dinsdag, 19 december 2023 11:24

Rechtszaak Dis nadert ontknoping

Afgelopen woensdag 13 december 2023 werd, na 8 ½ jaar, door de Raad van State de Hoger Beroepszaak van Vrijbit tegen de Autoriteit Persoonsgegevens(AP) behandeld.

Deze juridische procedure betreft de weigering van de AP om handhavend op te treden tegen de wijze waarop de NZa middels het Diagnose- behandel Informatie Systeem(DIS) vanaf 2015 uiterst gevoelige- tot de persoon herleidbare medische gegevens voor beleidsdoeleinden opeist van zorgverleners en deze verwerkt en doorlevert aan andere partijen.

Nadat de AP eerst jarenlang had volgehouden dat het DIS (opgericht in 2004)niet zou indruisen tegen de wetgeving ter bescherming van persoonsgegevens, omdat de gespeudonimiseerde DIS data geen persoonsgegevens zouden betreffen, gaf men in 2014 toe dat dat toch wel al die tijd het geval was geweest.

Toch bleef men bij het besluit om niet handhavend tegen de NZa te willen optreden. Al had de voorloper van de AP, het CBP, al in 2006 de minister schriftelijk te verstaan gegeven dat het verankerde medisch beroepsgeheim in principe de verstrekking van diagnose informatie van patiënten voor financiering/declaratiesystemen in de weg zou staan indien het om herleidbare persoonsgegevens zou gaan.

Oorspronkelijk functioneerde het DIS zelfs zonder wettelijke grondslag. Maar nadat dit ontbreken van een grondslag en daarmee de flagrante schending van de privacy van patiënten en het medisch beroepsgeheim waren ‘gerepareerd’  met de invoering van de Wet Marktordening Gezondheidszorg(WMG) ontsloeg dat de NZa (anders dan de AP in haar verweerschrift op 30-11-jl. nog betoogde) niet van de plicht om per specifieke publieke taak te toetsen of deze diagnose behandeldata daar noodzakelijk voor zijn en voldoen aan de toets op proportionaliteit en subsidiariteit.

Inmiddels is door de Woo verzoeken in de Honoszaak vast komen te staan dat de NZa als verwerkingsverantwoordelijke rechtspersoon/instelling geen beleid, geen beleidskader en geen controleerbare procedures had voor een te verantwoorden, legitieme toetsing van ontvangst, gebruik en doorlevering van DIS data op noodzakelijkheid, proportionaliteit en subsidiariteit.Terwijl de NZA  zowel de rechtbank Midden-Nederland als de AP op de mouw had gespeld dat dit wel het geval was.

Deze handelswijze van de NZa als toezichthouder is niet alleen in strijd met geldende regelgeving maar is ten principale verwijtbaar onzorgvuldig. Hetgeen de AP middels het onderzoek, dat men beweerde te hebben gedaan, had dienen te constateren en tegen had moeten optreden. De pleitnota van Vrijbit is hierover helder. Evenals de door Vrijbit ingebrachte aanvullende (Woo)informatie waaruit blijkt dat de NZa -tot op directieniveau- zelf aangeeft dat men de Dis data niet noodzakelijk acht voor het uitvoeren van hun publieke taak, maar naar buiten toe wil volhouden aan de stelling dat ze noodzakelijk zijn ‘omdat anders zou blijken dat er in de Vrijbit-zaak tegen de rechtbank gelogen is’.

Tegen deze achtergrond eist Vrijbit dat de AP alsnog handhavend zal optreden tegen de niet legitieme verwerking en doorlevering van gevoelige medische persoonsgegevens door gericht terughalen en vernietigen van DIS-data. Zoals de AP zelf aangeeft hiertoe een beginselplicht te hebben.

Als slotwoord van de zitting voegde de voorzitter van Vrijbit hier nog aan toe dat het toch wel een grote schande is dat kleine vrijwilligersorganisaties, zoals Vrijbit- maar ook organisaties als het Platform bescherming Persoonsgegevens, de coalitie ‘Vertrouwen in de GGZ’ en de Koepel KDVP-, moeten opkomen voor de fundamentele burgerrechten ter bescherming van de medische gegevens van de gehele bevolking.

