dinsdag, 02 mei 2017 20:39

Stand van zaken na twee jaar strijd tegen de Toezichthouder Bescherming Persoonsgegevens (AP) om in te grijpen tegen grootschalige illegale verzameling van alle medische gegevens van de Nederlandse bevolking door NZa en Zorgverzekeringsmaatschappijen

Op drie mei 2015 diende Burgerrechtenvereniging Vrijbit twee verzoeken in bij toezichthouder om een eind te maken aan:

1- De onrechtmatige verzameling en verwerking van medische gegevens door de Zorgverzekeraars en

2- De wijze waarop de Nederlandse Zorgautoriteit ( NZa) de medische diagnose- en behandelgegevens (DBc) van de gehele Nederlandse bevolking periodiek opeist van de zorgverleners, deze zelf verwerkt in het DIS en verstrekt aan derde partijen.

De uitspraak termijn van de rechtbank Midden-Nederland waar beide zaken afgelopen 10 maart in Utrecht werden behandeld is onlangs met 6 weken verlengd  tot 2-6̄- 2017.

Dat betekent dat de toezichthouder, die als taak heeft om op te komen voor de belangen van de inwoners van Nederland, niet alleen nagelaten heeft om zelfstandig een eind te maken aan de systematische illegale verzameling van alle medische gegevens van de Nederlandse bevolking waar men al jaren van op de hoogte was. Maar zich nu ook al 2 jaar verzet tegen de formeel juridische aanmaning om hiertegen in actie te komen.

Toelichting

De GEDRAGSCODEZAAK UTR 16/3326 WBP V97 gaat om het afgewezen verzoek van Vrijbit op 3 mei 2015 aan AP (toen nog CBP) om een eind te maken aan de onrechtmatige verzameling en verwerking van medische gegevens door de Zorgverzekeringsmaatschappijen die tot op de dag van vandaag met medische gegevens omgaan volgens een Gedragscode die strijdig is met de fundamentele rechten op bescherming van het privéleven van patiënten en medisch beroepsgeheim.

Kern van het beroep is dat zorgverzekeraars ( na de uitspraak van de rechtbank Amsterdam) wéten dat de door hen gehanteerde procedures voor de verwerking van medische persoonsgegevens geen juiste uitwerking vormen van vereisten vastgelegd in wet en verdrag (Wet Bescherming Persoonsgegevens & Europees Verdrag voor de Rechten van de Mens en fundamentele vrijheden). En dat de toezichthouder, ten minste ná dit oordeel van de Rechtbank Amsterdam hád moeten optreden tegen deze handelswijze van zorgverzekeraars.

Daarnaast gaat het in dit geschil secundair ook om de wettelijke verplichting voor zorgverzekeraars om uitsluitend volgens een door de toezichthouder goedgekeurde Gedragscode medische persoonsgegevens te mogen verwerken. Een voorwaarde die bij de totstandkoming van de Zorgverzekeringswet in 2005 op grond van de wetsgeschiedenis middels de motie Heemskerk uitwerking kreeg in art.1 van de Regeling Zorgverzekering. En die onverkort van toepassing blijft al is dit bij de aanpassing van de regeling Zorgverzekering in 2010 niet meer expliciet opgenomen. Waarbij expliciet speelt dat de legitimatie voor het verrichten van materiële controle door zorgverzekeraars geregeld moet worden in een wet in formele zin en het vastleggen van een verplichting tot medewerking hieraan door zorgverleners niet gebaseerd mag worden op een bepaling in een ministeriële regeling zoals nu staande praktijk is.

De DISZAAK UTR 16/4199 WBP V93 gaat over de wijze waarop de Nederlandse Zorgautoriteit ( NZa) de medische diagnose- en behandelgegevens (DBc) van de gehele Nederlandse bevolking voor zogenaamde beleidsdoeleinden periodiek opeist van de zorgverleners, deze zelf verwerkt in het Diagnose Informatie Systeem DIS en verstrekt aan derde partijen. Terwijl dit om vertrouwelijke intieme medische gegevens gaat die uitsluitend toegankelijk behoren te zijn voor patiënten en zorgverleners die direct bij een bepaalde medische behandeling van hen zijn betrokken.

