geeft aan dat in deze situatie ZorgTTP geen rol speelt.

Voorts vragen de leden van de PvdA-fractie zich af of het voorgaande in lijn is met het recht van de patiënt en wat de visie van het College bescherming persoonsgegevens op deze werkwijze is.

Het NIVEL geeft aan dat deze werkwijze in overeenstemming is met geldende wet- en regelgeving. Het NIVEL heeft onderkend dat met de gegevens die NIVEL Zorgregistraties ontvangt mogelijk indirect personen te herleiden zijn. Het NIVEL is (in de zin van de Wbp) verantwoordelijk voor deze gegevens en heeft daarom een bezwaarprocedure ingevoerd, zodat patiënten die niet willen dat hun gegevens voor onderzoek worden gebruikt dit aan kunnen geven. De werking hiervan is hierboven beschreven.

Voorts merkt het NIVEL op dat, zoals vermeld in bijlage 2 bij het privacyreglement NIVEL Zorgregistraties eerste lijn, door ZorgTTP wordt voldaan aan de eisen die door het College Bescherming Persoonsgegevens (CBP) worden gesteld aan een TTP die pseudonimisatiedienstverlening aanbiedt. Bovendien voldoet de gegevensverwerking ten behoeve van NIVEL Zorgregistraties eerste lijn volgens het NIVEL aan de daaraan te stellen veiligheidseisen. Bij het informatiebeveiligingsbeleid worden de daarop van toepassing zijnde ISO en NEN Normen (7510) gevolgd. Indien de in NEN 7510 genoemde maatregelen zijn getroffen, mag er volgens het CBP van uit worden gegaan dat passende technische en organisatorische maatregelen zijn getroffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

De leden van de PvdA-fractie vragen bij hoeveel van de deelnemende zorgverleners de pseudonimiseringssoftware is geïnstalleerd en bij hoeveel van de deelnemende zorgverleners het systeem de aantekening die ervoor zorgt dat de dossiers van patiënten die bezwaar hebben gemaakt niet herkent.

Het NIVEL geeft aan dat de pseudonimiseringssoftware is geïnstalleerd bij alle 14 huisartsendienstenstructuren waar het NIVEL gegevens van ontvangt. Alle huisartsenposten die hieronder vallen kunnen dus gebruik maken van de software en kunnen in een register aantekenen dat patiënten niet willen dat hun gegevens voor onderzoek door het NIVEL worden gebruikt. Voor huisartsenpraktijken is de software wel beschikbaar, maar is deze, volgens het NIVEL, nog niet ingebouwd door de softwareleveranciers. Het NIVEL geeft aan hierover met de softwareleveranciers in overleg te zijn.

De leden van de fracties van de PvdA, de PVV en D66 vragen hoe patiënten geïnformeerd worden over het gebruik van hun gegevens voor onderzoek of statistiek, over de mogelijkheid om hiertegen bezwaar te maken en hoe hierop gecontroleerd wordt.

Het NIVEL geeft aan dat het primair de verantwoordelijkheid is van de deelnemende zorgpraktijk om patiënten te informeren over de gegevensverwerking ten behoeve van het onderzoek en over de mogelijkheid om hiertegen bezwaar te maken. Door het NIVEL worden hierover in een samenwerkingsovereenkomst afspraken gemaakt met de deelnemende zorgpraktijken. Zo wordt afgesproken dat huisartsenpraktijken nieuwe patiënten actief voorlichten over het bezwaarsysteem en dat op huisartsenposten patiënten worden geïnformeerd met posters en folders. Bij praktijkbezoeken vanuit het NIVEL wordt erop gelet of het voorlichtingsmateriaal zichtbaar in de wachtkamer aanwezig is. Het NIVEL geeft aan dat de praktijk hier zo nodig op wordt aangesproken.

Verzamelde gegevens / anonimiteit

In de met mijn brief van 19 maart meegestuurde Bijlage 1 HA: Specificatie gegevensverzameling NIVEL Zorgregistraties eerste lijn -huisartsen» staat vermeld welke patiëntgegevens worden verzameld. De leden van de PvdA -fractie vragen of de opsomming compleet is en zo nee, welke patiëntgegevens nog meer verzameld worden.

