ICE krijgt ongekende toegang tot Medicaid-gegevens

Ambtenaren van de Immigration and Customs Enforcement krijgen toegang tot de persoonlijke gegevens van bijna 80 miljoen mensen met Medicaid om "informatie over de identificatie en locatie van buitenlanders in de Verenigde Staten" te verkrijgen, zo blijkt uit een overeenkomst voor informatie-uitwisseling die door WIRED is ingezien.

De overeenkomst, getiteld "Information Exchange Agreement Between the Centers for Medicare and Medicaid Services and the Department of Homeland Security (DHS) for Disclosure of Identity and Location Information of Aliens", werd dinsdag ondertekend door CMS-functionarissen en werd als eerste gemeld door AP News .

Volgens de overeenkomst krijgen ICE-functionarissen inloggegevens voor een database van de Centers for Medicare and Medicaid Services (CMS) met gevoelige medische informatie, waaronder gedetailleerde gegevens over diagnoses en procedures. Volgens de overeenkomst krijgt ICE toegang tot persoonlijke informatie zoals huisadressen, telefoonnummers, IP-adressen, bankgegevens en burgerservicenummers (BSN's). (Later in de overeenkomst wordt anders gedefinieerd wat ICE mag inzien: alleen "Medicaid-ontvangers" en hun geslacht, etniciteit en ras worden gespecificeerd, maar IP- of bankgegevens worden niet genoemd.) De overeenkomst heeft een looptijd van twee maanden. Hoewel het document gedateerd is op 9 juli, treedt het pas in werking wanneer beide partijen het ondertekenen, wat neerkomt op een periode van 60 dagen van 15 juli tot 15 september.

Deze stap komt op het moment dat de regering van president Donald Trump haar strengere immigratiebeleid blijft uitbreiden. De regering streeft ernaar om 3000 mensen per dag te deporteren – vier keer zoveel als er in het begrotingsjaar 2024 werden gedeporteerd, aldus ICE. De plannen hiervoor lijken te bestaan uit het verzamelen van gegevens uit de hele overheid. WIRED meldde eerder dat het zogenaamde Department of Government Efficiency (DOGE) en DHS werkten aan een masterdatabase , waarin gegevens van het DHS en andere instanties worden verzameld om immigranten te kunnen monitoren en deporteren.

Medicaid, door de staat en de federale overheid gefinancierde gezondheidszorg voor de allerarmsten van het land, is grotendeels alleen beschikbaar voor een aantal niet-burgers , waaronder vluchtelingen en asielzoekers, slachtoffers van mensenhandel en permanente inwoners. Sommige staten, zoals New York, bieden Medicaid-dekking voor kinderen en zwangere vrouwen, ongeacht hun immigratiestatus. Staten rapporteren hun Medicaid-uitgaven en -gegevens aan de federale overheid, die een deel van de kosten vergoedt.

"Dit is nooit overwogen tijdens mijn vijf jaar bij DHS, waar ik aan immigratiehandhaving werkte", zegt John Sandweg, waarnemend directeur van ICE tijdens de regering van president Barack Obama. "Je moet oppassen voor een mogelijk afschrikwekkend effect, waarbij mensen die mogelijk een uitkering aanvragen en daarvoor in aanmerking komen – of die spoedeisende medische zorg zoeken – dit niet doen omdat ze bang zijn dat de informatie die ze in het ziekenhuis verstrekken hen tot doelwit van immigratiemaatregelen zou kunnen maken."

Dit is nu niet de zorg van de regering, vertellen woordvoerders aan WIRED. "Onder leiding van Dr. [Mehmet] Oz treedt CMS agressief op tegen staten die mogelijk federale Medicaid-fondsen misbruiken om zorg voor illegale immigranten te subsidiëren", vertelt Andrew Nixon, directeur communicatie van het Department of Health and Human Services (HHS), aan WIRED. "Deze toezichtsinspanning – ondersteund door rechtmatige gegevensuitwisseling tussen overheidsinstanties met DHS – is gericht op het identificeren van verspilling, fraude en systematisch misbruik. We beschermen niet alleen belastinggeld, we herstellen ook de geloofwaardigheid van een van Amerika's meest vitale programma's. Het Amerikaanse volk verdient verantwoording. HHS levert die."

