Recentelijk heeft de Autoriteit Persoonsgegevens (hierna: ‘AP’) zich uitgesproken over een langlopende kwestie: de ‘Routine Outcome Monitoring’-data in de GGZ. De Alliantie kwaliteit in de geestelijke gezondheidszorg (‘Akwa GGZ’) is door de AP flink op de vingers getikt (lees: berisping) voor het gebruik van deze data. Wat houdt deze uitspraak in en belangrijker nog, wat is het gevolg voor de privacy en benchmarking?
Uitspraak AP
Stichting Benchmark GGZ (hierna: ‘SBG’) heeft kwaliteitsonderzoek verricht bij verschillende zorgaanbieders in de GGZ. In het kader van dit onderzoek, hebben cliënten vragenlijsten ingevuld over onder andere het behandeleffect en de klanttevredenheid. De gegevens die hieruit werden verkregen, zijn aan te duiden als ‘Routine Outcome Monitoring’-data (hierna: ‘ROM-data’). Op deze manier zou de kwaliteit van de zorg kunnen worden gemeten waarbij vergelijkingsmateriaal over behandelingen beschikbaar komt, ook wel benchmarken genoemd. Maar wat is benchmarken nu eigenlijk?
Wat is benchmarken?
Benchmarken houdt in dat middels een vergelijkinstrument, in dit geval de ROM-data, de prestaties van verschillende behandelingen kunnen worden gemeten en vergeleken met elkaar. Zodoende ontstaat inzicht voor de zorgaanbieders in hun geleverde prestaties/kwaliteit ten opzichte van andere zorgaanbieders. Het meten van kwaliteit is dan ook erg waardevol, met name in de zorg. Het houdt eenieder scherp en kan daarnaast bijdragen aan een algehele verbetering van de kwaliteit van geleverde zorg. Op welke wijze wordt gebenchmarkt is echter van belang, hetgeen ook blijkt uit de uitspraak van de AP.
Conclusie AP
Om even terug te gaan naar de AP: de verzamelde ROM-data werd, na pseudonimisering, doorgestuurd naar SBG. Als gevolg van de ontstane kritiek en een handhavingsverzoek is de AP deze werkwijze gaan onderzoeken, waarna zij heeft geconstateerd dat SBG de beveiliging van deze ROM-data niet goed op orde heeft. Zo zou bijvoorbeeld steeds dezelfde sleutel voor pseudonimisering worden gebruikt. Zodoende is de ROM-data, zoals aanvankelijk werd gedacht, niet anoniem waardoor aan de verplichting uit onder andere de AVG moet worden voldaan.
De ROM-data bevatten gezondheidsgegevens van patiënten. Op grond van de AVG is het verwerken van dergelijke (bijzondere) gegevens verboden, tenzij een in de AVG genoemde uitzondering van toepassing is. De AP heeft geconcludeerd dat geen van deze wettelijke uitzonderingsgronden van toepassing zijn geweest. Hiermee was de verwerking van ROM-data door SBG zodoende verboden. Doordat SBG deze gegevens in een later stadium heeft overgedragen aan Akwa GGZ, heeft de AP een berisping opgelegd aan Akwa GGZ.
Beveiliging en benchmarking
De uitspraak van de AP onderstreept wederom het belang van goede beveiliging
. Desondanks moet de uitspraak niet afschrikken om kwaliteit te monitoren en de uitkomsten onderling te vergelijken. Het is echter belangrijk dat dit op zorgvuldige wijze gebeurt, waarbij enerzijds de beveiliging van gegevens wordt gewaarborgd en anderzijds goed wordt gekeken naar de waarde van de data.
In de zorg betreft het per definitie gevoelige (persoons)gegevens. Het is daarom raadzaam om (zo veel mogelijk) geanonimiseerde gegevens te gebruiken voor de benchmark of te zorgen voor een wettelijke grondslag voor verwerking.
Bovendien moet bij het vergelijken van informatie goed gekeken worden naar de waarde van de beschikbare informatie waarbij afgevraagd moet worden of de gegevens die vergeleken worden soortgelijk zijn en welke conclusies uit de data getrokken kan worden.
Tot slot: seminar Benchmarks en opleiding Functionaris Gegevensbescherming
Het meten van kwaliteit van zorg is belangrijk. Dit dient echter wel op een zorgvuldige manier te gebeuren, waarbij de privacy wordt gewaarborgd. De AP heeft dit in haar uitspraak nogmaals onderstreept.
Wilt u de juiste handvatten om zelf te gaan benchmarken, waarbij de privacy in het oog wordt gehouden? Meld u dan aan voor onze opleiding Functionaris Gegevensbescherming op 5 februari 2020 en/of ons seminar ‘Benchmarks in de zorg’ op 11 februari 2020.