nieuws

Ook NZa zegt: Grootste medische databank NL niet anoniem

Na kritiek van psychiaters en hoogleraren stelt nu ook de Nederlandse Zorgautoriteit dat de patiëntgegevens in de grootste medische databank van Nederland niet anoniem zijn. Is er behalve minister Schippers nog iemand die het DIS vertrouwt?  

Het DBC-informatiesysteem (DIS), een database met medische gegevens van nagenoeg alle Nederlanders, ligt al jaren onder vuur omdat de medische persoonsgegevens die er zijn opgeslagen niet echt anoniem zouden zijn.

Platformdeelnemer KDVP stelt al sinds ze in 2008 met een groep psychiaters en psychotherapeuten een bodemprocedure startte tegen de verplichte aanlevering van diagnose-informatie, dat de gegevens in het DIS niet privacy-proof zijn. In een documentaire van Zembla van vorig jaar uitten zorgverleners, ICT’ers en hoogleraren forse kritiek op de verplichte aanlevering en opslag van behandelinformatie aan zorgverzekeraars en overheid.

Nu geeft de Nederlandse Zorgautoriteit (NZa), als marktmeester van de zorg één van de grootste gegevensafnemers van het DIS, tegenover de rechter aan dat ze de medische gegevens die ze uit het DIS gebruikt niet inzichtelijk kan maken, omdat deze te herleiden zouden zijn naar een individueel persoon.

Aanleiding is een rechtszaak van de Open State Foundation om tariefverschillen tussen ziekenhuizen en zorgverzekeraars inzichtelijk te maken. Onderzoeksjournalist en WOB-specialist Brenno de Winter deed voor deze rechtszaak een verzoek op basis van de Wet Openbaarheid van Bestuur en wilde daarmee door ziekenhuizen ingediende declaraties, opgeslagen in het DIS, inzien.

Deze informatie kan de NZa niet aanleveren, omdat ze wegens herleidbaarheid naar individuele patiënten privacygevoelig is. De anonimiteit is volgens het verweer van de NZa in sommige gevallen zonder noemenswaardige inspanning op te heffen. Als dat waar is, zou dat zeer zorgwekkend zijn.

Hoofdpijndossier voor toezichthouder privacy

Het DIS is gevuld met informatie over zorgbehandelingen van miljoenen Nederlanders en is een databron voor allerhande markt- en beleidsanalyses in de zorg. “Door DIS wordt het medisch handelen en de bekostiging daarvan transparanter. Daarnaast is DIS van belang voor het monitoren van marktontwikkelingen en de ontwikkeling en het onderhoud van het DBC-systeem”, zo valt te lezen op de website van het DIS.

De gegevens die zorgverleners digitaal moeten aanleveren, bevatten naast diagnose informatie ook identiteitsgegevens van de patiënt. Daarmee beschikt het DIS over een schat aan gevoelige informatie over de lichamelijke, geestelijke en sociale toestand van nagenoeg alle Nederlandse burgers die sinds de oprichting van het DIS in 2006 een medische behandeling hebben ondergaan, wat op gespannen voet staat met het recht op privacy en het medisch beroepsgeheim.

De databank is al sinds haar invoering een pijnlijk dossier voor privacytoezichthouder College Bescherming Persoonsgegevens, die zo’n tien jaar geleden onder zware druk van het ministerie van Volksgezondheid akkoord ging met de centrale opslag van behandelgegevens. Het DIS is “zowel qua omvang, dekking als inhoud een van de meest risicovolle verwerkingen binnen Nederland”, zo stelde het CBP in 2006 tegenover het ministerie van Volksgezondheid (PDF).

Over de centrale opslag van diagnosegegevens in het DIS stelde de privacytoezichthouder als eis dat deze ‘gepseudonimiseerd’ zouden worden – in feite een gedeeltelijke versleuteling. Informatie als naam en adres werd voorzien van encryptie, maar behandelgerelateerde informatie niet. Deze blijft gepseudonimiseerd op individueel niveau beschikbaar voor beleidsdoeleinden. De behandelgegevens mochten volgens het CBP niet ‘indirect identificerend’ zijn, oftewel met behulp van andere middelen herleidbaar naar een individu.

Anonimiteit harde voorwaarde

Alleen als aan deze voorwaarde werd voldaan, viel de informatiestroom van en naar het DIS niet onder privacywetgeving en de strenge eisen die gelden voor het delen van medische persoonsgegevens. In een brief (PDF) aan het ministerie van Volksgezondheid uit 2006 wijst het CBP expliciet op de eisen voor pseudonimisering en stelt daarbij:

Zodra niet (meer) aan de bovengenoemde voorwaarden wordt voldaan, is sprake van persoonsgegevens en zijn WBP en medisch beroepsgeheim weer onverkort van toepassing ten aanzien van die gegevens.
(Brief van CBP aan ministerie van VWS 10/1/06)

Wat er op neerkomt dat de informatie-uitwisseling van behandelgegevens van miljoenen Nederlanders onrechtmatig is, omdat geen enkele patiënt ooit toestemming heeft gegeven voor centrale opslag en uitwisseling van diens diagnose-informatie door personen en instellingen die niet direct betrokken zijn bij een behandeling.