In Bijlage 1HA zijn alleen patiëntgegevens opgenomen. Volgens het NIVEL worden er niet meer patiëntgegevens verzameld dan in de bijlage zijn genoemd. De gegevens die eveneens worden verzameld, maar niet in de bijlage zijn genoemd, zijn geen patiëntgegevens. Bijvoorbeeld het medewerkernummer van medewerkers binnen een praktijk, bij wie de patiënt staat ingeschreven (dit geldt met name voor praktijken met meer dan één huisarts). Het NIVEL heeft aangegeven dat dit in een volgende versie van de samenwerkingsovereenkomst beter aangegeven zal worden.

Door de leden van de PvdA-fractie en de D66-fractie wordt gevraagd of de minister bekend is met het onderzoek van de Universiteit van Amsterdam «Measuring and predicting anonymity» waarin wordt gesteld dat met de gebruikte set gegevens zoveel informatie wordt gegeven dat in 80% van de gevallen herleidbaar is om welke patiënt het gaat.

Ik heb kennis genomen van de conclusies van het genoemde onderzoek. Het NIVEL kent dit onderzoek ook en heeft onderkend dat met de combinatie van gegevens uit de registratie in theorie personen te herleiden zijn. Dit heeft er onder meer toe geleid dat het NIVEL een bezwaarsysteem heeft ingevoerd en maatregelen heeft genomen om indirecte herleiding te voorkomen. Zo hebben volgens het NIVEL onderzoekers geen inzage in de databestanden met indirect herleidbare gegevens. Deze gegevens kunnen slechts ten behoeven van onderhoud aan de database worden ingezien door een kleine groep medewerkers van het NIVEL. Voorts vindt het transport van gegevens plaats via beveiligde verbindingen. Daarnaast wordt volgens het NIVEL nu gewerkt aan verdere anonimisatie door middel van pseudonimisatie, zodat NIVEL op den duur alleen nog maar niet-herleidbare gegevens ontvangt.

De leden van de PvdA-fractie vragen ook of het CBP heeft onderzocht of met de gebruikte gegevensset personen te herleiden zijn. Zo niet, dan vragen zij of het CBP hier alsnog een onderzoek naar kan doen?

Het CBP is bevoegd is om ambtshalve of op verzoek van een belanghebbende een onderzoek te doen naar de wijze waarop gegevens worden verwerkt.

In 2005 heeft het CBP een feitenonderzoek gedaan bij vijf grote landelijke registraties in de zorg, waaronder bij de voorganger van NIVEL Zorgregistraties, LINH. Onderzocht is in hoeverre de registraties gegevens bevatten die herleidbaar zijn tot individuele patiënten, in relatie tot de vraag naar de rechtmatigheid van dit soort gegevensverzamelingen en de rechtmatigheid van de verstrekking van gegevens daaruit voor onder meer onderzoek en beleid. Het CBP heeft vastgesteld dat een aantal van de gegevens die door het LINH werd verwerkt in combinatie indirect herleidbaar tot een persoon zouden kunnen zijn. De wijze waarop de gegevens door het LINH werden verwerkt is in 2005 door het CBP akkoord bevonden. CBP heeft destijds ook aanbevelingen gedaan, die zijn uitgevoerd. Wat betreft het beperken van de herleidbaarheid van gegevens heeft het CBP aanbevolen om privacy enhancing technologies toe te passen. Dit wordt nu middels pseudonimisering uitgevoerd.

In het privacyreglement NIVEL Zorgregistraties eerste lijn staat dat een bepaalde groep patiënten mogelijk herleidbaar is. De leden van de PvdA-fractie vragen hoe dit zich verhoudt tot de uitspraken van de minister dat gegevens geanonimiseerd zijn.

Volgens de informatie van het NIVEL dient onderscheid gemaakt te worden tussen de mini-scan en de volledige EPD-scan. Beide scans hebben als doel om de kwaliteit van dossiervorming te verbeteren.

In de mini-scan verzamelt het NIVEL enkel het aantal consulten dat in een bepaalde periode door huisartsen is geregistreerd en het aantal consulten waarbij huisartsen hebben vastgelegd met welk probleem de patiënt bij hen kwam. Als een huisarts weinig diagnoses heeft geregistreerd, dan is dat een signaal dat zijn dossier nog niet op orde is. Het NIVEL krijgt in dit geval dus geen informatie over individuele patiënten.

