G.J. Zwenne

Jul 032017
 

§1. Aanleiding

De meldplicht datalekken werd bijna anderhalf jaar geleden ingevoerd en heeft velen van ons duchtig beziggehouden. Het afgelopen jaar zijn er bij de Autoriteit persoonsgegevens (Ap) weliswaar veel minder datalekken gemeld dan verwacht – voorspeld waren 66 duizend meldingen en het werden er uiteindelijk niet meer dan 5.5001 – maar de opwinding erover was er niet minder om. Terecht natuurlijk. Want een serieus, en dus meldplichtig datalek, kan duiden op substantiële problemen in de organisatie van de verantwoordelijke en leiden tot grote risico’s of op zijn minst overlast bij de betrokkenen. Over de meldplicht van artikel 34a van de Wet bescherming persoonsgegevens (“Wbp” of ook wel “de wet”) is, voorzover wij uit openbare bronnen kunnen achterhalen, nog geen rechtspraak. Wel heeft de Ap enkele weken voor de inwerkingtreding ervan beleidsregels bekend gemaakt. Daarin zet de toezichthouder uiteen wat volgens haar een datalek of inbreuk op de beveiliging van persoonsgegevens is en wanneer zo een [lees verder]

May 172017
 

Privacyrisico’s en -waarborgen bij het gebruik van big data tegen zorgfraude: een verkenning

Gerrit-Jan Zwenne & Wilfred Steenbruggen[1]

1. INLEIDING

Er is veel aandacht voor zorgfraude. In de landelijke media, zowel online als offline, zien we vrijwel dagelijks soms wat tendentieus of schreeuwerig getoonzette berichten, zoals dat ‘artsen voor miljard euro frauderen’,[2] ‘miljoenenfraude in de thuiszorg’,[3] ‘zorgfraude ziekenhuizen voor tientallen miljoenen’[4], ‘2,5 miljoen boete voor St. Antonius Ziekenhuis wegens foute declaraties’[5], of meer anekdotisch ‘tandartsrekening voor niet bestaande cliënt[6], ‘rekening voor afgezegd consult’,[7] ‘Nijverdaller Wesseling krijgt dubbele rekening ziekenhuis’[8], ‘frauderen blijkt een fluitje van een cent’,[9] ‘VVD wil frauderende pgb-bemiddelaars op zwarte lijst’[10], ‘Opnieuw geknoei met declaraties in de ggz’[11], ‘Zorgverzekeraars hebben geen idee welke psychische zorg zij vergoeden’[12] en ‘Miljoenenverlies zorgverzekeraars door EuroPsyche’[13]

Het is een willekeurige greep uit de vele nieuwsberichten die ons in de laatste jaren hebben bereikt. We moeten daarbij natuurlijk onderkennen dat de keuze voor het taalgebruik in deze berichten, en de redactie van de koppen erboven, ook verband houdt met de commerciële wens om meer lezers te bereiken en meer clicks te genereren. En ook dat het helemaal niet is gezegd dat in al deze gevallen ook daadwerkelijk sprake is van opzettelijk frauduleus handelen. Toch maakt het wel duidelijk dat er het nodige mis gaat bij het declareren door zorgaanbieders en dat daarmee grote bedragen zijn gemoeid. Hoe groot precies is niet bekend. Schattingen lopen uiteen van tientallen miljoenen euro’s tot enkele miljarden euro’s per jaar.[14]

Dit soort bedragen zet de betaalbaarheid van ons zorgstelsel onder druk en leidt tot erosie van solidariteit, zeker in tijden waarin de zorgkosten toch al sterk oplopen door de vergrijzing. Het verbaast dan ook niet dat wordt aangedrongen op een stevige aanpak van zorgfraude. Vanaf 2011 wordt er hard geroepen om handhaving en naming-and-shaming van ‘sjoemelende zorginstellingen, frauderende ziekenhuizen en malafide pgb-bemiddelingsbureaus’. Daarbij wordt veel verwacht van de inzet van big data. In de zorgsector worden enorme hoeveelheden gegevens verzameld en bij elkaar gebracht, bij zorgverzekeraars en bij toezichthouders. Deze gegevens zouden met behulp van slimme data-analyses (big data predictive analytics) mogelijk onregelmatigheden en fraude sneller en beter kunnen herkennen, zodat deze kan worden voorkomen of in elk geval dat daartegen tijdig kan worden opgetreden

