AP tolereert onrechtmatige verwerking persoonsgegevens
De Autoriteit Persoonsgegevens(AP) blijkt haar werk niet te doen als het om handhaven gaat bij het verwerken van persoonsgegevens zonder wettelijk grondslag. Eerder dit jaar schreef ik al een artikel over het in bedrijf zijn van de Online ToestemmingsVoorziening Mitz zonder wettelijke grondslag. Dat was op 25 september 2024 met de titel “Privaat OTV Mitz gebruikt BSN zonder wettelijke grondslag.” Mitz is bedoeld om de toestemmingen op te slaan die patiënten kunnen geven om hun gegevens nu bij huisarts en apotheker en later ook andere zorgverleners opvraagbaar te maken. Om Mitz te kunnen laten werken heeft men in dat systeem het Burgerservicenummer(BSN) van de patiënt nodig. Voor die verwerking is een wettelijke grondslag nodig. En die is er nu voorlopig nog niet. Het wetsontwerp dat zulks moet regelen, de Verzamelwet Gegevensverwerking lll, heeft op dit moment de Raad van State, laat staan het parlement, nog niet bereikt.
Waarom BSN nodig?
Dat heeft men nodig voor het kunnen identificeren van de patiënt, maar ook voor de zogenaamde lokalisatie-index. Dat is het onderdeel van het systeem waarin staat bij welke zorgverlener zorgdata aanwezig zijn. Het ontbreken van de wettelijk grondslag voor de verwerking door Mitz, onderdeel van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) die ook het landelijk SchakelPunt beheert, maakt die verwerking onrechtmatig, zeg maar illegaal.
Livegang apotheken
Al enige tijd is VZVZ bezig om Mitz langzaam aan het zorglandschap in te schuiven. Er vindt al enkele maanden een gecontroleerde livegang plaats, waarvan de omvang op het internet te volgen is. Op dit moment, op 18 december 2024 zijn er 11 apotheken, 17 huisartspraktijken en 6 diagnostische centra aangesloten. Als we uitgaan van een gemiddelde praktijkgrootte van een apotheek van 9000 mensen gaat dat om ongeveer 99.000 mensen.
Het percentage mensen dat eerder toestemming gaf voor het Landelijk SchakelPunt(LSP) is bij apotheken relatief hoog, naar ik schat tussen de 80 en 90%. Als de toestemmingen voor het LSP door de thans op Mitz aangesloten apotheken zijn gekopieerd naar Mitz gaat het om minimaal 79.000 mensen.
Livegang huisartsen
Het percentage toestemmingen bij huisartsen voor het delen van huisarts-zorgdata ligt rond de 50%. De norm praktijkgrootte is 2350. Dat komt met 17 praktijken op bijna 40.000 personen. Vermoedelijk zijn het veel meer omdat de nu aangesloten 17 praktijken naar alle waarschijnlijkheid groepspraktijken zijn. Het zou dan zeer wel om het dubbele aantal personen kunnen gaan.
Met apotheken en huisartsen bij elkaar gaat dan naar schatting om rond de 100.000 personen.
Onrechtmatig, dus illegaal
Aangezien Mitz nu al operationeel is en er geen wettelijke grondslag bestaat voor de verwerking van het BSN binnen het Mitz-systeem, kunnen we niet anders concluderen dat het gebruik van deze persoonsgegevens onrechtmatig is. Illegaal kan je het dus gerust ook noemen. Mogelijk heeft de AP verwacht dat de wet al aangenomen zou zijn als Mitz begon te functioneren. Dat blijkt een misrekening. Thans is het onvoldoende duidelijk wanneer het kabinet het wetsvoorstel Verzamelwet Gegevensverwerking lll aan de Raad van State voorlegt en het aan de Tweede Kamer ter behandeling voorlegt.
Laksheid, of anders?
Het is zeker niet de eerste keer dat men de AP kan betrappen op laksheid en het selectief handelen bij overtredingen van de wet. Het ziet ernaar uit dat de AP bewust de handelswijze van VZVZ met Mitz tolereert. Mogelijk onder druk van het ministerie van VWS, met de argumentatie dat er wel een wet aan zit te komen. Het niet handhaven bij het overtreden van de wet bij een omvang van naar schatting 100.000 mensen, blijft een kwalijke zaak.
Dus: de Autoriteit Persoonsgegevens moet handhaven bij onrechtmatig gebruik van het BSN.
W.J. Jongejan, 18 december 2024
Afbeelding van Gerd Altmann via Pixabay
Plaats een Reactie
Meepraten?Draag gerust bij!