Met de volledige EPD-scan wordt een completer beeld van de volledigheid van patiëntendossiers gegeven. Het verschil met de mini-scan is dat voor de volledige EPD-scan een uitgebreide set van gegevens uit de elektronische patiëntendossiers van de huisarts wordt opgevraagd en dat de huisarts gedetailleerde informatie geeft over hoe de patiëntendossiers worden bijgehouden. Tot de gegevens die worden opgevraagd behoren ook gegevens waarmee indirect personen te herleiden zijn (geboortedatum, geslacht en de vier cijfers van de postcode). Zoals het NIVEL aangeeft zullen deze gegevens direct na binnenkomst in de database van NIVEL Zorgregistraties geanonimiseerd worden. Dit proces is nog in uitvoering. In de overgangsfase is daarom deels sprake van reeds gepseudonimiseerde gegevens en deels van indirect herleidbare gegevens. Deze gegevens bevinden zich volgens het NIVEL alleen in de database. Onderzoekers van het NIVEL die gebruik maken van deze gegevens krijgen deze gegevens niet te zien. Zij ontvangen een gegevensset die is geanonimiseerd, bijvoorbeeld door in plaats van de geboortedatum het geboortejaar weer te gegeven en de vier cijfers van de postcode te verwijderen.

De leden van de PvdA-fractie vragen de minister toe te lichten waarom de pseudonimiseringssoftware niet direct met de rest van de extractiemodule wordt geïnstalleerd, of in ieder geval voordat gegevens worden geëxtraheerd.

Volgens informatie van het NIVEL zijn de pseudonimiseringssoftware en de extractiemodule twee aparte stukjes software. De extractiemodule is jaren geleden door leveranciers van softwarepakketten van huisartsenpraktijken ten behoeve van LINH voor het NIVEL gemaakt. De extractiemodule zorgt ervoor dat een gegevensbestand wordt aangemaakt en dat het bestand vervolgens verzonden kan worden.

De pseudonimiseringssoftware is recent speciaal ontwikkeld om gegevens te pseudonimiseren voordat zij een deelnemende zorgpraktijk verlaten. Deze software wordt nu geïmplementeerd bij zorgverleners.

In de Gedragscode Gezondheidsonderzoek is opgenomen dat direct identificerende persoonsgegevens slechts bij uitzondering zonder toestemming van de betrokkenen zullen worden verwerkt. De leden van de PvdA-fractie vragen welke uitzonderingen bedoeld worden.

In artikel 6 van de Gedragscode Gezondheidsonderzoek is opgenomen dat in bepaalde situaties persoonsgegevens zonder toestemming van de betrokkenen verwerkt kunnen worden. De situaties waarin dit het geval is zijn eveneens in de Gedragscode opgenomen. Het betreft situaties waarin het in redelijkheid niet mogelijk is om toestemming te vragen, bijvoorbeeld een situatie dat het vragen van toestemming en dusdanig grote belasting voor de patiënt betekent dat voor psychische schade moet worden gevreesd, dan wel dat de patiënt is overleden of na tweemaal op het juiste adres te zijn aangeschreven, niet reageert. Bovendien dient daarbij voldaan te zijn aan voorwaarden, bijvoorbeeld dat het onderzoek een algemeen (volksgezondheids)belang dient en dat het naar wetenschappelijke maatstaven zinvol en deugdelijk is.

Koppelen gegevens onderzoeken

De leden van de PvdA-fractie en D66-fractie vragen welke garantie patiënten hebben dat de gegevens van de verschillende onderzoeken van NIVEL niet gekoppeld worden, waar dit is vastgelegd, wie hier toezicht op houdt en wat de sancties zijn in geval van overtreding.

