Inleiding
Zorgdata kunnen een enorme bijdrage leveren aan het verbeteren van de zorg. Tegelijkertijd is het in de praktijk erg lastig om met zorgdata te werken. Wetgeving op gebied van privacy en beroepsgeheim is streng en niet altijd glashelder. Het onderwerp ligt gevoelig in de media, wat zorgbestuurders voorzichtig maakt. Daar komt nog bij dat de zorg vrij versnipperd is georganiseerd. Dat betekent dat je dan al snel praat over het delen van data tussen organisaties. Iets dat altijd lastiger is dan data gebruiken binnen organisaties.
In dit dossier proberen wij overzicht te houden op dit lastige onderwerp. Wij beperken ons daarbij tot hoofdlijnen om te voorkomen dat wij door de bomen het bos niet meer zien. Alleen waar nodig duiken wij er dieper in.
Actueel
App Coronamelder aanleiding voor onderzoek medische apps.
De Minister van VWS heeft naar aanleiding van discussie in de Eerste Kamer aan de Gezondheidsraad gevraagd om een advies uit te brengen over criteria voor het werken door de overheid met gezondheidsapps voor screening doeleinden. Eind januari 2021 is de tijdelijke commissie criteria gezondheidsapps bij de Gezondheidsraad geïnstalleerd. Doel is om al in juni te rapporteren aan de Minister.
Wetsvoorstel electronische gegevensuitwisseling in de zorg
Dit wetvoorstel ligt momenteel bij de Raad van State ter advisering. De afspraak was oorspronkelijk dat het “begin 2021” bij de Tweede Kamer zou worden ingediend. Vanwege de demissionaire status van het kabinet wordt dit mogelijk later. Dit wetsvoorstel regelt een algemene bevoegdheid voor VWS om gegevensuitwisselingen aan te wijzen die (na die aanwijzing) alleen nog maar digitaal mogen plaatsvinden. Daarnaast regelt dit wetsvoorstel dat er aan die digitale uitwisselingen eisen kunnen worden gesteld. Dat zal gebeuren via verplichte certificering.
Onderzoek ACM naar zorg ict markt
Vanuit de zorgwereld en ook de Tweede Kamer is er steeds meer kritiek op aanbieders van IT systemen in de zorg. Die zouden zich te veel gedragen als monopolisten met slechte service en hoge kosten tot gevolg. De kritiek richt zich met name op de markt voor ziekenhuis IT waar twee grote bedrijven het overgrote deel van de markt in handen hebben. Op dit moment is de ACM bezig die markt te onderzoeken. In 2021 komt de ACM met haar bevindingen.
In Brussel staat onderwerp op agenda
Zorg is tot nu toe een beleidsonderwerp waar Brussel maar beperkt over gaat. Vanuit de EU regelen wij vooral hoe producten op de markt mogen komen. Hoe wij de zorg organiseren bepalen de lid staten zelf. In COVID tijden komt samenwerking in europa meer op de agenda. Zo heeft Duitsland (als voorzitter in 2020) de European Health Data Space op de agenda gezet. Nog een wat abstract concept maar het achterliggende idee is dat voor onderzoek en ontwikkeling het van belang is te kunnen beschikken over koppelbare zorgdata op een veilige wijze. Bij dit soort initiatieven speelt ook mee dat er toenemende vrees is dat wij in Europa afhankelijk worden van partijen uit de VS of China.
Inhoudelijk kerndeel
Werken met zorgdata, de complexiteit
Aan het werken met persoonsgegevens worden in europa strenge eisen gesteld via de AVG (algemene verordening gegevensbescherming). Daarbinnen gelden weer extra eisen voor bijzondere categorieën persoonsgegevens die als extra gevoelig worden gezien. Gegevens over iemands gezondheid zijn daarvan een voorbeeld.
