De Autoriteit Persoonsgegevens deed na jaren kritiek eindelijk onderzoek naar de dataleveringen uit Nederlands grootste medische databank, het DIS. Daarbij liet ze echter bijna alle leveringen van de afgelopen tien jaar buiten beschouwing. Burgerrechtenorganisaties spannen een rechtszaak aan tegen de toezichthouder om alsnog volledige openheid te krijgen.
Het DBC-informatiesysteem (hierna: DIS) is Nederlands grootste medische databank, en wordt sinds haar oprichting in 2006 gevuld met behandelinformatie van bij verzekeraars gedeclareerde zorg, die declarerende zorgverleners verplicht dienen aan te leveren. Het Platform Bescherming Burgerrechten houdt al sinds haar oprichting een dossier bij van het DIS, één van de vroegste grootschalige en tevens meest omstreden Big Data projecten in ons land.
Weliswaar zijn de gegevens in het DIS gepseudonimiseerd, maar in de afgelopen jaren bleek dat geen effectieve wijze om medische persoonsgegevens te anonimiseren. Gekoppeld aan andere bestanden is het vrij eenvoudig om de gepseudonimiseerde gegevens te herleiden naar personen van vlees en bloed.
Dat dit een reeële bedreiging vormt voor de privacy van patiënten, bleek onlangs nog in Groot-Brittannië. Daar leidde het verstrekken van gepseudonimiseerde medische gegevens uit de databank van de National Health Service aan een belangenbehartiger van verzekeraars ertoe dat de medische gegevens van 47 miljoen Britten over de duur van 13 jaar inzichtelijk werden voor zorgverzekeraars, zo onthulde de Daily Telegraph in februari 2014.
Slechts topje van de ijsberg
Nadat Burgerrechtenvereniging Vrijbit in mei 2015 om een onderzoek van de Autoriteit Persoonsgegevens (hierna: AP) vroeg, besloot de toezichthouder eind 2015 een onderzoek in te stellen. In juni jl. verscheen daarvan het rapport, dat concludeerde dat twee overheidsorganen onrechtmatig DIS-data ontvingen; het ministerie van Volksgezondheid en het Centraal Planbureau. Maar dit lijkt bij nadere lezing van het onderzoeksrapport slechts het topje van de ijsberg.
Het onderzoek dat de AP uitvoerde, laat cruciale vragen over de medische gegevens die vanuit het DIS zijn geleverd, onbeantwoord. De toezichthouder bekeek namelijk slechts een marginaal deel van alle dataleveringen uit het DIS, zo valt te lezen in het onderzoeksrapport van de AP:
De NZa (De Nederlandse Zorgautoriteit, beheerder van het DIS, red.) heeft bij brieven van 3 november 2015 en 10 december 2015 laten weten dat voorheen verstrekkingen plaatsvonden op contractuele basis, maar dat deze verstrekkingen zijn stopgezet vanaf het moment dat de Autoriteit Persoonsgegevens heeft aangegeven zich te beraden op haar standpunt ten aanzien van het karakter van de DIS-gegevens. Deze verstrekkingen zijn bij het onderzoek om die reden buiten beschouwing gelaten.
Hoewel het DIS al sinds 2006 bestaat en er al sindsdien dataverstrekkingen plaatsvinden aan zowel vaste afnemers als partijen die hiertoe een verzoek doen, koos de AP ervoor om alleen de verstrekkingen te onderzoeken die plaatsvonden nadat ze zich had beraden op haar standpunt over de herleidbaarheid van DIS-gegevens – dat was in november 2015.
Welke partijen kregen de afgelopen tien jaar DIS-data?
Dat is een veel beperkter onderzoek dan werd gevraagd door Vrijbit. De burgerrechtenvereniging verzocht de AP onder meer onderzoek te doen naar wie er sinds het bestaan van het DIS gepseudonimiseerde informatie uit de database kreeg.
Al bij de oprichting van het DIS gaf de Autoriteit Persoonsgegevens aan dat het DIS “zowel qua omvang, dekking als inhoud een van de meest risicovolle verwerkingen binnen Nederland” is. “Door pseudonimisering onttrekt deze verwerking zich aan stringente wettelijke normen”, schreef ze in 2006 aan de minister. Indien de gegevens in het DIS alsnog herleidbaar bleken, zou dat betekenen dat het DIS en haar dataleveringen onrechtmatig waren. “Het blijven voldoen aan de gestelde voorwaarden vereist dus een continue inspanning”, aldus de toezichthouder destijds.