Volgens informatie van het NIVEL kunnen de gegevens van de mini-scan niet gekoppeld worden omdat ze geen patiëntgegevens bevatten. De gegevens voor de volledige EPD-scan worden door het NIVEL bij ontvangst ontdaan van de postcode, waarna ze feitelijk onkoppelbaar worden. Wat betreft de koppelmogelijkheden van NIVEL zorgregistraties (c.q. LINH) is de situatie anders. Hiervoor moeten koppelingen die tot individuele herleidbaarheid kunnen leiden worden onderscheiden van koppelingen die tot doel hebben om onderzoeksgegevens te verrijken om complexe onderzoeksvragen te kunnen beantwoorden. Koppelingen die tot individuele herleidbaarheid kunnen leiden zijn wettelijk niet toegestaan. Volgens het NIVEL vinden die vanuit het NIVEL dan ook niet plaats. Koppelingen van bestanden ten behoeve van verrijking van de voor de onderzoeker anonieme gegevens, vindt ten behoeve van wetenschappelijk onderzoek, onder voorwaarden, wel plaats. In het privacyreglement heeft het NIVEL de procedure voor verstrekken van gegevens voor vervolgonderzoek opgenomen. Hierin staat onder andere dat met de onderzoeker die de gegevens ontvangt, een overeenkomst wordt gesloten waarin afspraken worden gemaakt over de wijze waarop de gegevens verwerkt mogen worden. Voorts is het volgens het NIVEL niet mogelijk dat de volgende onderzoeker de verkregen gegevens zelf kan koppelen. Dit kan uitsluitend met behulp van NIVEL omdat de gegevens door hen onder een nieuw pseudoniem worden verstrekt. De eventuele vervolgkoppeling zou daarom reeds bij de verstrekking moeten zijn voorzien en goedgekeurd.

Het CBP houdt toezicht op naleving van de Wet bescherming persoonsgegevens en is bevoegd om ter handhaving een last onder dwangsom of bestuursdwang op te leggen.

Gebruik van gegevens door derden

De leden van de PvdA fractie vragen of en met welk doel door derden aanvragen zijn ingediend voor het gebruik van gegevens en of er bij het toestaan van gebruik van gegevens door derden rekening mee wordt gehouden dat de gegevens gekoppeld kunnen worden met gegevens uit andere onderzoeken. Ook vragen zij zich in dit kader af waarom de privacycommissie niet betrokken wordt bij dergelijke aanvragen.

Volgens het NIVEL heeft LINH vanaf 2012 tot en met heden 44 gegevensaanvragen in behandeling genomen. Een overzicht van gegevensaanvragen is bijgesloten. Vanaf 2014 zullen gegevensaanvragen bij NIVEL Zorgregistraties openbaar gepubliceerd worden op de website van het NIVEL (www.nivel.nl ).

Het NIVEL heeft maatregelen genomen tegen het koppelen van gegevens door derden. Als algemene regel geldt dat alleen gegevens worden verstrekt die voor het desbetreffende onderzoek noodzakelijk zijn. Voorts wordt koppeling van gegevens door het NIVEL tegengegaan door in gegevensverstrekkingen aan derden de geboortedatum en de viercijferige postcode weg te laten.

Aangezien de standaardgegevens die aan derden verstrekt worden geen persoonsgegevens bevatten, is het volgens het NIVEL niet nodig om de privacycommissie bij aanvragen voor gebruik van deze gegevens te betrekken. Mocht zich een situatie voordoen waarin een aanvraag wordt ingediend voor gegevens die van de standaardgegevens afwijken, en mogelijk wel persoonsgegevens zijn, zal de privacycommissie om advies gevraagd worden.

Keuze voor datasets

Ook vragen de leden van de PvdA-fractie of het juist is dat er geen privacy-experts of vertegenwoordigers van patiënten- of consumentenorganisaties betrokken zijn bij beslissingen van de verschillende kamers welke data verzameld worden en over mogelijke uitbreiding van datasets.

Zoals opgenomen in het governance-document NIVEL Zorgregistraties eerste lijn, adviseert de privacycommissie over de veranderingen of uitbreidingen in de te verzamelen data. Vertegenwoordigers van patiënten- of consumentenorganisaties zijn hier niet bij betrokken. Zij hebben evenals andere relevante maatschappelijke en wetenschappelijke organisaties, wel zitting in de adviesraad. Het adviseren over het wijzigen of uitbreiden van de datasets, is volgens het NIVEL geen taak van de adviesraad.

Samenstelling adviesraad onderzoek

De leden van de PvdA-fractie vragen voorts op welke gronden het NIVEL over de samenstelling van de adviesraad beslist, welke partijen op dit moment in de adviesraad vertegenwoordigd zijn, voor welke periode partijen aan de adviesraad kunnen deelnemen en of en hoe zij verwijderd kunnen worden.

