May 172017
 

Privacyrisico’s en -waarborgen bij het gebruik van big data tegen zorgfraude: een verkenning

Gerrit-Jan Zwenne & Wilfred Steenbruggen[1]

1. INLEIDING

Er is veel aandacht voor zorgfraude. In de landelijke media, zowel online als offline, zien we vrijwel dagelijks soms wat tendentieus of schreeuwerig getoonzette berichten, zoals dat ‘artsen voor miljard euro frauderen’,[2] ‘miljoenenfraude in de thuiszorg’,[3] ‘zorgfraude ziekenhuizen voor tientallen miljoenen’[4], ‘2,5 miljoen boete voor St. Antonius Ziekenhuis wegens foute declaraties’[5], of meer anekdotisch ‘tandartsrekening voor niet bestaande cliënt[6], ‘rekening voor afgezegd consult’,[7] ‘Nijverdaller Wesseling krijgt dubbele rekening ziekenhuis’[8], ‘frauderen blijkt een fluitje van een cent’,[9] ‘VVD wil frauderende pgb-bemiddelaars op zwarte lijst’[10], ‘Opnieuw geknoei met declaraties in de ggz’[11], ‘Zorgverzekeraars hebben geen idee welke psychische zorg zij vergoeden’[12] en ‘Miljoenenverlies zorgverzekeraars door EuroPsyche’[13]

Het is een willekeurige greep uit de vele nieuwsberichten die ons in de laatste jaren hebben bereikt. We moeten daarbij natuurlijk onderkennen dat de keuze voor het taalgebruik in deze berichten, en de redactie van de koppen erboven, ook verband houdt met de commerciële wens om meer lezers te bereiken en meer clicks te genereren. En ook dat het helemaal niet is gezegd dat in al deze gevallen ook daadwerkelijk sprake is van opzettelijk frauduleus handelen. Toch maakt het wel duidelijk dat er het nodige mis gaat bij het declareren door zorgaanbieders en dat daarmee grote bedragen zijn gemoeid. Hoe groot precies is niet bekend. Schattingen lopen uiteen van tientallen miljoenen euro’s tot enkele miljarden euro’s per jaar.[14]

Dit soort bedragen zet de betaalbaarheid van ons zorgstelsel onder druk en leidt tot erosie van solidariteit, zeker in tijden waarin de zorgkosten toch al sterk oplopen door de vergrijzing. Het verbaast dan ook niet dat wordt aangedrongen op een stevige aanpak van zorgfraude. Vanaf 2011 wordt er hard geroepen om handhaving en naming-and-shaming van ‘sjoemelende zorginstellingen, frauderende ziekenhuizen en malafide pgb-bemiddelingsbureaus’. Daarbij wordt veel verwacht van de inzet van big data. In de zorgsector worden enorme hoeveelheden gegevens verzameld en bij elkaar gebracht, bij zorgverzekeraars en bij toezichthouders. Deze gegevens zouden met behulp van slimme data-analyses (big data predictive analytics) mogelijk onregelmatigheden en fraude sneller en beter kunnen herkennen, zodat deze kan worden voorkomen of in elk geval dat daartegen tijdig kan worden opgetreden

Voor de meeste juristen en vele anderen is het thema big data onlosmakelijk verbonden met vragen over privacy- en gegevensbescherming. …lees verder

[1] Prof mr. Gerrit-Jan Zwenne is hoogleraar Recht en de informatiemaatschappij in Leiden en advocaat in Amsterdam, mr. dr. drs. Wilfred Steenbruggen is advocaat in Rotterdam.

[2] Nu.nl 4 november 2011 <www.nu.nl/economie/2659067/artsen-frauderen-miljard-euro.html>

[3] Een vandaag 12 juni 2009 <www.eenvandaag.nl/binnenland/34816/miljoenenfraude_in_de_thuiszorg>

[4] Nu.nl 16 mei 2013 <www.nu.nl/binnenland/3476441/zorgfraude-ziekenhuizen-tientallen-miljoenen.html>

[5] Nu.nl 11 februari 2014 <www.nu.nl/economie/3698935/25-miljoen-boete-st-antonius-ziekenhuis.html>

[6] NRC 4 september 2013.

[7] Tubantia 12 augustus 2014.

[8] Tubantia 1 augustus 2014.

[9] AD 14 februari 2013.

[10] Nu.nl juli 2015 <www.nu.nl/politiek/4079090/vvd-wil-frauderende-pgb-bemiddelaars-zwarte-lijst.html>

[11] Nos.nl 27 december 2015 <http://nos.nl/artikel/2077357-opnieuw-geknoei-met-declaraties-in-de-ggz.html>

[12] Volkskrant 4 mei 2012.