Kern van de zaak is dat er bij het opzetten van de het DIS als beleidsinformatiesysteem van uitgegaan werd dat de DIS data niet tot de persoon herleidbaar waren. Alle organisaties en instanties die DIS data kregen(met uitzondering van het CBS) werden geacht aan de gepseudonimiseerde data, die geacht werden niet tot personen herleidbaar te zijn, genoeg te hebben voor het uitvoeren van hun taken. (Ook de NZa en College Zorgverzekeraars voorloper van Zorginstituut Nederland).

Vervolgens werd in 2014 in een uitzending van Zembla nadrukkelijk gesteld dat met het pseudonimiseren van de DIS data niet kon worden voorkomen dat deze gegevens (op eenvoudige wijze) tot personen konden worden herleid. Dat betekende dat het dus wel degelijk om persoonsgegevens ging.  En omdat er voor de verwerking van persoonsgegevens in DIS geen rechtsgrond bestaat - zoals het CBP al in 2006 had aangegeven- bleek derhalve dat er sprake was van een onrechtmatige gegevensverwerking.

Toen echter ondubbelzinnig werd aangetoond dat er wel degelijk sprake was van persoonsgegevens greep het CBP niet in en werd ook niet ingezet op een betere beveiliging om aan de voorwaarde van niet herleidbare gegevensverwerking door het DIS te blijven voldoen (door bijvoorbeeld met gegeneraliseerde of geaccrediteerde data te gaan werken). In plaats daarvan adviseerde het CBP om een wettelijke basis te gaan creëren voor het onrechtmatige systeem op grond van de stelling dat het voor alle organisaties en instanties nu ineens NOODZAKELIJK was om te kunnen beschikken over medische gegevens op persoonsniveau.

Dat dit zogenaamde ´noodzakelijkheidvereiste´ als gelegenheidsredenering van stal werd gehaald om bestaande onrechtmatige verwerkingsactiviteiten alsnog te legitimeren is duidelijk. Evenals het feit dat deze ‘reparatiepoging’, om de onrechtmatige verwerking van medische persoonsgegevens te kunnen blijven continueren door de verwerking van persoonsgegevens als 'noodzakelijk' te verklaren, onacceptabel is.

Dat het AP hier aan meewerkt, terwijl zij eerder zelf heeft geconstateerd dat het bij het DIS gaat om de meest kwetsbare database die ooit is opgericht en die een ongekende hoeveelheid gevoelige persoonsgegevens bevat van alle Nederlandse burgers, is onjuist en onbegrijpelijk.

In deze kwestie speelt ook de misleidende term ´Minimale Dataset´een rol als aanduiding voor de informatie die door zorgverleners bij het DIS moet worden aangeleverd. Het gaat in tegenstelling tot wat de aanduiding beoogt te verwoorden namelijk eerder om een maximale dataset van verplicht aan te leveren gevoelige behandelinformatie, via een door de NZa bij de administratie van zorgverleners geïnstalleerde software. Als schrijnend voorbeeld geldt daarbij de zeer uitgebreide informatieset die in de GGZ moet worden aangeleverd met naast informatie over de psychische stoornissen en somatische aandoeningen ook informatie over psychosociale en/of omgevingsproblemen.

Tot slot

Het grootschalig systematisch verwerken van de medische persoonsgegevens via zorgverzekeringsbedrijven en via het DIS komt neer op het feitelijk opheffen van het beroepsgeheim en vertrouwelijkheid in de zorgverlening. Het recht op bescherming van het privéleven, één van de belangrijkste pijlers van onze vrije democratische rechtsstaat, wordt daarmee tot een absolute farce.

Burgerrechtenvereniging Vrijbit heeft zich in lijn hiermee tijdens het slotwoord op de zitting tot de rechtbank gericht. Met het uitspreken van de woorden dat het bijzonder betreurenswaardig is dat de burger nu in feite ten overstaande van de rechter gedwongen wordt om zich te verantwoorden voor het feit dat men de aantasting van de bescherming van de fundamentele mensenrechten, op bescherming van het privéleven, lichamelijke integriteit en het medisch beroepsgeheim, onacceptabel vindt. En dat het in een democratische rechtstaat niet zou behoren voor te komen dat hierover een rechtszaak moet worden aangespannen tegen de toezichthouder, die juist als voornaamste  taak heeft om deze rechten voor ons te bewaken.

Hoe de uitspraak van de rechtbank zal luiden is vooralsnog ongewis. Positief is in elk geval dat de rechtbank zich deze keer vooraf wel goed geïnformeerd bleek te hebben en juridische neteligheden en fundamentele bezwaren goed aan de orde zijn gekomen.