De AVG gaat ruwweg uit van een soort één op één relatie tussen iemand om wiens gegevens het gaat en een organisatie die de gegevens verwerkt. Bij iets als netwerkzorg wordt het dan al snel ingewikkeld. Wie is dan de “verantwoordelijke voor de verwerking” in de zin van de AVG?
Maatschappelijke gevoeligheid leidt tot nieuwe problemen
In 2011 sneuvelde in de Eerste Kamer het landelijke EPD. Vervolgens werd in de politiek afgesproken dat uitwisseling van gegevens in de zorg decentraal door “het veld” zou worden georganiseerd. Daarbij moesten dan wel “publieke randvoorwaarden” gelden. Dat leek een duidelijke rolverdeling. Den Haag zorgt voor spelregels en zorgorganisaties en IT dienstverleners zorgen dat de uitwisseling in de praktijk volgens die regels gebeurt. Dat ligt allemaal wel wat ingewikkelder blijkt wel uit het dossier “toestemming”. Doordat de politiek graag veel waarborgen voor het gebruik van zorgdata wilde zijn er extra eisen afgesproken waaraan toestemming (van een burger om zorgdata te mogen gebruiken) moet voldoen. Dat werd het concept “gespecificeerde toestemming”. Het gaat te ver om alle technische details hiervan te bespreken. Wij volstaan hier met de conclusie dat na jaren sleutelen aan de uitwerking VWS moest constateren dat dit inde praktijk onwerkbaar werd. Om het juridisch correct uit te voeren moest een burger zich door 160 vragen werken om zijn of haar “toestemmingsprofiel” in te regelen. Momenteel is VWS bezig met een “herijking” van dit dossier.
Waar zitten nu de grootste issues vanuit perspectief van medische technologie?
Data kunnen gebruiken voor onderzoek
Dit betekent dat er duidelijkheid is over interpretatie van regelgeving. Opvallend is bijvoorbeeld dat de AP (autoriteit persoonsgegevens) wel dreigt met hoge boetes maar tot nu toe nauwelijks helpt om meer duidelijkheid te geven over interpretatie van de regels.
Vooraf moeten partijen meer comfort kunnen krijgen over hoe er verantwoord met data samengewerkt kan worden. De AP zou een voorbeeld kunnen nemen aan de ACM die speciaal voor de zorg diverse situaties heeft beschreven en zo de onzekerheid over interpretatie van de kartelregels sterk heeft verminderd.
De hiervoor al genoemde problemen rondom het dossier “toestemming” blijven lastig. Hoe kan toestemming op de juiste manier worden verkregen? Extra vervelend is dat het dossier “toestemming” bij VWS nu even stil staat.
Zorgdata delen in geval van samenwerking
Bij het organiseren van zorg over grenzen van zorgaanbieders heen is er de vraag hoe samen te werken in een dossier of in ieder geval informatie te delen met elkaar. Denk aan een regionaal project waarbij diverse zorgaanbieders samen meer op de patiënt gerichte zorg verlenen. Dat is in de praktijk best lastig want het roept direct de vraag op wie voor de gegevensverwerking verantwoordelijk is. Dit vraagstuk hangt direct samen met de vraag hoe de besturing (governance) van die zorg is geregeld. Belangrijk is dat over het algemeen nodig is dat de patiënt toestemming geeft voor de gegevensverwerkingen in het kader van het zorgproject.
In het kader van een multi disciplinair zorgproject ligt het voor de hand dat één van de gezamenlijke doelen is om zoveel mogelijk incidenten (exacerbaties) te voorkomen. In dat verband is het vaak wenselijk om zoveel mogelijk data (van labwaarden tot verrichtingen en door patiënt gemeten ervaringen) van een patiënt door de tijd te kunnen volgen. Zo kunnen tijdig patiënten at risk worden geselecteerd. Een valide toepassing waarvoor het lastig is om te organiseren dat hiervoor een duidelijke verantwoordelijke (in de zin van de AVG) is die ook een voldoende juridische grondslag heeft voor deze verwerking.