Uit informatie van het NIVEL blijkt dat de wetenschappelijk/maatschappelijke adviesraad voor NIVEL Zorgregistraties door het NIVEL breed zal worden samengesteld uit leden van alle relevante maatschappelijke en wetenschappelijk organisaties. Volgens het NIVEL zal dit in de tweede helft van 2013 gebeuren. In de loop van 2013/14 zal door de adviesraad een apart reglement opgesteld worden, waarin onder meer zal worden afgesproken voor welke periode leden zitting nemen en hoe partijen uit de adviesraad verwijderd kunnen worden.

De leden van de PvdA-fractie hebben tot slot een aantal vragen over de positie en de rol van patiëntenorganisaties in de adviesraad. Zij vragen of patiëntenorganisaties alleen in de adviesraad vertegenwoordigd kunnen zijn als zij door kamers worden voorgedragen en of zij eigenlijk niet altijd plaats in de adviesraad zouden moeten hebben aangezien de patiënt de eigenaar is van zijn of haar gegevens.

Het NIVEL zal op eigen initiatief instanties voor de wetenschappelijk/ maatschappelijke adviesraad voor NIVEL Zorgregistraties uitnodigen. Ook patiëntenorganisaties zullen door het NIVEL worden uitgenodigd deel te nemen. Het NIVEL geeft aan dat de benadering van deelnemers in augustus 2013 plaats zal vinden. Het NIVEL is het eens met de leden van de PvdA dat patiëntenorganisaties altijd plaats dienen te hebben in de adviesraad zodat de belangen van patiënten voldoende gewaarborgd worden.

De leden van de PVV-fractie vragen hoe het NIVEL de afweging maakt of melding bij het CBP al dan niet nodig is voor het verwerken van medische gegevens en of het niet aan te bevelen is elke verwerking van medische gegevens te melden bij het CBP.

Verwerking van persoonsgegevens ten behoeve van onderzoek dient gemeld te worden bij het CBP. Hierop bestaan uitzonderingen. Eén van de uitzonderingen is wanneer de gegevensverwerking gebeurt door een onderzoeker die verbonden is aan een organisatie voor wetenschappelijk onderzoek en het uitsluitend verwerking van indirect identificerende gegevens betreft. Volgens informatie van het NIVEL worden door het NIVEL geen direct identificerende gegevens verwerkt. Melding bij het CBP is dus niet nodig. Desalniettemin is NIVEL Zorgregistraties toch aangemeld bij het CBP.

De leden van de PVV-fractie en de D66-fractie vragen of zorgverleners een vergoeding krijgen voor het beschikbaar stellen van patiëntgegevens.

Zorgverleners krijgen geen vergoeding voor deelname aan NIVEL Zorgregistraties of aan LINH. Wel krijgen zij spiegelinformatie over hun praktijkvoering, die hen helpt om de zorg beter te maken. Meer informatie hierover is te vinden op de website www.nivel.nl/mijnpraktijk-demo .

Voor de mini-scan geldt dat praktijken aanspraak maken op de zogenaamde variabiliseringsgelden1 wanneer zij minimaal 70% van de consulten voorzien van een diagnose of symptoomcode volgens het ICPC (International Classification of Primary Care) classificatiesysteem. Met deze internationale classificatie kunnen de meest voorkomende symptomen en klachten, diagnosen en interventies in de huisartspraktijk benoemd en gecodeerd worden. Voor de volledige EPD-scan is op dit moment geen extra vergoeding.

De leden van de SP-fractie vragen de toezegging dat de privégegevens van mensen optimaal beschermd worden bij de onderzoeken van het NIVEL.

Zoals eerder aangegeven op een vraag van de leden van de PvdA-fractie, is voor de informatiebeveiliging in de zorg een speciale norm beschikbaar van het Nederlands Normalisatie-instituut, te weten NEN 7510:2011 (NEN 7510). Indien de in NEN 7510 genoemde maatregelen zijn getroffen, mag er volgens het CBP van uit worden gegaan dat passende technische en organisatorische maatregelen zijn getroffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Zoals in het privacyreglement NIVEL Zorgregistraties eerste lijn is opgenomen, wordt NEN 7510 door het NIVEL gevolgd en volgens het NIVEL voldoet de gegevensverwerking ten behoeve van NIVEL Zorgregistraties eerste lijn aan de veiligheidseisen die de Wet bescherming persoonsgegevens stelt.

