Het DIS, de grootste medische databank van Nederland, is niet anoniem en daarom illegaal. Na jarenlange kritiek vanuit verschillende hoeken, proberen de organisaties Vrijbit en KDVP de Autoriteit Persoonsgegevens te dwingen op te treden tegen de onrechtmatige doorgifte van diagnose-informatie naar en uit het DIS. Blijft de privacytoezichthouder op haar handen zitten, dan volgt een rechtszaak.
Het DBC-Informatiesysteem is “een onvoorstelbaar groot datalek, waarbij elk jaar miljoenen keren medische informatie wordt verwerkt van alle burgers die een medische behandeling hebben ondergaan”. Dat stellen Burgerrechtenvereniging Vrijbit en Stichting KDVP in de notitie die werd geschreven voor de hoorzitting bij de Autoriteit Persoonsgegevens (AP) die op 15 maart jl. plaatsvond. Ze wijzen op de eis die de privacytoezichthouder stelde bij de oprichting van het DIS: de medische gegevens in de database mogen niet herleidbaar zijn naar individuele personen.
De kritiek dat de medische gegevens in het DIS identificeerbaar zijn bestaat al sinds de oprichting, maar zwol de afgelopen jaren meer en meer aan. Psychiaters kwamen in 2008 in verweer tegen de database in een bodemprocedure tegen de verplichte aanlevering van diagnose-informatie over hun patiënten. Ze hadden geen vertrouwen in de versleuteling van de behandelinformatie in het DIS; het aanleveren van behandelgegevens druiste rechtstreeks tegen hun beroepsethiek in. In 2014 besteedde een Zembla documentaire aandacht aan het DIS en werd hetzelfde gesteld door hoogleraar Gezondheidsrecht Martin Buijsen en hoogleraar Psychiatrie Jim van Os: de diagnosegegevens in het DIS zijn zonder veel inspanning te herleiden naar individuele personen.
Bovenop die kritiek kwam in 2015 een rechtszaak van de Open State Foundation, waarin de Nederlandse Zorgautoriteit (NZa), behalve de belangrijkste afnemer van het DIS ook verantwoordelijk voor het functioneren van de database, stelde geen gegevens uit het DIS te kunnen verstrekken aan de eisende partij. Volgens de NZa kon dat niet in verband met de privacy: de gegevens waren namelijk herleidbaar tot personen van vlees en bloed.
De gegevens in het DIS zijn officieel geen persoonsgegevens, omdat de direct identificerende informatie wordt versleuteld. Informatie over onder meer de behandelduur, diagnose, medicatie en behandelaar blijft echter onversleuteld op individueel niveau beschikbaar voor allerlei beleidsdoeleinden van de verschillende afnemers van het DIS. Door deze constructie, genaamd pseudonimisering, gelden de strenge regels voor het verwerken van medische persoonsgegevens niet voor de diagnose-informatie in het DIS, zo schreef de Autoriteit Persoonsgegevens toen ze in 2006 onder grote druk akkoord ging met de oprichting van het DIS. Gepseudonimiseerd mogen de gegevens uit het DIS aan een veelheid van (semi-)overheidsinstanties in verschillende domeinen worden doorgestuurd en verder worden gebruikt voor allerhande doeleinden – iets dat strikt verboden is bij medische persoonsgegevens.
De AP reageerde vooralsnog afwijzend op de verzoeken van Vrijbit en KDVP om haar handhavende bevoegdheden in te zetten. Wel stelde ze eind 2015 een eigen onderzoek in, waarop de NZa stopte met het uitleveren van DIS-gegevens aan derden.
Dat is onbegrijpelijk volgens Vrijbit en KDVP. Door de jarenlange uitlevering van gepseudonimiseerde gegevens uit het DIS is een grootschalig datalek ontstaan met herleidbare medische persoonsgegevens, zo stellen de organisaties. Medische gegevens van burgers zijn via de doorlevering vanuit het DIS terecht gekomen en gebruikt door zowel verschillende overheidsinstanties als private organisaties. De geest is al geruime tijd uit de fles.
Privacyprobleem voor patiënt blijft bestaan
De aanleveringen van diagnose-informatie door zorgverleners naar het DIS gaat bovendien gewoon door tijdens het onderzoek dat de AP nu zelf instelt, waarmee het wezenlijke privacyprobleem voor Nederlandse patiënten blijft bestaan. Ook de aanlevering van diagnosegegevens zou per direct moeten worden opgeschort, zo eisen de organisaties in hun handhavingsprocedure.
Ab van Eldijk van Stichting KDVP: “Zorgverleners zijn op dit moment nog steeds verplicht om hun beroepsgeheim te doorbreken en zonder toestemming van de patiënt persoonlijke behandelinformatie aan te leveren. In de Geestelijke Gezondheidszorg gaat het om het volledige diagnose-profiel, dat naast zeer gedetailleerde gegevens over geestelijke en lichamelijke gesteldheid, ook veel informatie over de sociale omgeving bevat. Als we deze structurele aanlevering accepteren, schaffen we in feite vertrouwelijkheid en het beroepsgeheim in de zorg af, door middel van een onopvallende zijdeur die verplicht op een kier dient te staan.”
