Autoriteit Persoonsgegevens verre van waaks als privacy-waakhond

AP hondehok met klein hondje

Terwijl de Autoriteit Persoonsgegevens(AP) in haar jaarverslag over 2016 opgeeft over alles waar ze op toe zag o.a. in de zorg, is het goed op deze plaats eens stil te staan bij het aperte falen van de AP. Juist over zaken, waarvan de AP door deelname aan Europees overleg  weet van had, liet ze duidelijk steken vallen. In een aantal landelijke databases worden centraal medische gegevens van burgers opgeslagen. Voorbeelden zijn het DBC Informatie Systeem(DIS), de Argus-database en de ROM-database. Het toezicht daarop is een taak van de Autoriteit Persoonsgegevens.

DIS

In de DIS-database, sinds mei 2015 bij de Nederlandse Zorgautoriteit(NZa) ondergebracht, slaat men diagnoses behorende bij door zorginstellingen gedeclareerde behandelingen  op in de vorm van Diagnose BehandelCombinaties(DBC’s). De persoonsgegevens waaraan die DBC’s gekoppeld zijn worden dubbel gepseudonimiseerd. Lang dachten dataverzamelaars dat die zo bewerkte medische data niet tot een persoon herleidbaar waren en dus geen (bijzondere) persoonsgegevens waren. Als er sprake is van persoonsgegevens moet de patiënt toestemming geven na adequate voorlichting (informed consent) alvorens men die data op mag slaan.

In april 2014 bracht de artikel 29 werkgroep van de Europese toezichthouders een rapport uit waarin gesteld werd dat dubbel gepseudonimiseerde persoonsgegevens toch te beschouwen zijn als persoonsgegevens. Aan die werkgroep nam de rechtsvoorganger van de Autoriteit Persoonsgegevens, het College Bescherming Persoonsgegevens deel. Door tegenstanders van de ongebreidelde dataverzameling in het DIS was al langer betoogd dat de data in het DIS  te beschouwen zijn als (bijzondere) persoonsgegevens.

Toen de Open State Foundation openheid vroeg over de transparantie van zorgkosten aan de beheerders van de DIS-database weigerden deze die gegevens te verstrekken. Daartoe werd zelfs de landsadvocaat ingezet.  Wakker geworden door zoveel rumoer ging de Autoriteit Persoonsgegevens zich eind 2015 hiermee bemoeien en liet in april 2016 weten dat het DIS ondanks de dubbele pseudonimisering toch persoonsgegevens bevat. Door het ontbreken van een toestemming gaat het dus om niet legaal verkregen gegevens. De Autoriteit Persoonsgegevens treedt vervolgens niet handhavend op en staat toe dat deze dataverzameling tot op de dag van vandaag doorgaat. Schrijnend is dat men weet hebbend van de besluiten van de artikel 29 werkgroep in 2014 niet zelf proactief optrad.

Argus

Ditzelfde patroon doet zich voor bij de Argus-database, die de Stichting Benchmark Geestelijke GezondheidsZorg(SBG) beheert. Daarin verzamelt men de informatie over alle vrijheid beperkende maatregelen in de GGZ op persoonsniveau. Die data zijn ook dubbel gepseudonimiseerd alvorens ze opgenomen zijn in de database. Op 9 november 2016 adviseert de brancheorganisatie van werkgevers in de geestelijke gezondheidszorg, GGZ Nederland, haar leden dringend om de data-levering aan het Argus InformatieCentrum bij de SBG te staken. Precies om dezelfde reden als bij het DIS, wat GGZ Nederland in de verklaring overigens ook  benadrukt. Het gaat namelijk om gegevens die ondanks dubbele pseudonimisering toch te beschouwen zijn als (bijzondere) persoonsgegevens. GGZ Nederland rept van een uitspraak van de AP, maar die is op dat moment al een half jaar oud.

ROM

In januari 2017 komt na een rapport van de Algemene Rekenkamer over de bekostiging van de curatieve GGZ een felle discussie op gang over het verzamelen van ROM-data bij de SBG. ROM staat voor Routine Outcome Monitoring en is een methode voor de therapeut en een individuele patiënt om de voorgang van therapie te volgen en bij te sturen. De verplichte centrale verzameling van de ROM-data heeft echter als doel kwaliteitsbeheer, benchmarking van zorgverleners en zorginkoop. De financiers van de SBG zijn overigens de zorgverzekeraars. Tegenstanders verenigd in de werkgroep Stop benchmark met ROM achten het middel totaal ongeschikt voor het doel dat beoogd wordt en laken de wijze van opslag van de data. Omdat het in deze database ook weer gaat om dubbel gepseudonimiseerde gegevens  moeten ze conform de uitspraak van de artikel 29 werkgroep beschouwd worden als persoonsgegevens. Na Kamervragen door Renske Leijten(SP) moest de minister van VWS, Edith Schippers, dat ook erkennen.  Op 11 april 2017 volgt dan een oproep van de SBG aan zorgaanbieders om de aanlevering van ROM-data vooralsnog te stoppen. Ook hier is geen spoor te zien van bemoeienis van de AP. Inmiddels is wel duidelijk dat achter de schermen  GGZ Nederland en de SBG al enige tijd in overleg zijn met de AP over hoe ze zouden moeten handelen, maar dat die discussie niet bepaald vlotte. Het is dan ook een raadsel waarom de AP niet eigenstandig na het publiceren van het rapport van de artikel 29 werkgroep, waaraan ze zelf deelnam, in 2014 een officieel bericht heeft doen uitgaan. Daarin had zij alle organisaties en instanties die centraal opgeslagen (medische) data met persoonsgegevens beheren, kunnen waarschuwen over de consequenties van de uitspraak van die werkgroep. Het lijkt er nu op dat men liever afwachtte tot er ergens problemen ontstonden. Daarmee faciliteert zij echter het wederrechtelijk opslaan van zorgdata en wekt de indruk dat oogluikend toe te staan.

Waakhondje

De Autoriteit Persoonsgegevens(AP)  lijkt daarmee op een te kleine waakhond, die liggend achter in een te groot hok , geen zicht heeft  op, of wil zien,  wat er buiten zijn hok gebeurt. Soms wordt hij aan zijn lijn naar buiten wordt gesleurd en blaft hij soms, maar bijt nooit.

W.J. Jongejan

2 antwoorden

Trackbacks & Pingbacks

  1. […] kunnen we terecht bij de blogsite van Wim Jongejan, huisarts en ICT/EPD/LPD/privacy-bolleboos. Hier legt hij uit, met link naar de Europese wetgeving, waarom dubbelgepseudonimiseerde gegevens als persoonsgegevens […]

Reacties zijn gesloten.