Overheid mocht wél gegevens uit de GGZ-spreekkamer opvragen – zes vragen over het oordeel
De rechter besloot woensdag dat de Nederlandse Zorgautoriteit geen wet overtrad door gegevens uit GGZ-spreekkamers op te vragen. De uitspraak is ‘zeer teleurstellend, pijnlijk en verontrustend’ schrijven cliënten in de GGZ. Ze wisten lange tijd niet dat informatie uit hun meest intieme gesprekken werd gebruikt voor het ontwikkelen van een algoritme. Dat mocht dus tóch, zegt de rechter nu. Wat heeft de rechter nu precies geoordeeld?
Algoritmes
Overheden verzamelen gegevens over burgers en gebruiken die gegevens om deze zelfde burgers te controleren. Sinds het discriminerende algoritme van de toeslagenaffaire weten we dat dit niet zonder gevaren is. Duizenden ouders belandden - vaak onterecht - in de kaartenbak van de afdeling fraudeopsporing.
Wat voor gegevens werden er verzameld?
In 2023 werden GGZ-behandelaren verplicht eenmalig vragenlijsten over hun cliënten invullen en aanleveren aan de Nederlandse Zorgautoriteit (NZa). Deze lijsten, de HONOS+, bestonden uit negentien vragen over de mate van psychische en sociale problemen van cliënten. Dan moet je denken aan scores die gaan over problemen met relaties, drankgebruik, en zelfverwonding.
De NZa wilde deze gegevens gebruiken om de zwaarte van de benodigde zorg te kunnen voorspellen. Het doel: iets doen aan de wachtlijsten binnen de GGZ.
Verschillende belangenorganisaties stapten naar de rechter. Zij vonden dat het verzamelen en verwerken van deze gegevens in strijd was met de privacywet (AVG). Ook vinden ze dat de privacy van cliënten wordt geschonden en dat behandelaren gedwongen worden hun medisch beroepsgeheim te doorbreken. Bovendien zou de methode helemaal niet werken om het beoogde doel te behalen. Ze wilden dat de regeling zou worden stopgezet. Al tijdens de eerste zittingsdag liet de NZa weten dat ze alle gegevens zouden verwijderen.
De rechters bogen zich in de rechtszaak over de vraag: handelde de NZa nu wel of niet in strijd met het recht?
En, is de NZa over de schreef gegaan?
Daarvoor moest de rechter eerst vaststellen of de opgevraagde gegevens nu wel of geen persoonsgegevens zijn. In dat geval zou de AVG van toepassing zijn. Op dit punt trok de rechter een opvallende conclusie. Ook al gaat het om zeer intieme, persoonlijke informatie, toch is er volgens de rechter geen sprake van ‘persoonsgegevens’. De NZa ontving geen identificeerbare gegevens, zoals namen, adresgegevens en burgerservicenummers. De ingevulde vragenlijsten bevatten alleen aangekruiste scores als antwoorden op de vragen. De NZa kan de HoNOS+-gegevens daarom niet direct herleiden tot een individu.
Toch zouden de gegevens onder de AVG kunnen vallen, als clienten wel ‘direct of indirect herleidbaar’ zijn. Dat is het geval als er een risico is dat bij het combineren van verschillende datasets, de gegevens toch herleidbaar worden naar personen. En dat is precies waar de belangenverenigingen bang voor zijn, want bij de NZa zelf en bij de verzekeraars liggen ook versleutelde declaratiegegevens van cliënten. Toch zien ze dat niet snel gebeuren, omdat er slechts twee medewerkers bij de NZa zijn die toegang tot die beide datasets hebben. En daar kunnen ze niet op tegelijkertijd in. Bovendien moet je ook die tweede set ontsleutelen wil je kunnen herleiden naar personen. Zo komt de rechter tot de conclusie dat de gegevens uit de HONOS-lijsten niet worden aangemerkt als persoonsgegevens. Daarmee is de AVG niet van toepassing, en overtreedt de NZa hem dus ook niet. En zo is de kous af.
Het geheim van de spreekkamer
Sinds 1 juli worden door de Nederlandse Zorgautoriteit (NZa) de persoonlijke gegevens van alle patiënten in de geestelijke gezondheidszorg in Nederland verzameld. Bij de totstandkoming van deze maatregel zijn grote fouten gemaakt, blijkt uit onderzoek van Argos. Een groep bezorgde zorgverleners heeft een rechtszaak aangespannen om de maatregel ongedaan te krijgen.
