Verwerking patiëntgegevens
Rechter beslist over verwerking patiëntgegevens verkregen bij ROM
Een bespreking van het kort geding van Stop Benchmark ROM. Het kort geding was aangespannen tegen Stichting Benchmark GGZ (SBG), om deze laatste te dwingen de verwerking van gegevens van ggz-patiënten te staken.
De feiten
De Stichting Koepel DBC-Vrije praktijken van psychotherapeuten en psychiaters (hierna: KDVP), de Stichting LOC, Zeggenschap in Zorg (hierna: LOC) en twee patiënten die geestelijke gezondheidszorg hebben ontvangen, hebben een kort geding aangespannen jegens de Stichting Benchmark GGZ (hierna: SBG). SBG is opgericht door stakeholders in de geestelijke gezondheidszorg (hierna: GGZ), onder begeleiding van het Ministerie van VWS. SBG heeft tot doel het op een onafhankelijke en betrouwbare manier benchmarken op het gebied van behandeleffect en klanttevredenheid en het hiermee bijdragen aan het leren en onderzoeken door professionals en instellingen. Zij streeft daarmee een kwaliteitverhogend effect voor de gehele GGZ na. Daartoe worden gegevensverzamelingen die betrekking hebben op de kwaliteit van de geestelijke gezondheidszorg gestructureerd, bijgehouden, geüniformeerd en toegankelijk gemaakt voor benchmarking ten behoeve van zorginkoop en zorgverkoop, onderzoek en validatie van gebruikte methodieken en instrumenten.
Het kwaliteitsstreven vindt zijn grondslag in artikel 2 van de Wet kwaliteit, klachten en geschillen zorg (hierna: Wkkgz) en is uitgewerkt in het Model Kwaliteitsstatuut GGZ dat voorziet in het structureel en regelmatig meten van klachten van patiënten en (het verloop) van hun zorgtraject, met gebruikmaking van het meetinstrument Routine Outcome Monitoring (ROM). SBG is, behalve als organisatie die aldus benchmarkt, daarnaast door stakeholders in de GGZ aangewezen als de gegevensverwerker voor de uitvraag van wettelijk verplichte prestatie-indicatoren, zogenaamde ‘meetinstrumenten’ op grond van artikel 66d Zorgverzekeringswet.
SBG doet een en ander aan de hand van gegevens die door de verschillende zorgaanbieders (via het genoemde ROM, invullen van vragenlijsten door patiënten) aan de stichting ZorgTTP (hierna: ZorgTTP) worden aangeleverd.
Zorg TTP is gespecialiseerd in de onomkeerbare ‘eenwegpseudonimisatie’ van persoonsgegevens. Dit alles met het doel om de herleidbaarheid van gegevens op personen tegen te gaan, opdat die gegevens als kwaliteitsinformatie voor beleids- en onderzoeksdoeleinden kunnen worden gebruikt zonder dat de privacy van de patiënt in het geding komt. ZorgTTP ontvangt ‘ruwe data’ van de zorgaanbieder. Tot die gegevens behoren het zorgtrajectnummer van de desbetreffende patiënt, diens geboortejaar en geslacht, het van de zorgaanbieder afkomstige koppelnummer, de indeling van de patiënt in een urbanisatieschaal met vijf subcategorieën, in een herkomstschaal met drie subcategorieën en in een sociaaleconomische-statusschaal met vijf subcategorieën, de gegevens van het zorgtraject (behandelaar, DBC-trajectnummer, eventuele nevendiagnoses en metingen en, in geval van een opname, de opnamegegevens). Vóór aanlevering door de zorgaanbieder van de gegevens aan ZorgTTP zijn de persoonsgegevens van de patiënt zoals naam en adres door eenwegpseudonimisatie door een pseudonummer vervangen. Deze pseudonimisatie is niet omkeerbaar doordat de daartoe gebezigde sleutel na de pseudonimisatie niet meer voorhanden is. ZorgTTP past op de aldus verkregen ‘ruwe’ data een verdere encryptie toe. Het aan haar aangeleverde pseudonummer wordt door haar opnieuw door eenwegpseudonimisatie van een (ander) pseudonummer voorzien. Ook deze pseudonimisatie is niet omkeerbaar, op gelijke wijze als hiervoor vermeld. Ook pseudonimiseert ZorgTTP, op gelijke onomkeerbare wijze, het aan haar aangeleverde koppelnummer, zorgtrajectnummer en DBC-trajectnummer. De aldus bewerkte gegevens worden door ZorgTTP aan SBG verstrekt. Dit gebeurt eens per drie maanden. Ondanks de onomkeerbaarheid van de genoemde vormen van pseudonimisatie is het nog wel mogelijk de door de zorgaanbieder in een later kwartaal met betrekking tot een bepaalde patiënt aangeleverde gegevens, op te nemen in de (gepseudonimiseerde) dataset waarover SBG met betrekking tot die patiënt beschikt. De gepseudonimiseerde zorgtrajectnummers van zorgtrajecten die zijn afgesloten worden nadien onomkeerbaar door SBG gerandonimiseerd, dat wil zeggen door willekeurige (niet op de eerdere pseudogegevens herleidbare) nummers vervangen. De verdere verwerking van de aan SBG ter beschikking staande gegevens houdt in dat zij die gegevens aggregeert, dat wil zeggen die gegevens verder aan het verband van het individuele zorgtraject onttrekt door ze te veralgemeniseren ten behoeve van haar beleidsmatige benchmarkdoelen.
