De Nederlandse Zorgautoriteit (NZa) heeft met het verzamelen van gedetailleerde persoonlijke gegevens niet de privacy geschonden van ongeveer 800.000 patiënten in de geestelijke gezondheidszorg. Dat meldde de NOS vorige week. Ook andere wetgeving is niet in gevaar gebracht, zo oordeelde de rechtbank Midden-Nederland.
In 2023 werd de toezichthouder in een collectieve procedure door diverse stichtingen aangeklaagd. Zij wilden dat de NZa zou stoppen met het opvragen van informatie over de gezondheidssituatie van individuele cliënten in de geestelijke gezondheidszorg bij hun behandelaren en ook met het verwerken van die gegevens, omdat dit het recht op privacy en het medische beroepsgeheim schendt.
Waar gaat het om? Het tussenvonnis uit 2024 (dat ging over de ontvankelijkheidsvraag van de eisers) legt uit:
Op 1 januari 2022 is er een nieuw bekostigingsstelsel voor de geestelijke gezondheidszorg en forensische zorg ingevoerd. Dat is het zorgprestatiemodel. In dat model wordt gewerkt met een systeem van ‘zorgvraagtypering’. Met de zorgvraagtypering wordt de zorgvraag van cliënten in kaart gebracht en wordt er een verband gelegd tussen de zorgvraag en de mogelijke behandelwijzen.Behandelaren vullen hiervoor zogenoemde HoNOS+-vragenlijsten in, met allerlei scores over sociale en mentale problemen. Met de ingevulde lijsten kan een algoritme worden geijkt en worden de zorgvraagtyperingen ingedeeld. Bij dat laatste ontstond discussie: dat zijn toch bijzondere (medische) persoonsgegevens, hoezo mag de NZa dat opvragen en hergebruiken?
De rechtbank oordeelt nu dat hier sprake is van anonieme gegevens:
De gepseudonimiseerde declaratiegegevens die de NZa ontvangt zijn daardoor geen direct herleidbare persoonsgegevens meer. Hooguit zijn deze declaratiegegevens dan nog indirect herleidbaar,(…)De discussie over anoniem versus pseudoniem heeft er dus weer een ronde bij. De verwijzing naar quantumcomputers is wel een leuke: regelmatig wordt gespeculeerd dat deze nieuwe technologie in staat zal zijn om alle bestaande encryptie en hashing te kraken, in de zin dat deze triviaal ongedaan te maken is. Daarbij hoort de filosofische vraag of gegevens dan nu anoniem zijn als ze in de toekomst herleidbaar worden.Drie werknemers van de NZa hebben toegang tot de HoNOS+-gegevens. Van die drie werknemers hebben twee werknemers ook toegang tot de gepseudonimiseerde declaratiegegevens. … [Z]elfs al zouden de twee werknemers binnen de NZa de HoNOS+-gegevens koppelen aan declaratiedata, dat het voor de NZa redelijkerwijs niet mogelijk is om de gegevens te herleiden tot individuen. Doordat de declaratiedata door hashing zijn gepseudonimiseerd, zijn ze versleuteld. De NZa kan deze gegevens niet ‘ontsleutelen’. Zij beschikt namelijk niet over de sleutel om de hashing, en daarmee de pseudonimisering, ongedaan te maken. Ook heeft zij – zoals de NZa heeft aangevoerd – niet de benodigde quantumcomputer om deze hashing te ‘kraken’, omdat die computer simpelweg nog niet bestaat.
Iets concreter is: wat als de NZa wordt gehackt en de brongegevens worden buitgemaakt, waarna de aanvaller alles combineert en de gegevens blootlegt. Maakt dat de gegevens persoonsgegevens? Ja, dan wel. Maar niet nu al. Dat is dus op zichzelf geen redelijk middel om tot herleiding te komen.
In dit specifieke geval geldt overigens dat bij een mogelijke hack bij de NZa de HoNOS+-gegevens anoniem blijven en de declaratiegegevens versleuteld. Ook voor een hacker zal het daardoor technisch gezien vrijwel onmogelijk (en in ieder geval verboden) zijn om de gegevens te herleiden tot individuen, omdat hij dan meerdere partijen zou moeten hacken.Meer algemeen is er nog de discussie over patiëntprivacy, want ook als je heel formeel de gegevens anoniem noemt, blijft het een verplichting voor patiënten om zeer gevoelige informatie af te staan aan een grote, onzichtbare organisatie.
Net als bij de EHDS van gisteren is de conclusie hier: dat zit wel goed, want het is uitgebreid onderzocht en gemotiveerd, en bovendien verbonden aan een wettelijke regeling. Dat moet genoeg zijn in een democratische samenleving.
Hetzelfde geldt voor het medisch beroepsgeheim: ook dat mag worden doorbroken als dat wettelijk geregeld is, en die regeling op zichzelf maatschappelijk aanvaardbaar is. Daar heeft de wetgever over nagedacht en een redelijke afweging gemaakt, dus ook dat is in orde.
Arnoud
Gegevens kunnen voor partij A anoniem zijn terwijl diezelfde gegevens (op hetzelfde of een ander moment) voor partij B persoonsgegevens kunnen zijn. Is dat heel anders?
Is het niet zo dat m.b.t. identificeerbaarheid louter rekening hoeft te worden gehouden met wettige middelen om gegevens tot een persoon te herleiden (Breyer)? Hacken (en de buitgemaakte bronbestanden vervolgens combineren) is niet echt wettig.
Het is niet gebaseerd op wettige middelen, maar op de vraag of het risico aanvaardbaar is. Ofwel hoe realistisch is het dat dit gebeurt. Als het legaal is, is er een grote kans dat het gebeurt (schenden van de AVG is niet legaal), en als het illegaal is is de kans kleiner. Maar de kans hangt ook af van andere zaken zoals beveilig, pseudoniemisering etc.