Maar wat als de gegevens worden gehackt?
Dat is een gevoelig punt. De belangenorganisaties vrezen dat kwaadwillenden de gegevens toch kunnen misbruiken. Misschien lukt het hackers wél om de informatie te ontsleutelen en erachter te komen welke persoon bij welke gegevens hoort. Cliënten zijn bang dat hun meest gevoelige informatie dan alsnog op straat komt te liggen.
De rechtbank beaamt dat dat in deze tijd een risico is. In de praktijk komt het tenslotte met enige regelmaat voor dat systemen worden gehackt, waardoor derden toegang krijgen tot (persoons)gegevens. Toch noemt hij dat risico in dit geval verwaarloosbaar. Om dat te doen, zouden hackers datasets op verschillende plekken tegelijkertijd moeten kraken om de datasets met elkaar combineren. In dit geval bij de NZa en de zorgverzekeraar. Naar het oordeel van de rechter is zoiets ingewikkeld en bovendien illegaal.
Hoe zit het dan met het recht op privacy?
De rechtbank erkent dat het invullen van psychische gezondheidsgegevens voor cliënten wel degelijk als inbreuk op hun privacy kan voelen. Maar volgens de rechter mag een overheid dit soort gegevens onder bepaalde voorwaarden toch opvragen, als het doel legitiem is, de maatregel noodzakelijk is en wettelijk is vastgelegd. Volgens de rechtbank is dat hier het geval, omdat de NZa als doel had om de wachtlijsten te verkorten. NZa heeft naar het oordeel van de rechters goed onderbouwd waarom deze gegevens nodig waren. Daarom vindt de rechtbank dat het gebruik van de gegevens proportioneel en noodzakelijk was.
Nederlandse Zorgautoriteit maakt fouten bij totstandkoming data-experiment GGZ
Sinds 1 juli worden door de Nederlandse Zorgautoriteit (NZa) de persoonlijke gegevens van alle patiënten in de geestelijke gezondheidszorg in Nederland verzameld. Bij de totstandkoming van deze maatregel zijn grote fouten gemaakt, blijkt uit onderzoek van Argos. Een groep bezorgde zorgverleners heeft een rechtszaak aangespannen om de maatregel ongedaan te krijgen.
Wat betekent dit voor behandelaren en hun medisch beroepsgeheim?
De rechtbank legt uit dat het recht op medisch beroepsgeheim niet absoluut is. Een behandelaar mag zelfs zonder toestemming van een cliënt inlichtingen verstrekken of inzage geven in gegevens uit het behandeldossier als daartoe een wettelijke verplichting bestaat. Wanneer dat precies mag, is geregeld in de Regeling 2023, gebaseerd op de Wet marktordening gezondheidszorg (Wmg).
Daardoor hoeven behandelaren die gegevens aanleverden, zich geen zorgen te maken over hun medisch beroepsgeheim: zij handelden volgens de wet. Bovendien wijst de rechtbank erop dat cliënten bezwaar konden maken via een zogeheten privacyverklaring.
Maar uit een peiling van MIND bleek echter eerder al dat bijna 75% van de ondervraagde ggz-patiënten überhaupt niet op de hoogte was van de datadeling en de mogelijkheid tot het tekenen van een privacyverklaring. Dat lijken de rechters niet mee te nemen in hun oordeel.
En kan de NZa nu gewoon ongehinderd verder met het opvragen van gegevens uit de spreekkamer?
Dat is een beetje dubbel. Enerzijds heeft de rechtbank heeft alle bezwaren van de belangenorganisaties afgewezen. Volgens de rechter heeft de NZa correct gehandeld, zijn de gegevens niet tot personen herleidbaar en is er geen sprake van een schending van privacy of van het beroepsgeheim.
Maar dat betekent niet dat ze hiermee doorgaan. De Tweede Kamer heeft namelijk al in 2024 gezegd dat de gegevens verwijderd moesten worden en dat de HoNOS+-vragenlijsten niet opnieuw gebruikt mogen worden. De gegevens om het algoritme mee te trainen zijn inmiddels verwijderd. Bovendien zijn er grote vraagtekens bij de effectiviteit. In februari van dit jaar werd al geconstateerd dat de vragenlijsten als methode tekortschieten bij het ontwikkelen van zo’n algoritme. En hoewel zorgverzekeraars nog wel enthousiast zijn, is er bij grote zorgaanbieders terughoudendheid te bespeuren.