[13] Volkskrant 14 februari 2013.

[14] PWC (2013), Naar een fraudebeeld Nederland.

Oct 052016
 

Het siert Airbnb dat het tot nu toe niet gezwicht is voor druk van sommige stemmen in gemeente om klantgegevens te delen

De Amsterdamse deeleconomie doet het goed. Via het online platform voor vakantieverhuur Airbnb verhuren veel Amsterdammers af en toe hun woning aan toeristen. De gemeente ziet daarvan de voordelen. Zo incasseerde de hoofdstad vorig jaar ongeveer € 5,5 mln aan toeristenbelasting van het platform. Amsterdam nam al in 2014 de beslissing om deze vorm van vakantieverhuur onder voorwaarden toe te staan.

Maar, zoals dat gaat, niet iedereen houdt zich altijd aan die voorwaarden. En daarom verlangt de gemeente thans de stelselmatig verstrekking van de persoonsgegevens van de gebruikers van het platform. De Amsterdamse overheid denkt dat dit kan op basis van vrijwilligheid en hoopt er in overleg met het platform uit te komen.

Op het eerste gezicht lijkt voor die maatregel wel wat te zeggen en onder andere in deze krant was daarvoor ook wel enige bijval. Omdat sommige van de overtreders gebruik maken van Airbnb ligt het voor de hand om van het platform te verlangen dat het de gegevens van huurders en verhuurders doorgeeft, zodat de gemeente effectief kan optreden tegen illegale verhuur en overlast. Waarom zou, zo redeneert de gemeente, Airbnb geen bijdrage leveren aan het oplossen van de problemen die door het gebruik van haar platform worden veroorzaakt?

Toch zou zo een ‘publiek-private samenwerking’ een slechte ontwikkeling zijn die op gespannen voet staat met de Wet Bescherming Persoonsgegevens, in het dagelijks leven ook wel de privacywet genoemd. Het zou betekenen dat de gegevens die zijn verzameld voor het aanbieden van een commerciële marktplaats worden gebruikt voor publiekrechtelijke repressieve handhavingsdoeleinden en de oplossing van grootstedelijke problemen.

Wie gebruik maakt van Airbnb verwacht, en mag in redelijkheid verwachten, dat zijn gegevens in beginsel alleen worden gebruikt door het verlenen van e de door deze gebruiker afgenomen diensten. En dat laat zich niet verenigen met de stelselmatige verstrekking van al die gegevens aan de overheid om overlast te bestrijden van een aantal van deze huurders en verhuurders. Daarbij is er het niet denkbeeldige risico dat de gegevens ook voor andere doeleinden gaan worden gebruikt. Bijvoorbeeld om iets te doen aan scheefwonen of inkomensbeleid. We spreken dan al snel van ‘fishing expeditions’ en ‘function creep’. En dat risico wordt alleen maar groter als gegevens ‘vrijwillig’ worden verstrekt aan de overheid zonder duidelijke wettelijke spelregels.

Er zijn natuurlijk situaties voorstelbaar waarbij de gemeente in individuele gevallen wél gegevens bij Airbnb moet kunnen opvragen. Maar daarvoor is in de wet voorzien in procedures die van de autoriteiten eisen dat zij zorgvuldige belangenafwegingen maken. Als er een onderzoek loopt tegen een verhuurder die zich niet houdt aan de regels, bijvoorbeeld als hij zijn woning — die onder de categorie vakantieverhuur valt — meer dan zestig dagen per jaar verhuurt, kan de gemeente bij Airbnb zijn gegevens opvragen. En als aan alle voorwaarden van de wet is voldaan, is er geen enkele reden waarom het platform de gegevens niet zou verstrekken.

Deze wettelijke regeling is er niet voor niets. Er is zo gewaarborgd dat er voldoende gewicht wordt toegekend aan de belangen van de huurders en verhuurders, waarvan de meesten zich keurig aan de regels houden. En ook dat de gemeente niet te gemakkelijk kan beschikken over hun gegevens. Het platform heeft in deze context ook al eerder aangegeven dat het gegevens zou verstrekken als dat op de juiste wijze wordt verzocht.

Het siert Airbnb dan ook dat het tot nu toe niet gezwicht is voor de druk van sommige stemmen in de gemeente om de gegevens van zijn klanten stelselmatig te delen. De hoogste Europese rechter heeft al een paar keer uitgesproken dat de verplichte bulkverstrekking van klantgegevens aan overheden al snel in strijd komt met het fundamentele recht van privacy en gegevensbescherming.

