nieuws

Patiënten vragen rechter om stop op verwerking patiëntgegevens

Een coalitie van mensen en organisaties uit de geestelijke gezondheidszorg wil dat de Stichting Benchmark GGZ (SBG) ophoudt met het onwettelijk verwerken patiëntgegevens in de geestelijke gezondheidszorg. Omdat SBG weigert deze gegevensverwerking te staken, stapt de coalitie naar de rechter.

De coalitie, genaamd Stop Benchmark ROM, zal op 13 juli aan de kort geding rechter bij de Rechtbank Utrecht vragen SBG hiertoe te bevelen.

Gevoelige informatie van meer dan een miljoen patiënten

Er zijn meer dan een miljoen patiënten in de geestelijke gezondheidszorg. Zorgverzekeraars en zorgaanbieders hebben een akkoord gesloten waarbij ze als uitgangspunt hebben genomen dat de kwaliteit van de zorg transparant en onderling vergelijkbaar kan worden gemaakt. SBG is opgericht om hiervoor diensten te leveren. Een behandelaar, zoals een psychiater of een psycholoog, stuurt gegevens over de patiënt en de behandeling naar SBG. SBG biedt vervolgens rapportages aan zorgaanbieders, zorgverzekeraars en derden, waarmee onder meer de prestaties tussen behandelaars vergeleken kunnen worden. De gegevens die SBG ontvangt zijn zeer gevoelige gegevens: een diagnose zoals alcoholverslaving, erectiestoornis, pedofilie etc., maar ook antwoorden op zeer intieme vragen zoals of iemand zelfmoordneigingen heeft, hoe men familie waardeert enzovoorts.

Medische gegevens van SBG eenvoudig identificeerbaar

SBG meent dat de gegevens die zij ontvangt geen persoonsgegevens zijn en dat daarom de Wet bescherming persoonsgegevens niet van toepassing is. Dit zou het geval zijn omdat de gegevens gepseudonimiseerd worden aangeleverd. Pseudonimiseren betekent dat in de door SBG ontvangen gegevens geen naam, adres of andere direct identificerende gegevens meer aanwezig zouden zijn. Wat SBG hier echter allereerst over het hoofd ziet is dat er voldoende andere – zogenaamd indirect identificerende – gegevens worden ontvangen door SBG. Met deze gegevens kunnen patiënten ook worden geïdentificeerd.

Zo kunnen veel mensen reeds met gegevens als postcodegebied, geboortejaar, geboorteland, geboorteland moeder en geboorteland vader worden geïdentificeerd, dan wel worden teruggebracht tot een klein groepje gegadigden. Daarnaast ontvangt en bewaart SBG ook unieke codes, waarmee zorgaanbieders, zorgverzekeraars of derden, wanneer ze de beschikking zouden krijgen over de gegevens, een patiënt ook direct kunnen identificeren. De wet sluit niet uit dat SBG de gegevens ter beschikking stelt aan derden zoals verzekeraars. Pseudonimiseren zorgt er dus niet voor dat de gegevens niet zijn te herleiden tot een individuele persoon. Dit hadden overigens de Europese privacy toezichthouders ook reeds geoordeeld in een gezamenlijke opinie in 2014.

Omdat het om persoonsgegevens betreffende iemands gezondheid gaat, mogen deze gegevens in beginsel niet verwerkt worden, behoudens als er in de wet een uitzondering hiervoor is voorzien. Voor SBG komt echter geen uitzondering op het verwerkingsverbod in aanmerking, behoudens dat de patiënt zelf uitdrukkelijk toestemming geeft aan SBG om de gegevens over hem of haar te verwerken. Patiënten hebben echter SBG geen uitdrukkelijke toestemming verleend.

Gegevens dragen volgens Rekenkamer niet bij aan benchmarkdoel

Maar zelfs als zou een patiënt toestemming hebben verleend – wat niet het geval is – dan is de verwerking van de patiëntgegevens nog steeds in strijd met de Wet bescherming persoonsgegevens. Ten eerste, omdat de verwerking van patiëntgegevens niet bijdraagt aan het doel van de verwerking, blijkens een analyse van de Algemene Rekenkamer, te weten het vergelijken (benchmarken) van de (resultaten van) behandelingen van patiënten. En daarnaast omdat er methoden zijn om behandelingen van patiënten te vergelijken die veel minder belastend zijn voor de privacy van patiënten. De Wet bescherming persoonsgegevens bevat ook verplichtingen dat de personen wiens persoonsgegevens worden verwerkt, adequaat worden geïnformeerd over wat er met hun persoonsgegevens gebeurt. SBG heeft de patiënten echter niet geïnformeerd over de verwerking van hun gegevens.

Op 13 juli 2017 om 9.00u zal er een kort geding plaatsvinden bij de Rechtbank Midden-Nederland te Utrecht, waarin wordt gevorderd dat SBG de verwerking van persoonsgegevens van patiënten zal staken, omdat deze verwerking in strijd is met de wet.