Tot op heden heeft de NZa geen inzicht gegeven in de doorlevering van diagnosegegevens uit het DIS
Ook de NZa heeft nagelaten om naar aanleiding van onder meer rechtszaken, kritiek van hoogleraren, mediapublicaties en Kamervragen zelf onderzoek te doen naar de gegevens in het DIS, wat volgens Vrijbit en KDVP neerkomt op verwijtbaar onzorgvuldig gedrag. Van Eldijk: “Tot op heden heeft de NZa nog nooit inzicht gegeven in de doorlevering van DIS-data. Welke diensten en organisaties krijgen DIS-data volgens vaste afspraken en regelingen met de NZa? En welke andere partijen hebben in de afgelopen jaren op verzoek data uit het DIS gekregen?”
Minister Schippers gaf in 2012 in antwoorden op Kamervragen aan dat ook zij geen gegevens had over het exacte aantal personen van verschillende partijen dat toegang had tot deze gegevens. (link) “Er moet hier zo snel mogelijk duidelijkheid over komen om inzicht te krijgen in de omvang van dit datalek”, stelt Van Eldijk. “Alle partijen, zowel publieke als private, die DIS-data doorgeleverd hebben gekregen moeten worden gewezen op het onrechtmatige karakter van verwerking en gebruik van deze medische data.”
Puzzelen met gekoppelde databases
Voor de risico’s van het verspreiden van gepseudonimiseerde persoonsgegevens hoeft niet ver buiten de landsgrenzen te worden gezocht. In februari 2014 onthulde de Britse krant The Telegraph dat gepseudonimiseerde medische gegevens uit ziekenhuizen over een periode van 13 jaar van in totaal 47 miljoen Britse patiënten door NHS, de beheerder van het Britse patiëntendossier, waren verstrekt aan zorgverzekeraars. Dit gebeurde via een belangenbehartiger die deze data van de NHS had gekocht voor het bedrag van 2200 pond.
Doordat de gepseudonimiseerde gegevens konden worden gekoppeld aan bestanden die een kredietbeoordelaar had aangelegd over de levensstijl van particulieren, konden de gegevens worden gematcht aan individuele personen, zo verkondigt het interne rapport van de belangenbehartiger euforisch. Dat leverde een goudmijn op aan persoonlijke diagnose-informatie, waarmee verzekeraars een zorgvuldige inschatting konden maken van het risico op aandoeningen en ziektes en de daarmee gemoeide kosten. De verzekeraars gebruikten de data om premies aan te passen; met name patiënten jonger dan 50 jaar waren meer gaan betalen.
Het was een extra pijnlijke onthulling omdat de NHS de week daarvoor het plan had aangekondigd om gepseudonimiseerde medische gegevens te gaan verstrekken aan derde partijen. Daarbij stelde ze streng dat het verkopen van deze gegevens aan verzekeraars illegaal was, vanwege het misbruik dat deze daarvan konden maken. De NHS heeft naderhand verklaard dat ze deze gegevens niet had mogen verstrekken. De plannen om gepseudonimiseerde medische gegevens aan derde partijen te verstrekken, werden voorlopig opgeschort door het schandaal.
Waar de Britse burger in de plannen van de NHS een zogheten “opt-out” keus kreeg om niet deel te nemen aan het uitwisselen van zijn of haar gepseudonimiseerde medische gegevens, is de Nederlander in feite al sinds 2005 automatisch donor van zijn medische gegevens zonder daar zelf inspraak op te hebben gehad.
In feite is de Nederlander al sinds 2005 donor van zijn medische gegevens zonder daar zelf inspraak op te hebben gehad
Van Eldijk: “Allereerst zou de aanlevering van behandelinformatie door zorgverleners aan het DIS direct stopgezet moeten worden. Daarnaast moet helder worden hoe groot dit datalek is om verdere schade te voorkomen die kan ontstaan doordat onbevoegde partijen beschikken over diagnose-gegevens.” Ook willen de organisaties weten waarom de Autoriteit Persoonsgegevens, ondanks dat ze bij herhaling is gewezen op de herleidbaarheid van behandelinformatie in het DIS, in de achterliggende jaren geen actie heeft ondernomen. Al in 2013 benoemde de privacytoezichthouder de bescherming van medische gegevens als speerpunt, maar vooralsnog kreeg het DIS, dat de toezichthouder bij de oprichting “zowel qua omvang, dekking als inhoud een van de meest risicovolle verwerkingen binnen Nederland” noemde, geen prioriteit in de handhavingsagenda van de AP.
De Autoriteit Persoonsgegevens dient uiterlijk eind april een beslissing te nemen op het handhavingsverzoek van Vrijbit en KDVP. Besluit de toezichthouder het handhavingsverzoek niet in te willigen, dan stappen Vrijbit en KDVP naar de rechter om dit alsnog af te dwingen.
Zie ook het DIS-dossier op de site van Burgerrechtenvereniging Vrijbit, die het handhavingsverzoek heeft ingediend.
Update: Burgerrechtenvereniging Vrijbit meldt dat de Autoriteit Persoonsgegevens uitstel heeft aangevraagd, waardoor de deadline van de reactie op 12 mei is.