De gemeente Amsterdam doet er goed aan daarvan nota te nemen en Airbnb niet te dwingen om net zo illegaal te handelen als de verhuurders die de gemeente wil aanpakken.


Prof. mr. Gerrit-Jan Zwenne is hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden en advocaat bij Brinkhof te Amsterdam.

Sep 032016
 

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. Als het gaat om de verwerking van persoonsgegevens hebben we vanaf dat moment niet meer te maken met de Wet bescherming persoonsgegevens, maar met nieuwe regels die in de hele Europese Unie gelijk zijn. Wat betekent dat? In deze bijdrage gaan we in op de tien belangrijkste veranderingen die de verordening met zich brengt.

Apr 172016
 

In de halfacht editie van het RTL Nieuws, een veelbekeken nieuwsprogramma op de Nederlandse televisie, van 25 november vorig jaar presenteerde onderzoeksjournalist Siebe Sietsma een nieuwsitem dat de weken daarop aanleiding was voor aanhoudende opwinding in dagbladen en andere media. Het item ging over het gebruik van online leermiddelen door leerlingen van basisscholen, waar kinderen van 4 tot 12 jaar oud worden onderwezen. De leermiddelen worden geleverd door educatieve uitgevers die, zo was gebleken, hadden bedongen dat basisscholen hun onderwijsadministraties zouden koppelen aan die van hen. Daarmee was de indruk was daarmee gewekt dat de uitgevers zo een gedetailleerd inzicht verkregen in de leerprestaties van honderdduizenden kinderen. En, onder andere omdat ouders en leerkrachten daarover niet waren geïnformeerd, ontstond al snel het beeld dat de uitgevers deze leergegevens op ontoelaatbare wijze zouden gebruiken.

[lees verder]

Jan 162016
 

Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Over de uitleg van dit kernbegrip uit het privacy- of gegevensbeschermingsrecht is onenigheid. Enige jaren geleden is onze privacytoezichthouder, toen het ging over de kwalificatie van IP-adressen, zich op het standpunt gaan stellen dat er al sprake is van een persoonsgegeven als de éne persoon kan worden onderscheiden van de andere, ook als onbekend is wie deze persoon is. De toezichthouder rekte daarmee de reikwijdte van het begrip, en dus ook zijn toezichtsdomein, vergaand op. Van de aldus door hem zelf verruimde bevoegdheid maakte de toezichthouder de afgelopen jaren zo een tiental keren enthousiast gebruik. In deze bijdrage voor het tijdschrift Privacy & Informatie (2015/6) een commentaar daarop.

G-J. Zwenne, ‘Nog enkele opmerkingen over IP-adressen en persoonsgegevens, identificeerbaarheid en ‘single-out’, Privacy & Informatie 2015/6

Apr 192015
 

Met Wilfred Steenbruggen schreef ik een bijdrage voor Regelmaat waarin we  aan de hand van een aantal recente uitspraken schetsmatig in kaart hebben gebracht welke voor ICT-projecten van de overheid relevante vereisten onder andere kunnen worden afgeleid uit de rechtspraak van het Europees Hof voor de Rechten van Mens (Straatsburg) en het Hof van de Europese Unie en zijn voorganger het Hof van Justitie (Luxemburg). Een onvoldoende naleving van dergelijke vereisten kan niet minder een faalfactor zijn dan een tekort aan ‘projectbeheersing’ of ‘projectportfoliomanagement’. Ook dat kan betekenen dat een overheidsinformatiesysteem niet, of niet volledig, in gebruik kan worden genomen, of in elk geval niet de verwachtingen ervan kan waarmaken.

De integrale tekst van deze bijdrage is hier te vinden.