Sinds de oprichting van het DIS is er echter bij herhaling op gewezen dat de gegevens in het DIS eenvoudig te herleiden zijn en daardoor verre van anoniem. Zowel hoogleraar Gezondheidsrecht Martin Buijsen als hoogleraar Psychiatrie Jim van Os stelden dit in een geruchtmakende Zembla documentaire uit april 2014, en ook de NZa zelf gaf dit in augustus 2015 tegenover de rechter aan als verweer waarom ze geen gegevens uit het DIS kon verstrekken. Burgerrechtenvereniging Vrijbit en Stichting KDVP noemden het DIS eerder dit jaar “het grootste datalek van Nederland”. Omdat de medische gegevens in het DIS jarenlang werden beschouwd als niet-herleidbaar tot personen, werden ze uitgewisseld alsof ze anoniem waren.
“Toezichthouder was gewaarschuwd”
Het onderzoek van de AP richt zich slechts op de dataverstrekkingen sinds eind 2015. Daardoor blijft onduidelijk bij welke partijen er in de afgelopen tien jaar DIS-data zijn beland. “De AP vindt het niet nodig om onderzoek te doen naar het grootste datalek van Nederland.” reageert Ab van Eldijk, jurist en voorzitter van Stichting KDVP, op het rapport van de AP. De organisatie zet zich in voor privacy in de zorg en was al in 2008 betrokken bij een rechtszaak die zorgverleners in de GGZ aanspanden tegen onder andere de aanlevering van diagnose-informatie aan het DIS. In 2006 publiceerde het een uitvoerig onderzoek met daarin een inventarisatievan alle tot dan toe bekende datastromen van en naar het DIS. Daarvan ontbreekt een groot deel in het onderzoek van de AP.
“Het uitgevoerde onderzoek zegt ten onrechte niets over dataverstrekkingen aan tal van departementen en overheidsdiensten – leveringen die niet op contractuele basis plaatsvonden maar waar het onderzoek van de toezichthouder ten onrechte niets over zegt ”, stelt Van Eldijk. Zorgverleners moesten op hun beurt in strijd met hun beroepsgeheim diagnose-gegevens aan het DIS leveren – zonder bewust te zijn van de herleidbaarheid van deze informatie. “De toezichthouder is echter gewaarschuwd en had moeten ingrijpen.”
Van transparantie geen sprake
Het onderzoek waar burgerrechtenorganisaties om hadden verzocht, had volgens Van Eldijk onder meer duidelijkheid moeten bieden over de hoeveelheid herleidbare gegevens die vanuit het DIS zijn verspreid in de afgelopen jaren. Daar heeft de AP geen gehoor aan gegeven. “Van transparantie is hier totaal geen sprake; eerder van toedekking. Er is niet gevraagd om logbestanden van DIS-dataleveringen aan derde partijen, terwijl daar bewust om is verzocht in het handhavingsverzoek van Vrijbit. Als de informatiehuishouding rondom het DIS ook maar iets om het lijf heeft, zou deze informatie zo moeten kunnen worden aangeleverd.”
Ook de NZa zelf heeft vooralsnog geen inzicht geboden in de uitlevering van DIS-gegevens – aan zowel vaste afnemers als partijen die deze informatie op contractbasis of op andere wijze ontvingen. Het onderzoek biedt dan ook geenszins een geruststelling voor patiënten wiens diagnosegegevens de afgelopen jaren in het DIS zijn opgeslagen en van daaruit zijn doorgeleverd.
Alle signalen genegeerd
Volgens de NZa is het allemaal zeer eenvoudig: vóórdat de AP in november 2015 haar standpunt over de herleidbaareid van gegevens uit het DIS aanpaste, waren deze gegevens geen persoonsgegevens en mochten ze daarom gewoon worden verstrekt als ware het anonieme informatie. Volgens de NZa was het zelfs niet verwijtbaar dat ze DIS-gegevens aan het Ministerie van VWS en het CPB leverde, iets waarvan de AP vaststelde dat een wettelijke basis ontbrak: “Wat zij hebben gedaan, is achteraf de spelregels veranderen”, aldus een NZa-woordvoerder tegenover Nu.nl.
Volgens KDVP-voorzitter Van Eldijk heeft de NZa als beheerder van het DIS vanaf 2010 signalen over de herleidbaarheid van gepseudonimiseerde data stelselmatig genegeerd. “Zowel de NZa als de AP zijn er al in een heel vroeg stadium op gewezen dat gepseudonimiseerde data herleidbaar zijn. Dat gebeurde niet alleen door hoogleraren, zorgverleners en ICT’ers, maar is ook in april 2014 al vastgesteld en uitgebreid toegelicht ook door de werkgroep van Europese privacytoezichthouders.” AP-voorzitter Jacob Kohnstamm was tot februari 2014 voorzitter van deze werkgroep.
Zowel de NZa als de AP verzaakten volgens Van Eldijk hun verantwoordelijkheden in dit dossier: “Ook de AP had naar aanleiding van alle signalen over de herleidbaarheid van gepseudonimiseerde data, eerder op eigen initiatief stappen moeten ondernemen. Ze heeft immers bij oprichting heel duidelijk aangegeven dat het DIS geen tot personen herleidbare informatie mocht verwerken. Over dat oorspronkelijke standpunt wordt overigens in het gehele onderzoek met geen woord meer gerept.”