De leden van de SP-fractie vragen of in de privacycommissie ook mensen met kennis van infrastructuur en veiligheid zijn opgenomen.

Zoals is opgenomen in het «Voorlopig governance document NIVEL Zorgregistraties eerste lijn van 7 november 2012», zitten in de privacycommissie een onafhankelijke jurist die gespecialiseerd is in privacybescherming in de gezondheidszorg en de privacyfunctionaris van het NIVEL, die eveneens jurist is. De bijeenkomsten van de privacycommissie worden bijgewoond door de projectleider van NIVEL Zorgregistraties en de coördinator ICT. Het NIVEL is van mening dat met deze personen voldoende kennis over infrastructuur en veiligheid aanwezig is.

De leden van de D66-fractie vragen wat er na afronding van de EPD-scan met de ter beschikking gestelde patiëntgegevens gebeurt.

Volgens informatie van het NIVEL worden direct bij ontvangst van gegevens voor een volledige EPD-scan de vier cijfers van de postcode gewist. De overige gegevens worden niet gewist, maar worden gebruikt bij verder onderzoek naar de kwaliteit van dossiervorming bij huisartsen. Doordat de postcode verwijderd is, zijn deze gegevens feitelijk anonieme gegevens geworden. Ook hierna worden de gegevens bewaard, zodat achteraf, zoals gangbaar is in de wetenschap, nagegaan kan worden of het onderzoek juist is uitgevoerd en om hiermee veranderingen in dossiervorming in de tijd te onderzoeken. In geval van een mini-scan is geen sprake van patiëntgegevens.

Wat betreft NIVEL Zorgregistraties en LINH geldt dat hierbij door het NIVEL longitudinale gegevens worden verzameld door de waarnemingen of metingen op een aantal achtereenvolgende tijdstippen te herhalen. Mede vanwege de aard van het onderzoek worden ook deze verzamelde gegevens niet gewist.

De leden van de D66-fractie vragen verder of het in de praktijk zo is dat in plaats van een «geanonimiseerd dossier» een vrijwel compleet EPD bij een derde partij bekend is, zonder dat de privacy van de patiënt volledig gewaarborgd is?

Het NIVEL beschikt naar eigen zeggen niet over een vrijwel compleet EPD. Zo wordt informatie uit «vrije tekst» niet verzameld omdat daar privacygevoelige informatie in kan staan. Het NIVEL geeft aan dat de privacy van de patiënt volledig gewaarborgd is. Het NIVEL beschikt enkel over mogelijk indirect identificerende informatie. Zoals hiervoor reeds besproken in reactie op vragen van andere fracties, worden door het NIVEL alle nodige maatregelen getroffen om de privacy van patiënten te beschermen. Naast de reeds bestaande maatregelen, wordt in de loop van 2013 pseudonimiseringssoftware bij zorgpraktijken geïnstalleerd. Bovendien hebben volgens het NIVEL onderzoekers geen inzage in de databestanden met indirect herleidbare gegevens. Deze gegevens kunnen slechts ten behoeven van onderhoud aan de database worden ingezien door een kleine groep medewerkers van het NIVEL. Voorts vindt het transport van gegevens plaats via beveiligde verbindingen.

De leden van de D66-fractie vragen of de minister het NIVEL erop zal aanspreken om over te stappen op een verdergaande wijze van anonimiseren?

Het NIVEL geeft aan dat alle nodige maatregelen getroffen zijn om de patiëntgegevens te anonimiseren en dat de werkwijze van NIVEL conform bestaande wet- en regelgeving is. Er is dan ook geen aanleiding om het NIVEL hierop aan te spreken. Het is aan het CBP om hier toezicht op te houden en zo nodig handhavend op te treden.

X Noot
1

Het ministerie van VWS heeft 60 miljoen euro van het huisartsenkader geoormerkt voor variabilisering met als doel de kwaliteitsverschillen tussen huisartsen inzichtelijk te maken en huisartsen voor bepaalde kwaliteitsinspanningen te belonen. De landelijke huisartsen vereniging (LHV) en Zorgverzekeraars Nederland (ZN) maken jaarlijks afspraken waarvoor deze middelen worden ingezet. In 2013 is gekozen om deze te besteden aan volledigheid van dossiervorming.

Naar boven