Feb 032015
 
Vage normen en open begrippen in Wet bescherming persoonsgegevens maken nadere invulling ervan nodig
In rechtsstaat kan alleen boete worden opgelegd als vooraf voorzienbaar is hoe wet moet worden nageleefd
Door Gerrit-Jan Zwenne en Wilfred Steenbruggen*)
Deze week behandelt de Tweede Kamer het wetsvoorstel dat het College Bescherming Persoonsgegevens in staat moet stellen boetes tot € 810.000 op te leggen voor overtredingen van de privacywet. De voorzitter van het CBP, Jacob Kohnstamm, is blij met het wetsvoorstel, maar maakt zich boos over een belangrijk onderdeel daarvan. Een boete kan, behoudens bij opzettelijke overtredingen, alleen worden opgelegd als het CBP eerst een zogeheten ‘bindende aanwijzing’ heeft gegeven. Voordat een boete kan worden opgelegd, moet de toezichthouder uitleggen wat de wet in het concrete geval vereist en de overtreder opdragen om de overtreding te beëindigen. Als deze aanwijzing niet binnen een bepaalde termijn wordt opgevolgd, kan vervolgens een boete worden opgelegd. Aldus staat in het wetsvoorstel.
Dat betekent, aldus de toezichthouder, dat het wetsvoorstel niet leidt tot een betere naleving van de privacywet. ‘De roep in de samenleving is om een waakhond met tanden’,  zegt de voorzitter, ‘nu worden we tandeloos aan banden gelegd waardoor bedrijven en organisaties niet de druk zullen voelen om de wet na te leven’. We kunnen ons iets voorstellen bij de frustratie van de voorzitter, die al jaren aandringt op deze boetebevoegdheid. En nu die er eindelijk gaat komen, wordt de privacywaakhond alsnog gemuilkorfd. Althans, zo voelt het.
Er zijn echter overtuigende argumenten om een boete vooraf te laten gaan door de bindende aanwijzing. In zijn advies over het wetsvoorstel legt de Raad van State uit waarom. In 2007 werd de privacywet, de Wbp, geëvalueerd. Een van de conclusies was dat deze wet, meer dan andere wetten, wordt gekenmerkt door zeer vage, algemeen-abstracte normen en open begrippen, die in de praktijk moeten worden ingevuld en geconcretiseerd. Een voorbeeld is de norm dat persoonsgegevens mogen worden verwerkt voor een gerechtvaardigd belang van degene die daarvoor verantwoordelijk is of een derde, tenzij het privacybelang van het desbetreffende datasubject prevaleert.Als gevolg van deze vage normen en open begrippen is er vaak onduidelijkheid over wat er in een concreet geval precies moet worden gedaan om aan de wet te voldoen.
Een en ander moet worden opgehelderd, want in een rechtsstaat kan alleen een boete worden opgelegd als vooraf voldoende voorzienbaar is op welke wijze de wet had moeten worden nageleefd. In het licht van dit voorzienbaarheidsvereiste is het dus nodig dat de toezichthouder de vage wettelijke norm concretiseert en daarmee eerst duidelijk maakt wat er wordt verwacht van degenen op wie toezicht wordt gehouden.
In dat verband is niet zonder betekenis dat de privacytoezichthouder de laatste jaren een uitgesproken activistische koers is gaan varen. De toezichthouder heeft een eigen mening over welke kant het met de privacybescherming op moet en bemoeit zich enthousiast met maatschappelijke en politieke privacydiscussies. In dat kader schrijft de toezichthouder nogal eens brieven naar de Tweede Kamer en treedt hij veelvuldig in de publiciteit.
We kunnen in het midden laten of de toezichthouder, die geacht wordt onafhankelijk, objectief en onpartijdig te zijn, er goed aan doet zich zo prominent te profileren als een privacybelangengroep. Vast staat dat deze activistische opstelling zich niet zonder meer laat verenigen met een boetebevoegdheid, zeker niet als de toezichthouder daarmee de naleving kan afdwingen van regels die door hem zelf nader worden ingevuld.
Ook daarom is het nodig dat de toezichthouder eerst duidelijk maakt hoe de regels moeten worden uitgelegd. Pas dan kan worden overgegaan tot het opleggen van boetes, zo nodig ook hoge boetes. Een goede privacybescherming is gebaat bij rechtszekerheid.
*) Prof. mr. Gerrit-Jan Zwenne is hoogleraar Recht en de informatiemaatschappij aan de Universiteit Leiden en is evenals mr. Wilfred Steenbruggen advocaat bij Bird & Bird LLP te Den Haag.
Jan 162015
 

Vijf jaar vocht Mario Costeja González tegen Google. De inwoner van Coruña verlangde van de zoekmachine dat, in het geval er op zijn naam wordt gezocht, twee korte berichten uit de zoekresultaten zouden worden verwijderd. De berichten waren in 1998 gepubliceerd in het Spaans dagblad La Vanguardia en betroffen de openbare verkoop van onroerend goed van Costeja in verband met een beslag ter betaling van sociale zekerheidsschulden.

Verder lezen

Ars Aqui 2015/1, bldz. 9-17

Aug 112014
 

Met kantoorgenoot Frank Simons schreef ik twee besprekingen van het arrest van het Hof van Justitie van 8 april jl. in de zaken C-293/12 en C-594/12, ECLI:C:2014:238 over de dataretentierichtlijn (2006/24/EG):