Voor de meeste juristen en vele anderen is het thema big data onlosmakelijk verbonden met vragen over privacy- en gegevensbescherming. …lees verder

[1] Prof mr. Gerrit-Jan Zwenne is hoogleraar Recht en de informatiemaatschappij in Leiden en advocaat in Amsterdam, mr. dr. drs. Wilfred Steenbruggen is advocaat in Rotterdam.

[2] Nu.nl 4 november 2011 <www.nu.nl/economie/2659067/artsen-frauderen-miljard-euro.html>

[3] Een vandaag 12 juni 2009 <www.eenvandaag.nl/binnenland/34816/miljoenenfraude_in_de_thuiszorg>

[4] Nu.nl 16 mei 2013 <www.nu.nl/binnenland/3476441/zorgfraude-ziekenhuizen-tientallen-miljoenen.html>

[5] Nu.nl 11 februari 2014 <www.nu.nl/economie/3698935/25-miljoen-boete-st-antonius-ziekenhuis.html>

[6] NRC 4 september 2013.

[7] Tubantia 12 augustus 2014.

[8] Tubantia 1 augustus 2014.

[9] AD 14 februari 2013.

[10] Nu.nl juli 2015 <www.nu.nl/politiek/4079090/vvd-wil-frauderende-pgb-bemiddelaars-zwarte-lijst.html>

[11] Nos.nl 27 december 2015 <http://nos.nl/artikel/2077357-opnieuw-geknoei-met-declaraties-in-de-ggz.html>

[12] Volkskrant 4 mei 2012.

[13] Volkskrant 14 februari 2013.

[14] PWC (2013), Naar een fraudebeeld Nederland.

May 042017
 

Op 7 maart jl. verzocht ik de Autoriteit persoonsgegevens (“Ap”) mij een kopie te verstrekken van de brief die de toezichthouder eind februari had verstuurd naar een aantal koepelorganisaties, zijnde: de Pensioenfederatie, het Verbond van Verzekeraars en de Nederlandse Vereniging van Banken, met daarin een specifieke regeling voor de datalekken die zich zouden kunnen voordoen bij een verkeerd bezorgde brief, die geopend is teruggestuurd naar de verantwoordelijke. En, zoals dat gaat, daarbij deed ik gemakshalve een beroep op de Wet openbaarheid van bestuur (“Wob”).

Op 24 april jl. heeft Ap mijn verzoek toegewezen en de drie gevraagde brieven aan mij verstrekt. De brieven zijn daarmee openbaar en daarom zijn daaruit, met het oog op de bescherming van de persoonlijke levenssfeer, de namen van de desbetreffende Ap-medewerkers verwijderd. De namen van de geadresseerden bij de drie organisaties zijn blijven staan. Ik ga er maar vanuit dat zij daartegen geen bezwaar maken.

Hoe dan ook. In de drie gelijkluidende brieven staat onder welke voorwaarden zoekgeraakte post niet binnen 72 uur maar pas na een maand (“uiterlijk op de overeenkomstige dag van de eerstvolgende kalendermaand na de dag van ontdekking“) behoeft te worden gemeld.

Uit het besluit maak ik op dat de verschillende brieven overeenkomstig de artikelen 2 en 5.4 van de Beleidsregels openbaarmaking (Stcrt. 2016, nr. 1380) ook op de website van Ap zouden moeten staan. Ik heb ze daar nog niet aangetroffen. Daarom in elk geval ook zo:

Het is overigens nog maar de vraag of de Wet bescherming persoonsgegevens altijd van toepassing is op zoekgeraakte brieven. Daarover schreef ik met Paul de Groot van PostNL een tekst die als het goed is nog deze maand wordt gepubliceerd in het tijdschrift Privacy & Informatie en dan ook op dit blog zal zijn te vinden.