Omdát de officiële overheidsorganisaties weigeren hun verantwoordelijkheid te nemen om hun wettelijke taak uit te voeren. Sterker nog omdat zij de pogingen om hen daar juridisch toe te dwingen proberen te torpederen met vertragingstechnieken- waaronder het creëren eindeloze nevenprocedures met betrekking tot geheimhoudingsverzoeken – t/m onjuiste informatieverstrekking aan de rechterlijke macht.

Uitspraak verwacht in 2024

Toelichting op vereisten verwerking persoonsgegevens op grond van de WMG Bron: Memorie van Toelichting WMG blz. 45

Persoonsgegevens
Het College bescherming persoonsgegevens (CBP) adviseerde op 13 april 2005 over de WMG . Het CBP trekt de volgende conclusies.
• De noodzaak voor het verstrekken van persoonsgegevens aan de zorgautoriteit moet worden onderbouwd.
• In ieder geval de verwerking van bijzondere persoonsgegevens, zoals persoonsgegevens betreffende de gezondheid, dient een grondslag te hebben in de wet in formele zin. Die wet moet de gegevensverwerking voldoende specifiek regelen, en de noodzaak van de verwerking moet daarbij voldoende worden onderbouwd. Dit is in het bijzonder van belang indien de bepaling er tevens op is gericht voor een bepaalde verwerking het medisch beroepsgeheim te doorbreken.
• Daarom moet in de WMG een apart regime voor het verwerken van bijzondere persoonsgegevens (met name persoonsgegevens betreffende de gezondheid) worden opgenomen.
• Ook het wetsartikel (oud 5.7) over het verder verwerken van persoonsgegevens binnen de zorgautoriteit moet daarom worden aangepast.
• Verduidelijkt dient te worden welke organisaties voor welke taken persoonsgegevens mogen ontvangen van de zorgautoriteit. De noodzaak daarvan dient vast te staan. Voor het verstrekken van bijzondere persoonsgegevens aan die organisaties dient, net als voor het verstrekken van dergelijke gegevens aan de zorgautoriteit, de wet in formele zin een voldoende specifieke wettelijke grondslag te bieden. Dit is mede geboden in verband met de geheimhouding die op de gegevens rust.
• Het CBP verzoekt expliciet in de WMG op te nemen dat de zorgautoriteit ook toezicht houdt op de verwerking van persoonsgegevens door ziektekostenverzekeraars.
Het CBP concludeert dat het hem voorgelegde wetsvoorstel in strijd is met het bepaalde in de WBP, alsmede artikel 8 EVRM en artikel 10 Grondwet, zodat het tevens in strijd is met het medisch beroepsgeheim. Het CBP dringt er met klem op aan het wetsvoorstel aan te passen overeenkomstig zijn advies. In een bijlage bij het advies wordt dieper ingegaan op de voorgelegde ontwerp wettekst en de memorie van toelichting en worden suggesties gedaan voor aanpassing van het ontwerp. De Raad van State adviseerde om de voorgestelde regeling voor de verstrekking van tot de persoon herleidbare medische gegevens te heroverwegen en het advies van het CBP op te volgen.

Aanpassingen naar aanleiding van de adviezen van het CBP en de Raad van State
Het wetsvoorstel en de toelichting zijn als volgt aangepast:
• vastlegging onderscheid tussen identificerende persoonsgegevens,
medische persoonsgegevens en strafrechtelijke persoonsgegevens;
• vastlegging wat onder identificerende gegevens wordt verstaan;
• de noodzaak van verwerking van persoonsgegevens aangeven per taak van de zorgautoriteit;
• de noodzaak van verwerking van persoonsgegevens bezien per uitwisseling met andere in de WMG aangewezen toezichthouders en informatieverzamelaars in de zorg;