Verzuimt de Autoriteit Persoonsgegevens haar taak?
De AP ging bij de oprichting van het DIS in 2006 onder grote druk akkoord en stelde daarbij dat het DIS een groot privacyrisico vormde dat continue aandacht eiste. Dat maakt het des te opmerkelijker dat de toezichthouder na jarenlange kritiek van onder meer zorgverleners, academici en ICT’ers er nu voor kiest alleen de dataleveringen uit het DIS van de afgelopen maanden te onderzoeken, terwijl de database zelf al zo’n 10 jaar wordt gebruikt voor allerhande doelen.
In Groot-Brittannië bleek niet lang geleden nog dat pseudonimisering geen privacygaranties biedt. Door de gepseudonimiseerde gegevens te koppelen aan andere databases, kunnen ze vrij eenvoudig worden herleid naar individuele personen. Het is niet onredelijk om te vermoeden dat ook informatie uit het DIS op verkeerde plekken terecht is gekomen. Na het uitvoeren van dit onderzoek is er bij de AP noch de Nederlandse patiënt duidelijkheid over welke partijen sinds het bestaan van het DIS tot personen herleidbare medische gegevens hebben ontvangen.
Rechtszaak
Door een groot deel van de gegevensleveringen vanuit het DIS niet te onderzoeken en er daarmee ook geen oordeel over te vellen, heeft de AP volgens Vrijbit en KDVP het oorspronkelijke handhavingsverzoek niet naar behoren uitgevoerd. De organisaties gaan in beroep bij de rechtbank tegen de wijze waarop de AP gehoor heeft gegeven aan het handhavingsverzoek uit 2015.
Ook onthoudt de AP zich als toezichthouder hiermee van een uitspraak over de rechtmatigheid van de verstrekkingen van voor eind 2015. De NZa is weliswaar gestopt met deze dataleveringen toen de AP haar standpunt over de DIS-gegevens aanpaste, maar omdat het onderzoek geheel aan deze verstrekkingen voorbij gaat, wordt het ook niet duidelijk of deze al die tijd al in strijd waren met privacywetgeving. “Feitelijk komt het er op neer dat door deze dataleveringen stop te zetten, de NZa erkent dat ze onrechtmatig zijn. “ In ieder geval tracht de NZa daarmee te voorkomen dat de AP onderzoek gaat doen naar de rechtmatigheid van het verstrekken en aanleveren van medische gegevens in strijd met het medisch beroepsgeheim”, stelt Van Eldijk.
Ook zijn Vrijbit en KDVP het niet eens met de partijen waarvan de AP stelt dat ze wel recht op gegevens uit het DIS hebben – dit zijn onder meer het Centraal Bureau voor de Statistiek en het Zorginistituut Nederland. Van Eldijk: “De procedures voor het verwerken van deze informatie zijn niet getoetst aan het privacyrecht; oftewel, nooit is onderbouwd waarom het noodzakelijk is dat deze partijen op zulk detailniveau over medische persoonsgegevens mogen beschikken.” Volgens de organisaties kunnen de taken waarvoor overheidsdiensten DIS-gegevens gebruiken, ook worden uitgevoerd met geanonimiseerde data. Dat is ook het standpunt van de toezichthouder bij de start van deze database.
Klein bier
Publicist en huisarts in ruste Wim Jongejan beklaagde zich eerder dit jaar op website ZorgICTzorgen.nl over de aanpak die de Autoriteit Persoonsgegevens hanteert bij het behandelen van grootschalige privacyschendingen. Het is volgens hem “klein bier” wat de klok slaat bij het optreden van de toezichthouder: “Zo ging het in januari 2016 ook over camera’s in sauna’s en in vrachtwagencabines. Grote privacy-zaken worden mondjesmaat aangepakt. Privacy-zaken die de samenleving op dit moment sterk bezig houden, zoals de schendingen van privacy in de jeugdzorg en rond de Suwinet-problematiek krijgen nauwelijks aandacht. Doorzettingsmacht toont de AP daarin nauwelijks.”
Helaas sluit de wijze waarop de AP in het dossier DIS handelt, naadloos aan op deze observatie. Niet alleen trad de toezichthouder veel te laat op nadat al meerdere gezaghebbende partijen zich zeer kritisch hadden uitgelaten over de herleidbaarheid van DIS-data – de toezichthouder zelf gaf al in april 2014 aan dat er sprake was van “voortschrijdend inzicht”. Ook in het onderzoek dat ruim anderhalf jaar later werd ingesteld, verzuimt het nu om volledige helderheid te verkrijgen over volgens eigen zeggen één van de meest risicovolle databases in Nederland. De Autoriteit Persoonsgegevens laat daarmee een kans, of beter gezegd, een verantwoordelijkheid liggen om zich in een maatschappelijk dossier van groot belang te laten gelden als toezichthouder op de privacy.