Onlangs deed de Afdeling Bestuursrechtspraak van de Raad van State uitspraak in een zaak over de database van zorgtoezichthouder van de Nederlandse Zorgautoriteit (NZa).

DIS-database
In de inhoudsindicatie schrijft de Afdeling:

In deze zaak gaat het om gegevens uit het zogenoemde Diagnose Informatiesysteem. Het DIS is een databank waarin de gegevens staan die zorgaanbieders verzamelen in hun zogenoemde minimale dataset. De zorgaanbieders sturen de MDS gepseudonimiseerd naar de stichting ZorgTTP. Deze stichting pseudonimiseert de gegevens nog een keer. Daarmee ontstaat een uniek nummer waarmee gegevens over zorggebruik kunnen worden gekoppeld aan één patiënt. Die gegevens levert de stichting ZorgTTP daarna aan de NZa.

Volgens de Afdeling is dit veilig en heeft de NZa de gegevens nodig voor haar wettelijke taken, zie onder meer:

Met de koppeling van de individuele patiënt en de zorg die aan die persoon is verleend, wordt een compleet behandeltraject van diegene in beeld gebracht. Alleen met de dubbel gepseudonimiseerde gegevens uit het DIS kan dat worden bereikt. Met geheel geanonimiseerde gegevens kan dat niet. Daarbij ontbreekt namelijk de koppeling tussen de patiënt en de genoten zorg. Voor markttoezicht, marktontwikkeling en tarief- en prestatieregulering is die koppeling dus een vereiste. (…) Het gebruik van de gegevens uit het DIS door de NZa is dus nodig om haar taken te kunnen vervullen.

Het lijkt er op dat Zorginstituut Nederland (ZIN) wel alle persoonsgegevens krijgt, zie:

Het ZIN heeft een volledig profiel van individuele wettelijk verplicht verzekerden nodig om hun zorggebruik in de tijd te kunnen volgen. De onderzoeken van het ZIN hebben betrekking op het zorggebruik over een langere periode en strekken zich uit over de verschillende medische disciplines. Het ZIN kan niet volstaan met geanonimiseerde gegevens, omdat zij dan niet de mogelijkheid zou hebben om vanuit patiëntperspectief de declaraties te koppelen aan een individu.

Dat gaat heel ver. Hier rijst de vraag of het doel niet via andere weg kan worden bereikt. Het geeft overigens aan dat fraudebestrijding (door zorgverleners neem ik aan) altijd een argument is voor analyse van zeer veel persoonsgegevens. Dus misschien is een AVG-zaak tegen ZIN wel veel relevanter dan een tegen de NZa. Want hoe zit het met de Privacy Impact Assessments van het ZIN.

De ACM krijgt blijkens de uitspraak dubbel gepseudonimiseerde gegevens:

De ACM heeft de dubbel gepseudonimiseerde gegevens nodig om vast te stellen voor welke zorg patiënten naar bepaalde instellingen gaan en of zij worden doorverwezen voor bepaalde zorg. Deze informatie is nodig om te kunnen onderzoeken of de instellingen met elkaar concurreren. Daarnaast kan aan de hand van deze gegevens de concurrentiedruk van instellingen worden ingeschat. Die inschatting vormt de basis voor de goedkeuring van fusies of samenwerkingen. Het CBS publiceert in de elektronische databank StatLine openbare statistieken. Het CBS brengt daarin door personen gevolgde zorgtrajecten in beeld. Daarvoor heeft het CBS de gegevens uit het DIS nodig.

Zie verder de uitspraak.

Jongejan
Wim J. Jongejan, die de site Zorg-ICT zorgen bijhoudt is ongelukkig met de uitspraak, zie dit artikel, waaruit ik helaas niet kan opmaken waartegen hij precies bezwaar heeft.

Vrijbit
De organisatie die de zaak aanspande, Vrijbit, schreef Uitspraak Raad van State in DIS zaak gebaseerd op onjuiste aannames. Volgens dat artikel zijn niet systematisch standaard Privacy Impact Assessments (PIA’s) uitgevoerd en zou er geen beleidskader of controleerbare procedures zijn binnen de NZa voor het gebruik en doorlevering van DIS data op noodzakelijkheid, proportionaliteit en subsidiariteit. Volgens Vrijbit zou er niet goed aan het EVRM getoetst zijn. Zij menen dat de dubbele pseudonimisering onvoldoende is [1].
Overigens melden zij dat er volgens geheime stukken wel PIA’s gedaan zouden zijn.

Tot slot
De algemene trend is dat overheden en bedrijven allen databases met persoonsgegevens willen aanleggen en daar altijd goede redenen voor hebben. Aan de ene kant denk ik dat er best wel redenen voor kunnen zijn, aan de andere kant is de onweerstaanbare neiging om veel te veel te verzamelen, het niet goed te organiseren (voorbeeld: GGD-datalek) en het technisch zo te organiseren dat depseudonimiseren niet moeilijk is.

Dat betekent dat de NZa-database hoog risico is. Het is te hopen dat de Autoriteit Persoonsgegevens en de Afdeling het bij het rechte eind hebben als zij concluderen dat er voldoende maatregelen zijn genomen.

Noten

[1] “Men redeneert daarbij dat aangezien de DIS-data dubbel gepseudonimiseerd worden (door de zorgaanbieders en ZorgTTP) deze niet herleidbaar zouden zijn ’omdat de NZa de sleutel van die encryptie’ niet heeft. Maar juist omdát er met deze dubbele pseudonimisering een uniek nummer ontstaat waarmee deze gegevens over zorggebruik kunnen worden gekoppeld aan één patiënt kon de NZa, middels de verzamelde zorgverzekeringsdata ondergebracht in Vektiz *waar NZa ook over beschikte, de encryptie ontsluiten.”
[2] Of dat het geval is kan ik niet beoordelen zonder een compleet dossier en aanvullende informatie.