"President Trump heeft consequent beloofd Medicaid te beschermen voor in aanmerking komende begunstigden. Om die belofte na te komen, nadat Joe Biden ons land met tientallen miljoenen illegale immigranten heeft overspoeld, onderzoeken CMS en DHS een initiatief om ervoor te zorgen dat illegale immigranten geen Medicaid-uitkeringen ontvangen die bedoeld zijn voor wetgetrouwe Amerikanen", aldus Tricia McLaughlin, adjunct-secretaris van DHS. (Biden heeft "tientallen miljoenen" immigranten niet toegelaten tot de VS: zelfs de Heritage Foundation, de conservatieve denktank achter Project 2025 , beweerde dat 6,7 miljoen mensen onder Biden illegaal het land waren binnengekomen in januari 2024.)

In de overeenkomst staat dat het niet de bedoeling is om verspilling, fraude en misbruik op te sporen of te onderzoeken of immigranten ongeoorloofde voordelen ontvangen, maar om ICE in staat te stellen "informatie te verkrijgen over de identiteit en locatie van vreemdelingen in de Verenigde Staten."

"Het is voor mij een teken dat de gerichte aanpak veel verder reikt dan alleen criminelen. Je kijkt niet naar dit soort gegevens als je niet verder kijkt dan mensen die zijn veroordeeld voor misdaden", aldus Sandweg.

In een sectie waarin de verantwoordelijkheden van elke partij worden uiteengezet, stelt de overeenkomst dat het de verantwoordelijkheid van CMS is om een aantal ICE-medewerkers toegang te geven tot T-MSIS, wat staat voor Transformed Medicaid Statistical Information System, via CMS-inloggegevens. T-MSIS is een CMS-database die gegevens van Medicaid en het Children's Health Insurance Program (CHIP) verzamelt uit elke staat en bijna elk Amerikaans territorium, evenals Washington D.C. Het systeem bevat gedetailleerde gegevens over medische aandoeningen, symptomen, behandelingen, ziekenhuisopnames en claims, naast andere gevoelige informatie. De datakwaliteit van de database varieert van staat tot staat. Het document specificeert dat ICE "directe toegang" zal hebben tot de T-MSIS-database via de Integrated Data Repository, die in een bewijsstuk in een recente rechtszaak werd omschreven als "de hoeksteen van [CMS'] dataomgeving … waardoor gebruikers de mogelijkheid krijgen om data ter plekke te analyseren in plaats van te vertrouwen op omvangrijke extracten van ruwe data."

Tot de verantwoordelijkheden van ICE behoren het aanvragen van CMS-inloggegevens, het volgen van de training 'Information System Security and Privacy Awareness' en het ondertekenen van een document over CMS en de 'Gedragsregels voor het gebruik van informatie en IT-middelen' van het Ministerie van Volksgezondheid en Sociale Zaken. De overeenkomst bepaalt verder dat ICE deze inloggegevens vervolgens zal gebruiken om 'buitenlanders in de Verenigde Staten' te identificeren en te lokaliseren.

In de overeenkomst staat ook dat de voorwaarden ervan zullen worden "uitgevoerd door bevoegde functionarissen, werknemers en contractanten van CMS en ICE". ICE heeft momenteel contracten met verschillende bedrijven, waaronder Palantir, de defensieaannemer die mede is opgericht door miljardair Peter Thiel. Aan deze bedrijven heeft de dienst onlangs $ 30 miljoen betaald voor de bouw van een systeem genaamd ImmigrationOS om immigranten te volgen die zichzelf uit de VS deporteren. Het bedrijf is ook betrokken bij de ontwikkeling van een "mega-API" bij de IRS. In april kondigden DHS en de Internal Revenue Service een overeenkomst aan om IRS-gegevens te delen ten behoeve van immigratiehandhaving.

