Op eigen server verzamelt NZa initieel de HONOS-data niet

opDe actiegroep VertrouwenInDeGGZ van GGZ-cliënten, GGZ-zorgprofessionals en sympathisanten strijdt tegen enorme persoonsgegevens-datahonger van de Nederlandse Zorgautoriteit(NZa). De actiegroep dagvaardde de NZa in een bodemprocedure. In de eerste week van januari 2024 zal duidelijk worden wanneer die gaat dienen. Het gaat om het verzamelen en verwerken van antwoorden op HONOS-vragenlijsten. Dat is een uitermate privacygevoelige materie. De actiegroep betoogt dan ook dat het om het grootschalig doorbreken van het medisch beroepsgeheim gaat. Je vraagt je bij het verzamelen en verwerken ook af hoe en waar dat gebeurt. Je denkt dan dat die data eigenlijk alleen maar op servers van de NZa staan. Niets is minder waar. Uit stukken die met op basis van de Wet Openheid(Woo) zijn verkregen blijkt dat die data door een externe firma verzameld, opgeslagen en verwerkt worden. Op servers die niet van de NZa  zijn en waarvan niet zeker is of ze op EU grondgebied staan.

Woo-stukken

Op basis van Woo-stukken van de NZa kwam aan het licht hoe de NZa opereerde en hoe de Autoriteit Persoonsgegevens(AP) als privacy-toezichthouder omging met de NZa. De rubriek Argos van de omroep VPRO-Human besteedde daar op 31 augustus in een televisie-uitzending en op haar website uitgebreid aandacht aan. Uit die Woo stukken komen nog meer belangrijke dingen naar voren. Eén daarvan is de wijze waarop de NZa de data verzamelt en verwerkt. De NZa plaatste de stukken in 3 delen op haar website(A, B en C ). Op bladzijde 72, 73 en 74 van het pdf-bestand onder B staat een uitgebreide interne NZa-email(dd 16-09-2022) van een data-scientist(data-wetenschapper). Daarin somt deze een aantal aandachtspunten op die van belang waren bij een nog uit te voeren Gegevens Effectbeoordeling over de HONOS-dataverzameling.

Data-scientist NZa

Uit de tekst blijkt net als op andere plaatsen in de Woo-stukken dat tot 2022 nimmer een Privacy Impact Assessment was gedaan door de NZa over de HONOS-gegevensverzameling. In 2022 gaat de NZa dan een gegevens Effect Beoordeling(GEB) doen. In het kader daarvan noemt de data-scientist wat openstaande punten die aandacht behoeven:

De openstaande punten noemen we hieronder.

  • De afspraken met verwerkers, specifiek Clevr. Clevr bouwt voor de NZa ICT-oplossingen, waaronder de tool waarin de gegevens voortkomend uit de informatieverplichting zorgvraagtypering worden aangeleverd en tijdelijk opgeslagen.
  • De gegevens worden tijdelijk opgeslagen op servers die niet van de NZa zijn. Het is nog niet volledig zeker dat deze servers allemaal op EU grondgebied staan. Mocht dat niet zo zijn, dan zullen we dat risico moeten mitigeren.

Clevr of CleVR

De NZa blijkt dus niet zelf initieel de data te verzamelen en bewerkingen daarop uit te voeren,. Ze maakt gebruik van een data-tool van het bedrijf Clevr. Er zijn twee bedrijven met een dergelijke naam. Het eerste is een bedrijf met vestigingen in Nederland, Duitsland(2), Noorwegen, Letland en Finland . Het bedrijf stelt de digitale transformatie te verwezenlijken voor complexe bedrijfstakken, onder andere met gebruik van de “low code” methode. Dat is een methode om applicaties te ontwerpen en te ontwikkelen met behulp van intuïtieve grafische tools en geïntegreerde functionaliteiten waarvoor traditionele schrijfvereisten(pro-code) niet langer nodig zijn. Het tweede bedrijf dat ervoor in aanmerking komt is het veel kleinere CleVR(met de VR van Virtual Reality). CleVR maakt  evidence-based Virtual Reality toepassingen binnen de GGZ. Welke van de twee het betreft is niet direct duidelijk. Maar gezien de schrijfwijze denk ik aan het eerste bedrijf die daarvoor het Mendix-platform kan inzetten.

Cloud

Uit de tweede opmerking van de data-scientist valt af te leiden dat Clevr de data opslaat in de cloud. De NZa-persoon weet niet zeker of dat wel alleen opslag is op servers op EU-grondgebied of dat er ook sprake is van opslag op servers elders, bijvoorbeeld in de Verenigde Staten. Dat lijkt triviaal maar servers die onder Amerikaanse jurisdictie vallen, zijn onderhevig aan de Freedom Act(voorheen Patriot Act). Overheidsinstanties kunnen dan zonder dat iemand daarvan verwittigd wordt gegevens op die servers inzien.

Latere verwerking door NZa zelf

Uit de woorden van de data-scientist kan je afleiden dat de verzamelde en in initieel be-/verwerkte HONOS-data pas in tweede instantie bij de NZa terecht komen. Die dan de slotbewerkingen daarop zal uitvoeren en daar bekostigingsregels uit zal gaan distilleren.

Niets is wat het lijkt te zijn

Indachtig dit motto van mij en kijkend naar de HONOS-data-verzameling door de NZa blijkt  zonneklaar dat de NZa niet in haar eentje de verzamelde HONOS-data bekijkt. Een derde partij schakelt ze daarbij in. Uiteraard zal men schermen met gedetailleerde geheimhoudings- en verwerkingsovereenkomsten. Toch moge duidelijk zijn dat de zeer privacygevoelige antwoorden op HONOS-vragenlijsten niet alleen op de computers van de NZa zelve staan, maar ook tijdelijk op systemen in de cloud zonder garantie dat het alleen om Europese cloud-servers gaat.

Los van het feit dat je een dergelijke gegevensverzameling op persoonsniveau niet moet willen hebben bij een semi-overheidsorgaan, moeten die data ook niet ergens anders ook nog staan.

W.J. Jongejan, 29 december 2023

Afbeelding van Elchinator via Pixabay