Hoe (in)consequent handelt Autoriteit Persoonsgegevens?  

(in)consequentZoals menigeen in Nederland inmiddels duidelijk zal zijn spant de actiegroep Vertrouwen in de GGZ een rechtszaak aan tegen de Nederlandse Zorgautoriteit(NZa). Daarbij gaat het om de verplichte aanlevering van de antwoorden op zeer gevoelige HONOS-vragenlijsten die zorgverleners in de GGZ van de NZa moeten invullen over hun cliënten. Het gaat om de zorgdata van 800.000 Nederlanders. Eén van de vragen bij die dataverzameling is en was of die wel rechtmatig is. De Autoriteit persoonsgegevens(AP) is bij deze kwestie betrokken omdat de NZa de regeling waarin de verplichting staat ter beoordeling moest voorleggen aan de AP. De AP maakt in haar beoordeling twee maal een draai van 180 graden. De kwestie die ik nu ernaast leg is het boetebesluit van de AP met een hoogte van 600.000 euro die zij de gemeente Enschede in 2021 oplegde.

Autoriteit Persoonsgegevens

Eerst mocht de genoemde dataverzameling van de NZa niet van de AP. Na een uitgebreide toelichting door de NZa, mocht het drie maanden later wel. Bij het bekijken van andere besluiten van de AP valt op dat de AP niet direct consequent handelt. De boete die de gemeente Enschede opgelegd kreeg betrof het volgen van mobiele apparaten in de openbare ruimte op basis van wifi-tracking. Daarvoor had de gemeente Enschede een bedrijf ingeschakeld, maar was zelf verwerkingsverantwoordelijke. Men registreerde met sensor de MAC-data van de mobile apparaten(smartphones) op straat. Na pseudonimisatie werden de laatste drie cijfers van de MAC-adressen verwijderd. De AP vond dat de gemeente zo persoonsgegevens verzamelde die ondanks de genomen maatregelen toch tot personen herleidbaar waren. Niet dat de gemeente die herleiding ook toepaste. Louter het feit dat herleiding met de toegepaste methodiek kon, was de basis voor het boetebesluit.

Nederlandse Zorgautoriteit

Bij het verplichte verzamelen van de antwoorden op de HONOS-vragenlijsten gaat het om bijzondere persoonsgegevens, namelijk medische gegevens. De gegevens die de NZa ter beschikking krijgt zijn gepseudonimiseerd. Na binnenkomst verwijderd de NZa een aantal identificerende data van de bestanden, maar bij het overblijvende deel is er nog steeds sprake van gepseudonimiseerde data, die toch in principe herleidbaar zijn tot personen. De NZa erkent dat ook op haar website. In een artikel  van 21 juli 2022 staat dat de data herleidbaar zijn tot personen door koppelingen aan andere databases, maar dat ze dat beloven niet te zullen doen. Het kan, maar men doet het niet.  Daarenboven handelt de NZa ook nog eens erg inconsequent op die webpagina.

Inconsequente NZa

Eerst staat er:

“Voor een goede werking van de ggz vragen we informatie uit bij behandelaren. Die informatie is gedepersonaliseerd en is dus niet te herleiden tot individuele patiënten.”

Om wat regels daaronder te schrijven

“De NZa verzamelt deze gedepersonaliseerde informatie zo dat die niet te herleiden is naar een individuele patiënt. Alleen als we deze data zouden koppelen aan andere datastromen zou het mogelijk kunnen zijn deze wel te herleiden.”

De eerste twee zinnen zijn volkomen in tegenspraak met de latere twee regels. Zeer storend is dat men op de website spreekt over gedepersonaliseerde data terwijl het gaat om gepseudonimiseerde data.

Grondslag?

De AP oordeelde dat Enschedese dataverzameling geen wettelijke grondslag had. Niet gebaseerd op enig artikel van bijv. gemeentewet. Enschede betoogde dat men de data nodig had om bezoekersstromen in kaart te brengen en te managen. De AP stelt in het boetebesluit dat het in het bijzonder belangrijk is dat een overheidsinstantie haar handelen kan baseren op een voldoende toegankelijk, nauwkeurig en voorzienbaar wettelijk voorschrift. De NZa zegt dat ze de grondslag om zorgverleners te verplichten de HONOS-data aan te leveren baseert op artikel 65 van de Wet markordening gezondheidszorg(Wmg). Op de wijze waarop zij dit artikel interpreteert kan zij elk gewenst medisch gegeven verplicht stellen om aangeleverd te krijgen. Het probleem daarbij is wel dat indien die data, zoals de HONOS-data, gepseudonimiseerd worden,  herleiding tot een persoon altijd mogelijk blijft. De NZa belooft dat niet te doen, maar wat is een dergelijke belofte waard. Nu en in de toekomst.

Voorzienbaar

In haar oordeel over Enschede schrijft de AP dat een verwerking van persoonsgegevens rechtmatig is als deze plaatsvindt op basis van een grondslag. Bij een inmenging op het privéleven van de burger zoals in dat geval, is in het bijzonder belangrijk dat een overheidsinstantie haar handelen kan baseren op een voldoende toegankelijk, nauwkeurig en voorzienbaar wettelijk voorschrift. Als we nu kijken naar de NZa dan is de basis van haar handelen niet toegankelijk, noch nauwkeurig noch voorzienbaar. Wat ze verzamelt is niet voorspelbaar. De keuze welke data ze wil verzamelen en de omvang ervan is onvoorspelbaar voor de burger, laat staan voor de hulpzoekende cliënt.

(In)consequente AP

Naar mijn oordeel handelt de AP niet bepaald consequent als zij de gemeente Enschede een forse boete oplegt . Een sanctie vanwege de mogelijke herleidbaarheid van gekortwiekte gepseudonimiseerde data van burgers die men elektronisch volgde in de openbare ruimte terwijl ze de NZa die ook gekortwiekte gepseudonimiseerde data verzamelt ongemoeid laat. En dat terwijl die NZa nota bene op haar website schrijft dat ze data verzamelt die herleidbaar zijn maar de herleiding niet zal uitvoeren.

Vertrouwen in de GGZ  

De actiegroep Vertrouwen in de GGZ bestrijdt dan ook op juridische gronden dat de NZa het recht heeft op basis van artikel 65 Wmg de gepseudonimiseerde HONOS-data te ontvangen en te verwerken. In een zitting van de rechtbank Midden-Nederland zal op 29 september 2023 een voorlopige voorziening gevraagd worden om de NZa te doen stoppen met het verzamelen en verwerken van de HONOS-data nu en in volgende jaren.. Vervolgens  zal daarna een bodemprocedure gaan beginnen tegen de NZa over de rechtmatigheid van de gewraakte data-verzameling die een ernstige schending van het medisch beroepsgeheim inhoudt.

W.J. Jongejan, 28 september 2023

Afbeelding van SplitShire via Pixabay

 .