"De overeenkomst geeft ICE volledige, directe toegang tot onze Medicaid-gegevens – een van de belangrijkste gezondheidsprogramma's wordt nu volledig omgebouwd tot een database voor wetshandhaving, waarbij onze gegevens rechtstreeks aan ICE worden overgedragen", aldus Cody Venzke, senior beleidsadviseur van de National Political Advocacy Division van de American Civil Liberties Union. "De overeenkomst stelt dat CMS volgens de Privacy Act onze gegevens mag delen om 'een andere federale of staatsinstantie te ondersteunen', maar dat is op zijn best een halve waarheid. Dat delen is alleen toegestaan als het bijdraagt aan de nauwkeurigheid van Medicare of Medicaid, om een federaal zorgverzekeringsprogramma te beheren, of indien nodig om een zorgverzekeringsprogramma te implementeren dat met federale middelen wordt gefinancierd. Het volledig opgeven van onze privacy om ICE te ondersteunen, doet geen van deze dingen."

De overeenkomst staat ICE toe om Medicaid-gegevens te bewaren zolang de instantie dit nodig acht. Het document verduidelijkt dat deze overeenkomst voor "aaneengesloten perioden" kan worden verlengd en dat ICE de gegevens ook mag delen, mits de instantie schriftelijk specificeert wie de ontvangers zijn. Venzke noemt dit "een ongelooflijk dunne bescherming".

Instanties kunnen gegevens delen via een zogenaamde computer matching agreement. Dit is een schriftelijke overeenkomst tussen instanties waarin de parameters worden vastgelegd voor de manier waarop zij gegevens uit hun respectieve systemen zullen vergelijken. Volgens de website van het CMS heeft het CMS momenteel een half dozijn computer matching agreements met andere federale instanties, waaronder de IRS, het Department of Veterans' Affairs (VA) en de Social Security Administration.

In de overeenkomst tussen ICE en CMS staat echter expliciet dat het niet om een overeenkomst voor computerkoppeling gaat.

Jonathan Kamens, voormalig hoofd informatiebeveiliging bij de VA, vertelde WIRED dat zolang ICE-agenten zich houden aan de regels en screeningsprocessen die CMS vereist om toegang te krijgen tot de systemen, ze mogelijk geen computermatchingovereenkomst nodig hebben. Elk gebruik van gegevens die door een instantie zijn verzameld buiten de regels van de System of Records Notice (SORN) kan echter een overtreding vormen. "De System of Records Notice voor de CMS-systemen zou het gebruik dat ICE van de gegevens maakt moeten toestaan om legaal te zijn", zegt hij. "Het is onwaarschijnlijk dat de regering-Trump de nodige moeite heeft gedaan om de System of Record Notice bij te werken om dat gebruik van de gegevens toe te staan."

In de overeenkomst wordt gesteld dat deze voldoet aan een SORN uit 2019 , die het gebruik van T-MSIS-gegevens toestaat "ter ondersteuning van een andere federale of provinciale instantie". De SORN lijkt niet te zijn bijgewerkt om de nieuwe overeenkomst tussen ICE en CMS op te nemen.

CMS is niet de enige instantie waar ICE-medewerkers directe toegang hebben tot gevoelige gegevens. Eerder dit jaar werd bekend dat ICE-medewerkers inloggegevens kregen voor toegang tot de database die niet-begeleide minderjarigen bijhoudt bij het Office of Refugee Resettlement (ORR), dat ook onder het HHS valt. Een voormalig HHS-medewerker vertelde WIRED dat meer dan 50 ICE-medewerkers toegang hadden tot de ORR-database.

"Door een deel van onze meest gevoelige gezondheidszorggegevens aan ICE te overhandigen, heeft Health and Human Services het vertrouwen van bijna 80 miljoen mensen fundamenteel beschaamd", aldus Elizabeth Laird, directeur Equity in Civic Tech bij het Center for Democracy and Technology. "Meer dan 90 procent van de fraude met sociale uitkeringen wordt gepleegd door Amerikaanse burgers, wat de valse voorwendselen van het delen van deze informatie met ICE onderstreept. De gevolgen van deze beslissing zullen verwoestend zijn. Het zal het vertrouwen in de overheid verder doen dalen, mensen dwingen te kiezen tussen levensreddende zorg en het overdragen van gegevens aan de immigratiedienst, en de kwaliteit en effectiviteit van overheidsdiensten ondermijnen."

Zoë Schiffer leverde een bijdrage aan de berichtgeving.