Moet je toegang krijgen tot de computer van de Rotterdamse huisarts die vijftig drugskoeriers van recepten voorziet? Of tot systemen van ziekenhuizen en specialisten met patiëntdossiers van degenen die met zorg en pgb’s frauderen?
Concrete vragen die opdoemen bij de bestrijding van zorgfraude. Want daar speelt dezelfde kwestie als bij de bestrijding van terrorisme met behulp van IT: in hoeverre offeren we privacy op om misdaad te voorkomen en te bestrijden? Of heel basaal: lagere zorgpremie of meer privacy?
Boeiende fraudepatronen
Big data-systemen helpen bij fraudebestrijding, concludeert de Zorgautoriteit (NZa) op basis van testen van het Fraude Detectie Expertise Centrum (FDEC) van de Universiteit Leiden. Die analyseerde 1,7 miljard records van huisartsen, mondzorg en farmacie op mogelijke fraudepatronen. Een mega-exercitie, met als it-inzet ‘drie krachtige laptops met elk 32GB RAM en 1TB hybride HD+SSD-schijven en software gebaseerd op het krachtige wetenschappelijke analysesoftware van Matlab in Massachusetts’.
Het FEDC-systeem spuwde suggesties voor discutabele declaraties voor totaal 35 tot 40 miljoen euro per jaar. Dat is relatief beperkt, omdat er een hoge zekerheidsmarge was genomen: 99 procent. Het FDEC liet vervolgens haar datasysteem los op AWBZ-declaraties, wat signalen voor 300 miljoen euro aan te veel gedeclareerde zorg opleverde op ruim 20 miljard aan facturen.
Bovendien heeft de NZa zelf aanvullend big data-onderzoek gedaan naar GGZ-declaraties, bijvoorbeeld naar signalen van fouten met het DBC-informatiesystemen (DIS). Zo kwamen boeiende patronen aan het licht van gesjoemel met maximumbehandeltijden, diagnoses en behandelcodes. IT en humor vormen geen sterke combinatie, maar deze big-data-exercitie bracht enkele hilarische uitkomsten over zorgfraude:
- Patiënten hadden plotseling andere stoornissen als hun kwalen niet langer werden vergoed.
- Zorgverleners declareerden op dezelfde tijdstippen op verschillende plaatsen.
- Zorgverleners declareerden meer uren dan een werkdag telt. Eén aanbieder registreerde gemiddeld 2174 minuten per dag per patiënt. Dat is 36 uur en 13 minuten.
Big data biedt onomstotelijk grote mogelijkheden voor fraudedetectie. Wel verwachten de onderzoekers een kat-en-muis-spel: zodra malicieuze zorgverleners weten welke fraude getraceerd wordt, verzinnen ze nieuwe trucs.
Samenwerking moeizaam
Om een goede big data-analyse op te zetten, is samenwerking tussen zorgpartijen belangrijk. Dat dit al tien jaar lang een drama is, blijkt uit het recente rapport ‘Big data in een vrije en veilige samenleving’ van de Wetenschappelijke Raad Regeringsbeleid (WRR). Vooral zorgverzekeraars trekken hun eigen plan. Volgens Norbert Jansen, fraude-expert van Capgemini, levert it-inzet voor fraudevermindering concurrentievoordeel op voor organisaties zoals Achmea, VGZ, CZ en Menzis. Kleine verzekeraars als DSW zijn meer in voor gezamenlijke (big) data-analyse voor fraudebestrijding, ook vanwege de it-investeringen.
Voor de WRR gaven Barry Egberts, chef van het Kenniscentrum van het Zilveren Kruis, en zijn datawetenschapper Rob Konijn inzicht in big data-analyse. Op 13 miljard euro aan zorgdeclaraties traceerde Achmea met datamining vanuit SAS in 2014 een kleine 45 miljoen euro aan onregelmatigheden. Het systeem bracht fraudepatronen aan het licht bij declaraties van plastische chirurgie, tandverzorging, kaakchirurgie, opiatenrecepten en met antedatering, ID-misbruik en upcoding, oftewel declaratie van duurdere behandelcodes dan in werkelijkheid uitgevoerd.
