zaterdag, 15 juli 2017 16:27

Tussenuitspraak rechtbank Midden-Nederland in zake onrechtmatig gebruik Medische Gegevens door NZa en Zorgverzekeraars

Update 1-8-2017

De Rechtbank Midden- Nederland gaf middels een tussenvonnis de AP 8 weken de tijd om de gebreken aangaande het toezicht op de DIS praktijken van NZa en onrechtmatige Gedragscode Zorgverzekeraars te herstellen. De AP stuurde de rechtbank als reactie op de verplichte kennisgeving binnen 14 dagen of men daar gebruik van wenste te maken, de hersteltermijn te verlengen tot minstens een half jaar of voor onbepaalde tijd. Pdf Uitstel verzoek reparatie herstel handhaaf gebrek AP t.a.v. DIS. Pdf Uitstel verzoek reparatie gebrek handhaving Gedragscode.

Op 10 maart jongsleden dienden in Utrecht twee rechtszaken over het onrechtmatig verzamelen, verwerken en doorgeven van ieders medische gegevens door de Zorgverzekeraars en de Nederlandse Zorg Autoriteit.

Het ging om de twee beroepszaken die Burgerrechtenvereniging Vrijbit aanspande tegen de Autoriteit Persoonsgegevens (AP voorheen CBP ) omdat deze toezichthouder tot op heden weigert in te grijpen tegen het systematisch onrechtmatig verzamelen en verwerken van de medische gegevens van de gehele bevolking.

De zaak UTR 16/3326 WBP V97 gaat om het afgewezen verzoek van Vrijbit op 3 mei 2015 aan de AP om een eind te maken aan de onrechtmatige verzameling en verwerking van medische gegevens door de Zorgverzekeraars die tot op de dag van vandaag met de medische gegevens van hun klanten omgaan volgens een Gedragscodedie strijdig is met de fundamentele rechten op bescherming van het privéleven van patiënten en medisch beroepsgeheim.

De zaak UTR 16/4199 WBP V93 gaat over de wijze waarop de Nederlandse Zorgautoriteit ( NZa) de medische diagnose- en behandelgegevens (DBc) van de gehele Nederlandse bevolking periodiek opeist van de zorgverleners, deze zelf verwerkt in het DIS en verstrekt aan derde partijen.

Het DIS waarvan het CBP elf jaar geleden al aangaf dat het geen tot de persoon herleidbare persoonsgegevens zou mogen bevatten maar niet ingrijpt hoewel  al jaren terug onomstotelijk is komen vast te staan dat het wel degelijk om persoonsgegevens gaat.

Ook hier gaat het om de behandeling van een beroepszaak die het gevolg is van een handhavingsverzoek wat al meer dan twee jaar geleden werd ingediend.

Tussenuitspraken

Na drie keer uitstel van de uitspraaktermijn werd er op 11-7-2017  aan beide partijen meegedeeld dat de rechtbank zich vooralsnog beperkte tot het doen van een tussenuitspraak.

In dit tussenoordeel spreekt de rechtbank zich in beide gevallen al wel uit dat het weigeren van AP om gevolg te geven aan de handhavingsverzoeken als onterecht wordt beoordeeld maar de rechtbank alvorens haar definitieve oordeel te vellen de toezichthouder 8 weken de tijd geeft tot  het herstellen van deze gebreken.

Inhoudende dat in de zaak over de gedragscode de AP tot 5 september de mogelijkheid krijgt om alsnog nader te onderzoeken of verzekeraars hun werkwijze hebben aangepast aan Wbp, Handvest van de Grondrechten van de EU en EVRM ‘waarbij moet blijken dat AP de conclusies van de rechtbank Amsterdam (dat de gedragscode strijdig is met de fundamentele rechten op bescherming van het privéleven van patiënten en medisch beroepsgeheim) bij hun handelswijze hebben betrokken’. Download Tussenuitspraak UTR 16/3326 WBP V97

Download Pdf Tussenuitspraak UTR 16/4199 WBP V93 Inhoudende dat in de zaak van het DIS AP tot 5 september de tijd krijgt om het besluit te herstellen of laten herstellen. Waarbij ‘herstellen’ mogelijk is hetzij met een aanvullende motivering, hetzij voor zover nodig met een nieuwe beslissing op bezwaar. AP krijgt daarvoor van de rechtbank de opdracht om:

  •  Per taak van NZA te onderzoeken en motiveren of daarvoor noodzakelijk is dat medische persoonsgegevens noodzakelijk zijn of dat met geanonimiseerde gegevens volstaan kan worden.
  • Per taak van ZiNL, de ACM en het CBS te onderzoeken en te motiveren of daarvoor medische data moeten worden verstrekt door NZa of dat met geanonimiseerde gegevens volstaan kan worden.
  • Te onderzoeken en te motiveren waarom er geen last onder dwangsom of andere handhavingsinstumenten zijn ingezet versus NZa vanwege de onrechtmatige verstrekking van medische gegevens aan ministerie en CBP teneinde onrechtmatig verstrekte gegevens terug te laten sturen of te vernietigen.

Om nodeloze verspilling van tijd tegen te gaan heeft de rechtbank bedongen dat AP binnen 2 weken moet laten weten of men ingaat op de geboden mogelijkheid tot herstel van hun ongeoorloofde afwijzing van de handhavingsverzoeken.

Conclusie:

Al is het natuurlijk een opsteker voor Privacyvoorvechters dat de rechtbank in beide zaken het handhavingsverzoek als terecht beoordeeld en het optreden van de toezichthouder als gebrek aanmerkt, daarmee is er aan de feitelijke situatie dat NZa en de Zorgverzekeraars ( en degene aan wie zij medische data verstrekken en ermee laten werken) nog steeds niets veranderd.

Waarmee we net als in zoveel andere juridische procedures ( van nog steeds lopende rechtszaken tegen de Paspoortwet t/m juridische verzet tegen de nieuwe wet op de inlichtingen-en veiligheidsdiensten Wiv 34.588) moeten constateren dat er nauwelijks sprake is van een effectieve rechtsgang om systematische grootschalige privacyaantastingen door overheid en semioverheidsinstellingen aan te pakken.  Tenzij de rechtbank Midden-Nederland immers een vernietigende uitspraak doet tegen AP en de toezichthouder daar niet tegen in beroep zou gaan, bij de Raad van State, kan een definitieve nationale uitspraak nog lang duren en een bindende uitspraak van het Hof van de rechten van de Mens nog veel langer.

Vandaar dat we opnieuw aandacht vragen voor de stelling van het recente promotieonderzoek van privacyexpert Bart van der Sloot dat het voor de burger in geval van Big Data feitelijk niet meer mogelijk is om zijn Recht op Privacy ( zoals vastgelegd in wet-en verdrag) te doen gelden waardoor de feitelijke bescherming zou behoren te verschuiven van een recht op privacy naar een plicht tot privacy voor bedrijven en overheden die met Big data werken. ( bron: Dataverwerkers hebben zorgplicht ten opzichte van privacy. Privacy As Virtue: Moving Beyond the Individual in the Age of Big Data

Gelezen 1295 keer