Vernietigend oordeel AP over jarenlang zonder toestemming verzamelen van patiëntengegevens
Jarenlang verzamelde de Stichting Benchmark GGZ(SBG) buiten medeweten van patiënten onrechtmatig Routine Outcome Monitoring(ROM)-data en be-/verwerkte die. Daarna nam SBG-opvolger Akwa GGZ onrechtmatig data over van SBG en stelde die onrechtmatig open voor onderzoek. Dat is het vernietigende oordeel van de Autoriteit Persoonsgegevens(AP) over het verzamelen, be-/verwerken van onvoldoende gepseudonimiseerde door SBG en het handelen van Akwa GGZ. De uitspraak is gedaan n.a.v. een op 24 maart 2017 ingediend handhavingsverzoek bij de AP van een vasthoudende ex- GGZ-patiënte, Judica Berkelaar. Omdat haar data zonder haar toestemming ooit naar SBG waren gestuurd, diende zij autonoom in eerste instantie hierover een klacht in bij SBG. Deze werd niet ontvankelijk verklaard. Dit was reden voor Berkelaar om een handhavingsverzoek in te dienen bij de AP. Heden, op 16 december 2019, na 138 weken, deed de AP uitspraak, na eerder op 3 december 2018 het handhavingsverzoek nog afgewezen te hebben. De kern van de uitspraak is dat SBG onvoldoende gepseudonimiseerde patiëntgegevens verwerkte, waardoor die alsnog als bijzondere persoonsgegevens aangemerkt konden worden.
Uitspraak met grote consequenties
Wat zei de AP precies. In punt 36 van de beslissing op bezwaar stelt de AP:
“De AP stelt vast aan de hand van het onderzoeksrapport dat SBG op de gepseudonimiseerde dataset onvoldoende technische waarborgen heeft genomen om de risico’s op herleidbaarheid in voldoende mate weg te kunnen nemen, waardoor het niet gekwalificeerd kan worden als een anonieme dataset. Gelet op de gedetailleerde aard en de hoeveelheid gegevens die door SBG ofAkwa GGZ over één patiënt wordt verwerkt, (het risico op) indirecte herleiding bij meerdere partijen en aan de hand van publieke bronnen niet is te voorkomen en er dus niet gesproken kan worden over een anonieme dataset.”
In de zorg vindt veel onderzoek plaats waarbij gepseudonimiseerde zorgdata veelal buiten medeweten van de patiënt door derden be-/verwerkt worden. Het is daarbij de vraag of die zorgdata daar op afdoende wijze gepseudonimiseerd zijn. Bij een groot deel van die data maakt men gebruik van het bedrijf ZorgTTP. Wat de werkwijze van SBG met de ROM-data was, staat in het onderdeel “Rapport naar aanleiding van
onderzoek gegevensverwerking SBG” in de geanonimiseerde beslissing op bezwaar.
Overwinning voor patiënten
De uitspraak kan men zien als een overwinning voor de patiënt. Veelal verzonden zorginstellingen zonder toestemming van de patiënt ROM-gegevens naar SBG. De leiding van dit volledig door zorgverzekeraars betaalde bedrijf hield altijd vol dat er niets onrechtmatigs gebeurde omdat de data volgens hen voldoende gepseudonimiseerd waren. Een vasthoudende actiegroep StopBenchmarkMetROM waarvan Judica Berkelaar deel uitmaakt streed vanaf begin 2017 tegen de wijze van handelen van SBG. Daardoor zakte in 2018 de hoeveelheid doorgestuurde ROM-data in zodat SBG geen bestaansrecht meer had en per 1 januari 2019 ophield te bestaan. Haar activiteiten nam het nieuw opgerichte bedrijf Akwa GGZ over, ook een verarmde database van SBG met ROM-data.
Herleidbaarheid
Omdat de data onvoldoende gepseudonimiseerd waren en dus in principe herleidbaar tot individuen was er sprake van het be-/verwerken van bijzondere persoonsgegevens. Daardoor overtraden zowel SBG als Akwa GGZ het algemene verwerkingsverbod op bijzondere categorieën van persoonsgegevens, zoals opgenomen in artikel 9, eerste lid, van de AVG. Zij konden zich niet beroepen op één van de algemene uitzonderingen zoals opgenomen in artikel 9, tweede lid, van de AVG op het verwerkingsverbod van bijzondere categorieën. SBG was en Akwa GGZ is immers geen instelling voor gezondheidszorg of maatschappelijke dienstverlening.
Berisping
De AP verklaart in haar uitspraak het bezwaar tegen de eerdere verwerping van het handhavingsverzoek gegrond en herroept dit besluit van 3 december 2018. De AP wijst het handhavingsverzoek van Berkelaar toe en legt AKWA GGZ een berisping op, als bedoeld in artikel 58 tweede lid van de AVG. Aangezien SBG opgehouden heeft te bestaan neemt de AP daar geen maatregel tegen.
Door de toelichting op de uitspraak is het duidelijk dat de mensen achter SBG en de financiers, de zorgverzekeraars wel degelijk een flinke tik op de vingers krijgen. Voor Akwa GGZ is het des te indringender omdat ze de van SBG overgenomen dataset in het voorjaar van 2019 voor onderzoek openstelde om daarna op last van de AP daarmee te moeten stoppen. In de zomer van 2019 vernietigde Akwa GGZ die database. Dat is best opzienbarend. Akwa GGZ vernietigde de database VÓÓR de uitspraak van de AP en vernietigde daarmee bewijsmateriaal.
Medeplichtig
Inmiddels zijn enkele tientallen miljoenen euro’s aan premiegeld door zorgverzekeraars uitgegeven aan dat onrechtmatig verzamelen van ROM-data, veelal zonder dat de patiënt het wist. De zorgverzekeraars financierden immers SBG. Geld dat veel zinniger in de GGZ uitgegeven had kunnen worden. Men kan gerust stellen dat de zorgverzekeraars medeplichtig zijn aan het onrechtmatig handelen van SBG en Akwa GGZ
Het is in wezen diep triest dat het van de vasthoudendheid van één persoon af moet hangen dat onrechtmatig handelen door zorgdata verwerkende bedrijven gestopt wordt.
Ook hier geldt de bekende uitspraak: “First they ignore you, then they laugh at you, then they fight you, then you win.”
W.J. Jongejan, 16 december 2019
Naamsvermelding is met instemming van betrokkene.
Afbeelding van Jan Alexander via Pixabay
Recente reacties