In haar rapport van 13 april 2016 heeft de Autoriteit Persoonsgegevens (hierna: AP) aan de Nederlandse Zorgautoriteit (NZa) haar definitieve bevindingen kenbaar gemaakt naar aanleiding van haar onderzoek naar de verstrekking van persoonsgegevens betreffende de gezondheid uit het door de NZa gehanteerde DBC Informatie Systeem (DIS). De AP vermeldt daarin dat de in het DIS opgenomen gegevens zodanig zijn bewerkt dat de herleidbaarheid tot het individu wordt beperkt, maar niet voorgoed onmogelijk gemaakt. De omstandigheid kan zich immers voordoen dat de in het DIS opgenomen gegevens al dan niet in combinatie met andere gegevens door de NZa dan wel door andere partijen, indien deze gegevens aan hen worden verstrekt, tot de persoon te herleiden zijn. Dat betekent dat de in het DIS opgenomen gegevens als persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (hierna: Wbp) moeten worden aangemerkt en de verwerking ervan onder de werking van de daarvoor geldende wet en regelgeving valt, aldus – telkens – de AP.
Op Kamervragen omtrent de ROM-praktijk van SBG heeft de Minister van VWS op 23 maart 2017 geantwoord, zakelijk weergegeven, dat de aan SBG aangeleverde database geen op de persoon te herleiden gegevens bevat, juist gezien de dubbele eenwegpseudonimisering van die gegevens vóór die aanlevering. Ook heeft die Minister geantwoord dat uit het onder 2.7 omschreven rapport van de AP voortvloeit dat dubbel pseudonimiseren geen anonimisering inhoudt maar een veiligheidsmethode om privacyrisico’s te verkleinen en dat dus voor de verwerking van (dubbel) gepseudonimiseerde gegevens een wettelijke grondslag nodig is op basis van de Wbp.
In dit kort geding vorderen KDVP, LOC en de twee patiënten SBG te gebieden de verwerking van de gegevens van de patiënten te staken voor zover het betreft a) de ontvangst van gegevens op individueel niveau en b) de verstrekking van gegevens op individueel niveau aan derden, totdat in rechte is komen vast te staan dat de betreffende ontvangst en verstrekking rechtmatig is, dan wel is verkregen op basis van geldige toestemming van patiënten. Zij vorderen ook SBG te gebieden de patiënten te informeren over de verwerking van de op hen betrekking hebbende gegevens door SBG, daarbij aangevend wat de doelstelling van deze verwerking is, welke verwerking plaatsvindt, welke personen inzage hebben in de gegevens en hoe patiënten gebruik kunnen maken van hun rechten zoals neergelegd in artikel 35 en 36 Wbp. Zij vorderen tot slot SBG te gebieden kennis te geven aan de desbetreffende derden aan wie zij gegevens verstrekt van de haar opgelegde maatregelen en (ex-)patiënten te informeren aan wie zij bedoelde mededeling heeft gedaan.
Oordeel voorzieningenrechter
De voorzieningenrechter overweegt dat uit Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: de Richtlijn) en de Wbp volgt dat de regels (slechts) van toepassing zijn als sprake is van persoonsgegevens, dat wil zeggen gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Blijkens de Richtlijn en de (wetsgeschiedenis van de) Wbp komt het bij de vraag of de gegevens kunnen worden herleid tot de identiteit van de betrokken persoon, aan op (de combinatie van de gegevens en) alle – wettelijk toegestane – middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om de betrokken persoon te identificeren. Die herleidbaarheid kan zijn gelegen in het ongedaan kunnen maken van de versleuteling van de gegevens. Daarvan is in dit geval geen sprake, aldus de voorzieningenrechter. Die herleidbaarheid kan evenwel ook zijn gelegen in het op indirecte wijze kunnen identificeren van de betrokken persoon, door de gegevens met andere gegevens (samenhangend met de genoemde ‘middelen’) te combineren. Gelet op hetgeen eiseressen op hierover hebben aangevoerd, concludeert de voorzieningenrechter dat het onvoldoende duidelijk is of eiseressen in een bodemprocedure gelijk zullen krijgen, hetgeen vereist is om als voorzieningenrechter op een uitspraak vooruit te lopen en een vordering als gedaan toe te wijzen.
