Laakbare traagheid handelsmerk Autoriteit Persoonsgegevens bij principiële kwesties

AP handelsmerk

Meerdere zeer principiële zaken, waarin van de Autoriteit Persoonsgegevens(AP) als toezichthouder een beslissend oordeel gevraagd wordt, slepen zich zeer lang voort. Daarbij lijkt het erop dat de AP alle, maar dan ook alle, mogelijkheden benut om geen oordeel te hoeven vellen over principiële zaken, dan wel probeert het oordeel over een bepaalde datum poogt te tillen. Daarbij doel ik specifiek op de ingangsdatum van de Algemene Gegevens Verordening(AVG): 25 mei.  Dat is over tien dagen. Ik doel daarbij op handhavingsverzoeken over de gedragscode zorgverzekeraars, ingediend  bij de rechtsvoorganger van het AP, het College Bescherming Persoonsgegevens(CBP) in maart 2015. Daarnaast die betreffende de verwerking van medische persoonsgegevens in het DIS( DBC Informatie Systeem), ingediend in mei 2015 , maar ook die over de onrechtmatige verzameling van Routine Outcome Monitoring(ROM) gegevens, ingediend in maart 2017.

KDVP

De stichting KDVP(zet zich in  voor behoud van vertrouwelijkheid en beroepsgeheim in de zorg) levert al meerdere jaren slag met de privacy-waakhond. Eerst met het CBP en sinds 1 januari 2016 de AP. Het gesteggel over de gedragscode zorgverzekeraars dateert al van even voor 2013. De gedragscode moest reguleren hoe zorgverzekeraars met medische gegevens van hun verzekerden dienden om te gaan.  Medische gegevens mogen slechts voor strikt afgebakende doelen worden verwerkt. Informatie opgevraagd om zorgdeclaraties te controleren, mag bijvoorbeeld niet worden ingezet voor de beoordeling voor een aanvullende verzekering, contractonderhandelingen met zorgverleners of marketingdoeleinden. In plaats van nauwkeurig te specificeren waarvoor patiëntgegevens wel en niet mogen worden verwerkt, creëerde de gedragscode door haar vage formulering juist ruimte om deze gegevens voor onrechtmatige doelen te verwerken. Volgens de rechter ontbrak het in de gedragscode aan waarborgen om het illegaal gebruik van persoonsgegevens tegen te gaan. De AP trok naar aanleiding van het vonnis haar goedkeuring in. Aldus het Platform Burggerechten op 13 september 2017. Daarna kwamen de gezamenlijke zorgverzekeraars niet met een nieuwe dan wel aangepaste gedragscode. Op het handhavingsverzoek van de stichting KDVP aan de AP om hier handhavend op te treden is nog steeds geendefinitief uitsluitsel verkregen.

Vrijbit

De burgerrechtenvereniging Vrijbit spande zich ook in voor de hierboven beschreven kwestie d.m.v. een rechtszaak die in 2017 diende voor de rechtbank Midden Nederland.  De AP was daar dan ook de gedaagde partij. Daarnaast daagde Vrijbit de AP ook vanwege het plichtsverzuim van de toezichthouder om op te treden tegen de wijze waarop de Nederlandse Zorgautoriteit ( NZa) medische diagnose- en behandelgegevens (DBC) van de gehele Nederlandse bevolking verzamelt, gebruikt en verstrekt aan derden. Het verzamelen van de diagnosegegevens doet de NZa in het DBC Informatie Systeem(DIS), waarvan het CBP elf jaar geleden al aangaf dat het  geen tot een persoon herleidbare persoonsgegevens zou mogen bevatten. Deze zaken slepen zich door trainerende handelingen van de kant van de AP nog steeds voort.

ROM-data-levering

In maart 2017 richtte een ex-cliënt uit de GGZ zich tot de AP met een handhavingsverzoek. Het betrof de onrechtmatige verzameling en verwerking van ROM-data van GGZ-cliënten zonder expliciete toestemming van hen. Het verzoek vroeg om het verzamelen en verwerken van (medische en bijzondere) persoonsgegevens in de databank van SBG, zo spoedig mogelijk op te schorten en toe te zien op de vernietiging per direct van de gegevens in de SBG-databank. Ook dient toezicht plaats te vinden op hernieuwde wederrechtelijke vulling van de databank. De wettelijke termijn om binnen acht weken na indiening een besluit genomen te hebben over het verzoek tot handhaving is ondanks aansporing van de AP thans meer dan betamelijk overschreden.

Belangen

Je zou kunnen zeggen: ach wat betekenen die paar handhavingsverzoeken bij de AP nu op het geheel. Het punt is echter dat alle drie de hierboven beschreven casussen gaan over het grootschalig onrechtmatig verzamelen van medische gegevens, zijnde bijzondere persoonsgegevens door instellingen / bedrijven. Het gaat om een van overheidswege gesanctioneerde vorm van data-grabbing. Ten eerste lijkt de AP geneigd te zijn om met wat voor middelen dan ook liever geen beslissing te willen nemen en ten tweede is er een tendens om besluiten over de ingangsdatum van de AVG op 25 mei 2018 heen te tillen. Eén en ander lijkt in samenspraak, of minimaal met stilzwijgende toestemming,  te geschieden met het ministerie van VWS en de Nederlandse Zorgautoriteit(NZa). Men denkt dat op basis van artikel 9 punt 2  lid h en i, van de AVG(blz L119/38) om redenen van “het  beheren van gezondheidszorgstelsels”(lid h), respectievelijk het “waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg” (lid i) de dataverzameling gewoon in volle omvang mag doorgaan.

Misvatting

Het met de AVG in de hand proberen onrechtmatig data-verzamelen te rechtvaardigen berust echter op een juridische misrekening. Ook al is er een wettelijke regeling(AVG) actief geworden, dan nog moet deze voldoen aan de beginselen vastgelegd in artikel 8 EVRM(Europees Verdrag Voor de Rechten van de Mens). Dit betekent dat de verwerking van medische persoonsgegevens zonder toestemming van de patiënt gebaseerd dient te zijn op een wettelijke grondslag voor verwerking voor een welbepaald doel en moet voldoen aan begrippen van proportionaliteit en subsidiariteit.

Zodra de AP met een beroep op de AVG denkt weg te komen met een negatieve beslissing op genoemde handhavingsverzoeken is te verwachten dat de rechter andermaal wordt ingeschakeld om de AP tot de orde te roepen.

W.J. Jongejan, 15 mei 2018