ROM lijkt niet in strijd met privacy
1 reactieEr is diepgaander onderzoek nodig om vast te stellen of het type data dat de Stichting Benchmark GGZ verwerkt al dan niet in strijd is met de regelgeving voor persoonsgegevens en privacy en de rechten van de mens. Maar het lijkt erop dat de betreffende wetten niet van toepassing zijn op de ROM-gegevens (Routine Outcome Monitoring).
Dat is de conclusie in een kort geding dat de Stichting Koepel DBC-vrije praktijken van psychotherapeuten en psychiaters (KDVP) en Stichting LOC (Landelijke Organisatie Cliëntenraden), LOC Zeggenschap in Zorg en enkele (ex-) ggz-cliënten aanspanden tegen de Stichting Benchmark GGZ. De twee stichtingen willen dat de Stichting Benchmark GGZ (SBG) stopt met het verwerken van individuele data en het verstrekken ervan aan derden, omdat dat in hun ogen niet rechtmatig is. Ook willen ze dat de SBG ex-patiënten informeert over de verwerking van gegevens die op hen betrekking heeft. De KDVP, LOC en de cliënten willen de uitkomsten van het onderzoek van de Autoriteit Persoonsgegevens niet afwachten, mede omdat deze nog wel een jaar op zich kunnen laten wachten. Het kort geding is bedoeld als een soort verkenning of de eisen tegen de SBG enige kans van slagen zouden hebben in een bodemprocedure.
Volgens de stichtingen is de verwerking en verstrekking van de ROM-gegevens in strijd met een Europese richtlijn voor de verwerking van persoonsgegevens, met de Wet bescherming persoonsgegevens en met het recht op bescherming van het privéleven in het Europese Verdrag voor de Rechten van de Mens. Maar dan moeten die gegevens volgens de rechter wél voldoen aan de definitie van persoonsgegevens die die wetten eraan geven. Die luidt dat het gaat om een gegeven dat betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon.
Ggz-instellingen versturen ‘gepseudonimiseerde’ gegevens, die niet omkeerbaar zijn omdat de ‘sleutel’ na verzending niet meer voorhanden is, naar de Stichting ZorgTTP. Die past nog een keer onomkeerbare ‘eenwegpseudonimisatie’ toe op de gegevens. Volgens de eisers zijn de gegevens alsnog herleidbaar, bijvoorbeeld door gegevens te combineren met informatie die bijvoorbeeld via social media kan worden verkregen, door medewerkers van de SBG die een individuele patiënt kennen of door combineren van SBG-gegevens met hun eigen gegevens door zorgverzekeraars. De voorzieningenrechter vindt echter dat de eisers deze herleidbaarheid niet voldoende toelichten. Daarmee is het niet uitgesloten, maar de rechter acht het onvoldoende aannemelijk om er uitspraken over te doen in het kort geding.
Een ander punt van de eisers was dat afzonderlijke ROM-gegevens herleidbaar zijn tot één individu, die niet te identificeren is, zogeheten ‘single-out’. Maar dit soort gegevens vallen volgens de voorzieningenrechter niet zonder meer onder de privacyregelgeving, omdat het niet om een natuurlijk persoon gaat.
Een vergelijking door de eisers met de verwerking van gegevens uit het DBC Informatie Systeem (DIS), waarover de Autoriteit Persoonsgegevens in april 2016 adviseerde dat die niet meer moeten worden verstrekt aan een aantal partijen, gaat in de zaak tegen SGB niet op. Deze gegevens werden versleuteld, maar die versleuteling kon ongedaan worden door de betreffende partijen.
Lees ook:-
Simone Paauw
Simone Paauw deed de deeltijdopleiding journalistiek in Tilburg en werkt sinds 2008 als journalist bij Medisch Contact. Ze interviewt het liefst de ‘gewone arts’ met een bijzonder verhaal, bijvoorbeeld voor de rubriek Het Portret. (Gezondheids)recht en medisch tuchtrecht hebben haar bijzondere interesse. Ze heeft aandacht voor diversiteit en inclusie in de breedte, discriminatie en grensoverschrijdend gedrag (op de werkvloer) en de positie van vluchtelingen en vluchteling-artsen. Daarnaast schrijft ze over tal van andere onderwerpen.
M.Oosterhoff
psychiater, THESINGE Nederland
Dat de uitspraak in het kort geding tegen de SBG een overwinning is voor de SBG zal ik niet betwisten. Maar zoals de uitspraak hierbiven wordt weergegeven klopt niet helemaal. De rechter heeft gezegd, dat voor hem niet onomwonden vaststaat dat de maa...tregelen die de SBG genomen heeft vlak voor het kort geding onvoldoende zijn om herleidbaarheid te voorkomen. Hij heeft niet gezegd, dat de data geen persoonsgegevens zijn, maar dat het te complex is om in een kort geding te beoordelen. De conclusie van de SBG dat nu weer met datalevering kan worden begonnen is dan ook voorbarig. Daarnaast doet de uitspraak van de rechter niets af aan de uitspraak van de minister dat er zeker toestemming gevraagd dient te worden. GGZ Nederland heeft dan ook aangegev en nog niet te adviseren tot hervatten van levering.
Hoe het verder ook zal lopen. Het lijkt me onverdedigbaar patiënten niet in te lichten. Mevrouw Esman van GGZ Nederland zegt dat het chiquer zou zijn ze om toestemming te vragen, maar chique lijkt mij het juiste woord niet. Ik vind het basic patiënten toestemming te vragen en in te lichten. Wat kan de reden zijn om ze niet in te lichten. dat ze massaal gaan weigeren, zegt mevrouw Esman. Dat zouden we dan moeten voorkomen door er niks over te zeggen, omdat wij beter weten wat goed voor hen is dan zij zelf? Ik dacht dat de dokter weet wat goed voor u is nu juist een van de dingen was die ROM wilde voorkomen.