Anders dan eiseressen hebben aangevoerd leidt ook het rapport van de AP inzake de DIS-gegevens van de NZa niet tot een ander oordeel, reeds gezien het verweer van SBG dat in die zaak wel van een omkeerbare pseudonimisatie sprake is. In het beperkte bestek van dit geding kan niet worden uitgemaakt welke partij op dat punt gelijk heeft. Dat telt hier in het nadeel van eiseressen, omdat de gegrondheid van hun vorderingen en dus van hun stellingen moet worden beoordeeld.
Aldus kan de vordering in zoverre niet tot een toewijzing leiden.
De voorzieningenrechter beoordeelt vervolgens de (ter zitting ingenomen) stelling van eiseressen dat ook zonder dat sprake is van directe of indirecte herleidbaarheid aan de definitie van persoonsgegevens in de zin van de Richtlijn en de Wbp kan zijn voldaan, namelijk wanneer de geregistreerde gegevens herleidbaar zijn tot één bepaald individu, ook zonder dat diens identiteit kan worden herleid. Dit betreft het zogenaamde ‘singling out’. Bij die beoordeling stelt de voorzieningenrechter voorop dat krachtens de toepasselijke regelgeving, zowel de thans geldende Richtlijn en de Wbp, alsook krachtens de in mei 2018 van toepassing wordende Algemene Verordening Gegevensbescherming (hierna: AVG), als persoonsgegevens in de wettelijke zin gelden gegevens omtrent geïdentificeerde of identificeerbare personen. Daarbij worden als identificeerbaar beschouwd personen die direct of indirect kunnen worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. Met deze definitie strookt dat de desbetreffende personen op basis van de geregistreerde gegevens en de daarmee te combineren andere gegevens (door het bekend worden van hun naam óf anderszins) aanwijsbaar worden. De situatie waarin komt vast te staan dat bepaalde gegevens bij één bepaalde persoon behoren zonder dat die persoon in de bedoelde zin kan worden aangewezen (de singling-outsituatie) valt daar niet zonder meer onder. Anders dan eiseressen stellen, zijn er – in het beperkte kader van dit kort geding – niet voldoende feiten en omstandigheden gesteld of gebleken waaruit volgt dat de singling-outsituatie desondanks wél onder het hier relevante begrip ‘persoonsgegevens’ valt, aldus de voorzieningenrechter. De voorzieningenrechter overweegt daartoe voorts dat SBG terechte gewezen heeft het feit dat het begrip ‘singling out’ als zelfstandig criterium voor de toepasselijkheid van gegevensbescherming niet in de AVG is opgenomen (net zo min als het is opgenomen in de Richtlijn of de Wbp), omdat die opname op bezwaar stuitte van de Europese wetgever, welk bezwaar door de Nederlandse wetgever werd gedeeld. Waar de opname van het begrip ‘singling out’ een ruime interpretatie zou betekenen van hetgeen in de rechtspraktijk onder de noemer ‘persoonsgegevens’ in de zin van de Richtlijn en de Wbp wordt begrepen, wijst het bedoelde bezwaar er niet op dat die ruime uitleg thans geldt of voor de toekomst is beoogd. Deze slotsom lijkt bovendien overeen te stemmen met de uitspraak van het Hof van Justitie van de Europese Unie in de kwestie Breyer/Duitsland (ECLI:EU:C:2016:779). Het hof oordeelde (na een prejudiciële vraag) dat een dynamisch internetprotocoladres (IP-adres) dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder een persoonsgegeven in de hier relevante wettelijke zin vormt wanneer die aanbieder beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust. Naar uit die uitspraak volgt vormt het dynamische (tijdelijke) IP-adres van de gebruiker voldoende basis om (met gebruikmaking van de gegevens waarover de internetprovider van de gebruiker beschikt) de identiteit van de gebruiker vast te stellen. Dat wijst erop dat dat dynamische adres reeds op zichzelf bezien een singling-outfunctie vervult. Wanneer reeds daarom sprake zou zijn van persoonsgegevens in de hier relevante wettelijke zin, zou het voor de toepasselijkheid van de Richtlijn en de daarop gebaseerde nationale wet overbodig zijn om (zoals het Hof heeft gedaan) te beoordelen of het herleiden van de dynamische IP-adresgegevens en de bezoekgegevens tot een bepaalde geïdentificeerde persoon (met gebruikmaking van de door de internetprovider gehouden gegevens), valt aan te merken als een middel waarvan mag worden aangenomen dat het redelijkerwijs kan worden ingezet om de betrokken persoon te identificeren.
Andere standpunten van de eiseressen op dit punt leiden de voorzieningenrechter niet tot een ander oordeel, zo besluit hij.
Uit al het voorgaande volgt volgens de voorzieningenrechter dat niet voldoende aannemelijk is geworden dat sprake is van persoonsgegevens in de zin van de Richtlijn en de Wbp. Daarom is evenmin voldoende aannemelijk geworden dat de ROM-praktijk van SBG onderworpen is aan de desbetreffende wettelijke regels.
De voorzieningenrechter wijst de vorderingen van de eiseressen af.