Dat het pseudonimiseren al bij de invoering een dubieuze oplossing was, liet het CBP overigens doorschemeren. In een interview in NRC uit 2005 stelde CBP-voorzitter Jacob Kohnstamm: “Uiteindelijk hebben wij het moede hoofd in de schoot geworpen en gezegd “we aanvaarden het, maar onder strikte voorwaarden”. Ook stelde Kohnstamm dat het DBC-informatiesysteem eigenlijk in strijd is met de wet en het recht op privacy. “Maar wij zitten niet op de stoel van politici”, zei de voorzitter destijds.

Houdt minister Schippers haar poot stijf?

Dat geldt wel voor minister Schippers van Volksgezondheid. Ze houdt al sinds ze op haar post zit haar poot stijf in dit dossier. Eerst in 2012, en nogmaals in 2014 verzekerde ze de Tweede Kamer ervan dat de grootste medische databank van ons land echt anoniem is. In 2012 beantwoordde Schippers Kamervragen naar aanleiding van een rechtszaak die psychotherapeuten voerden – en wonnen – tegen de verplichte aanlevering van diagnose-gegevens. Toen zei ze het volgende:

DIS-gegevens zijn gepseudonimiseerd, het is daarom niet mogelijk tot personen te herleiden gegevens uit het DIS te herleiden. Het medisch beroepsgeheim en medisch tuchtrecht zijn dan ook niet van toepassing op deze gegevens.
(Beantwoording Kamervragen Leijten aan minister Schippers, 7 mei 2012, PDF)

In april 2014 leidde een Zembla-uitzending opnieuw tot Kamervragen, toen hoogleraren Psychiatrie en Gezondheidsrecht forse kritiek uitten op onder meer de versleutelingsmethodiek van het DBC-systeem. Ook toen ontkende de minister dat gegevens in het DIS herleidbaar zouden zijn. Patiënten in Nederland konden volgens de minister gerust gaan slapen:

Het is een feit dat het DIS een zeer omvangrijke database is die gegevens bevat die – indien deze tot identificeerbare individuen herleidbaar zouden zijn, wat niet zo is – privacybelastend zouden zijn. Mijn ambtsvoorgangers, ikzelf en medewerkers van het ministerie van VWS zijn zich – met het CBP – altijd zeer bewust geweest van dat risico en van het feit dat er daarom altijd adequate (technische en organisatorische) maatregelen nodig zijn om dit risico te beheersen.
(Beantwoording Kamervragen Van Gerven aan minister Schippers, 8 september 2014, PDF)

Datzelfde CBP gaf in de Zembla-uitzending in april 2014 bij monde van collegelid Wilbert Thomesen aan dat er gegronde redenen zijn om te twijfelen aan de versleuteling in het DIS:

DIS is pseudoniem opgezet, waarvan lange tijd is gezegd: dit is op zichzelf voldoende waarborg. Maar tegelijkertijd is ook altijd gezegd: het hangt van de staat van techniek af […] of je dat wel of niet kunt herleiden tot echte persoonsgegevens. Dus je kunt niet zeggen – en dat is voortschrijdend inzicht – dat pseudonimiseren zonder meer hetzelfde is als anonimiseren.
(Berichtgeving Zembla)

“Onverantwoord”

Het bleef echter bij een lippendienst. Gaat het CBP als nationale privacywaakhond nu wel een krachtig statement doen over dit onderwerp? In het licht van de eisen die de toezichthouder stelde bij de invoering van het systeem, en de recente uitspraak van de NZa zou dat niet ongepast zijn. De NZa verdedigt haar besluit om de DIS-gegevens niet aan te leveren als volgt op haar site:

Wij vinden het onverantwoord om de data die de Open State Foundation bij ons heeft opgevraagd te geven. De organisatie wil gegevens over de aard, het tarief en de frequentie van bepaalde behandelingen per zorgaanbieder. Wat is daar gevoelig aan, zou je zeggen? Voor de meeste mensen niets: het geeft hen informatie over hoe vaak een ziekenhuis een behandeling uitvoert en tegen welke prijs. Maar er is een uitzondering: als een partij zelf meer persoonsgegevens heeft en deze slim koppelt aan de openbare data. Theoretisch kan die partij op die manier meer te weten komen over iemands ziekte, of over hoe de bedrijfsvoering van een zorgaanbieder is. Dat vindt de NZa onverantwoord. 

Hoe houdbaar is het standpunt van de minister, nu na zorgverleners, hoogleraren en ICT’ers ook de advocaten van de NZa stellen dat de gegevens in het DIS herleidbaar zijn naar een individu? Dat zal onder meer afhankelijk zijn van de uitspraak die de rechter zal doen in de zaak van de Open State Foundation.

Het vonnis wordt over 5 weken verwacht.
Lees in dit achtergrondverhaal meer over het DBC-informatiesysteem en de kritiek op de grootschalige opslag van gepseudonimiseerde medische gegevens.