Deloitte stelt dat met massale data-analyse succesratio’s tot boven de 90 procent haalbaar zijn bij het traceren van specifiek fraudegevoelig declaratiegedrag. Ook de Twentse hoogleraar Theo de Vries, die met promovendi big data en machine learning in neurale it-netwerken toepast voor nieuwe vormen van fraudedetectie, vertelde de WRR: “Heel eenvoudig is 80 tot 90 procent van de zorgfraude te traceren. Maar dan moet je samenwerken en bestanden bundelen. En topdeskundigen kunnen betalen, want die zijn schaars.” Tegelijk is De Vries bang dat de groei in koppelingen van bestanden ten koste gaat van de privacy.
De WRR adviseert om de Autoriteit Persoonsgegevens (AP) meer armslag te geven voor toezicht op big data-analyse. De regelgeving is nu vooral toegespitst op dataverzameling, maar moet meer richting datagebruik (bundeling!) en data-analyse (algoritmen, categorisering, wegingsfactoren) worden uitgebreid.
Achter een privacyscherm
Privacy hindert de opsporing en bestrijding van fraude, stellen Openbaar Ministerie en fraudeonderzoekers in de zorg. Zo koppelden overheden, financiële clubs en (zorg)verzekeraars recent – onder regie van het OM – hun ‘big data’ aan elkaar voor tracering van criminaliteit in Rotterdam-Zuid. Er werden grote netwerken van zorgfraude getraceerd, en banden met drugscriminaliteit. Zorgverzekeraar DSW had echter getekend voor privacy en kon de getraceerde malicieuze klanten niet direct aanpakken.
FDEC-onderzoekers hebben het sterke vermoeden dat fraudeurs goede zaken doen ‘achter het scherm van de privacy en het medisch beroepsgeheim’.
Verboden terrein
Spookzorg is zelfs alleen op te sporen met verder onderzoek van databestanden, materiële controles en audits. Momenteel mogen verzekeraars patiëntdossiers uitsluitend bij hoge uitzondering onderzoeken. Het anonimiseren van deze data, om ze op veel grotere schaal te gebruiken om frauduleuze zorgverlening te bestrijden, zou een optie zijn, maar stuit op verzet van privacybeschermers. Waarschijnlijk blijven digitale patiëntdossiers van zorgverleners ‘in principe’ verboden terrein voor big data-fraudeonderzoek, maar wellicht komen er nieuwe technologische oplossingen om zorgdata te anonimiseren voor analyse van fraudepatronen.
Vektis kraakt data
Vektis, het informatiecentrum voor zorgverzekeraars in Zeist, vormt het knooppunt voor miljoenen zorgdeclaraties met miljarden data om te kraken. IBM is hofleverancier.
Van 11 zorgverzekeraars (met samen 33 merken) ontvangt de organisatie bestanden voor verschillende declaratievormen, zoals huisartsen, farmacie, ziekenhuizen en mondzorg. Het systeem controleert de gegevens en voert een plausibiliteitstoets uit. Toekomstwens is dat er bij elke betaling door de verzekeraar automatisch een kopie naar Vektis gaat.
Vektis analyseert de kwaliteit en hoeveelheid zorg per regio en per aandoening. Om vergelijkingen te kunnen voeden over effectiviteit en kosten van behandelingen, medicijnen en hulpmiddelen, maar ook om nieuwe analyses voor fraudebestrijding of verkennend onderzoek naar trends te kunnen uitvoeren.
Volgens ict-manager Harry Wiltenburg komen in hoog tempo meer data én meer analytische vragen op Vektis af. De organisatie koos daarom voor een datawarehouse-appliance, die ingezet kon worden op de bestaande infrastructuur. Dankzij PureData System for Analytics appliance, voor het verzamelen, rangschikken en analyseren van al die zorgdata, is het analysewerk nu sterk verbeterd, vooral dankzij de veel kortere responsetijd.
De selectie en presentatie van de geanalyseerde data is gebaseerd op Cognos Business Intelligence. Een flexibel en dynamisch systeem, waarmee Vektis bovendien eigen gegevens kan combineren met die van externe leveranciers, zoals MediQuest.
Vektis wil meer betekenen voor fraudebestrijding met big data, maar weet de schijnwerper op zich gericht na de reprimande van de Autoriteit Persoonsgegevens (AP) aan de Nederlandse Zorgautoriteit (NZa) begin juni 2016 wegens ongeoorloofde dataverstrekking.
