Fraudeonderzoek met echte patiëntgegevens?
Door de nieuwe Europese privacywetgeving GDPR (AVG in Nederland) zoeken veel organisaties naar alternatieven voor het gebruik van persoonsgegevens. In de zorgsector speelt dit nog sterker, omdat patiëntgegevens extra privacygevoelig zijn. Een vraag die wij horen is bijvoorbeeld: hoe kan ik, in lijn met de privacywetgeving, patiëntgegevens gebruiken voor fraudeonderzoek?
Oorspronkelijke doel
De zorgkosten stijgen al jarenlang hard. Om deze kostenstijging in toom te houden is het voor zorginstellingen en verzekeraars cruciaal om vast te kunnen stellen dat middelen juist worden besteed. Daarom onderzoeken zorgverzekeraars en ziekenhuizen periodiek of sprake is van fraude. Bijvoorbeeld: het onterecht declareren van niet uitgevoerde behandelingen.
Om zo’n fraudeonderzoek te kunnen doen zijn patiëntgegevens onmisbaar. Het gebruik van deze gegevens voor onderzoek staat echter op gespannen voet met de nieuwe Europese privacywet AVG die 25 mei van kracht wordt. De AVG verbiedt immers het gebruik van persoonsgegevens anders dan voor het oorspronkelijke doel. In het geval van de zorgsector is dat uiteraard het verlenen van zorg en niet het doen van fraudeonderzoek.
Patiëntprofiel intact laten
Is het dan onder druk van privacyregels niet meer mogelijk om fraudeonderzoek uit te voeren? Jawel. Want als je je beperkt tot de gegevens die je exact nodig hebt voor zo’n onderzoek, wordt de soep ineens veel minder heet gegeten. Een analist heeft bijvoorbeeld geen patiëntnaam nodig. Belangrijk is vooral dat het profiel van de patiënt intact blijft.
Stel dat je bijvoorbeeld de naam van de patiënt verandert, zijn adres vervangt door een ander adres uit hetzelfde geografische gebied, zijn geboortedag aanpast waarbij zijn leeftijd in jaren gelijk blijft en zijn telefoonnummer vervangt door een ander nummer, dan is het profiel van de patiënt gelijk gebleven, maar hij is wel onherleidbaar geworden.
Een dergelijk betrouwbaar en onherleidbaar patiëntprofiel kun je volledig geautomatiseerd creëren met behulp van gespecialiseerde maskeringssoftware. Dergelijke software maakt het mogelijk om patiëntgegevens zo te bewerken dat het patiëntprofiel intact blijft.
En wat als je fraude constateert?
Voor de uitkomst van het fraudeonderzoek op groepsniveau is werken met een gemaskeerde set prima werkbaar: als de patiënt niet meer Jan heet maar Piet kan de analist natuurlijk nog steeds controleren of fraude heeft plaatsgevonden. Maar stel dat inderdaad sprake is van fraude en je wilt weten wie de patiënt was en bij welke behandelaar: hoe kom je dan terug bij de gegevens van de individuele patiënt?
Pseudonimiseren
Daarvoor is het belangrijk te begrijpen dat er twee manieren zijn om gegevens te maskeren: je kunt ze anonimiseren of pseudonimiseren. In het eerste geval ‘bewerk’ je alle privacygevoelige gegevens inclusief een sleutelveld. Bij pseudonimiseren doe je in principe hetzelfde, alleen laat je het sleutelveld intact. Aan de hand van een dergelijk sleutelveld is in de productieomgeving te achterhalen wie de echte patiënt was.
Als je vervolgens zorgt dat analisten niet in de productieomgeving kunnen, maar de manager van de analyseafdeling wel, dan zijn de gegevens beschermd: ze zijn onherleidbaar voor de analist terwijl de manager kan achterhalen welke patiënt het betreft. Natuurlijk is het zaak om een dergelijk sleutelveld zorgvuldig te kiezen. Een veld dat de originele patiëntnaam bevat is geen handige keuze. Een betere optie zou bijvoorbeeld een technische sleutel zijn.
Samenvattend: ook nadat de AVG van kracht geworden is, blijft het cruciaal om fraudeonderzoek te kunnen uitvoeren. Gebruik van de ‘echte’ herleidbare patiëntgegevens is echter niet toegestaan. Zorg daarom dat je een oplossing implementeert waarmee je deze gegevens kunt pseudonimiseren, zodat je de beschikking krijgt over een betrouwbare én onherleidbare set.