16 december 2019 – De Autoriteit Persoonsgegevens (AP) heeft de Alliantie kwaliteit in de geestelijke gezondheidszorg (Akwa GGZ) een berisping gegeven voor het verwerken van persoonsgegevens over de gezondheid.
Volgens de privacywet is dit verboden, omdat gezondheidsgegevens gevoelige informatie geven over een persoon. Verwerking mag alleen bij uitzondering. Akwa GGZ heeft sinds begin 2019 een set met onvoldoende geanonimiseerde gezondheidsgegevens overgenomen van Stichting Benchmark GGZ (SBG). Daarmee heeft Akwa GGZ gezondheidsgegevens verwerkt, terwijl deze verwerking niet gebaseerd kan worden op een uitzondering op het verbod.
SBG en Akwa GGZ doen kwaliteitsonderzoek in de geestelijke gezondheidszorg. Patiënten vullen op verzoek van de zorginstelling een vragenlijst in, zodat GGZ-aanbieders gebenchmarkt kunnen worden op behandeleffect en klanttevredenheid. Deze zgn. Routine Outcome Monitoring (ROM) data gingen via Zorg TTP na pseudonimisering naar SBG. De AP deed na een handhavingsverzoek onderzoek naar de werkwijze van SBG en heeft deze getoetst aan relevante wet- en regelgeving.
ROM-data zijn persoonsgegevens
De AVG definieert persoonsgegevens als alle informatie die tot de persoon herleidbaar is. De AP heeft alle stappen geanalyseerd van het aanleveren van gegevens door de patiënt tot en met de verwerking van die gegevens door SBG. Hieruit blijkt dat SBG geen gebruik maakte van randomisatietechnieken op het moment dat SBG de data ontving. Ook blijft de sleutel voor pseudonimisering gelijk.
De AP stelt vast dat SBG op de dataset onvoldoende technische waarborgen heeft getroffen om de risico’s op herleidbaarheid weg te nemen. De ROM-data zijn daarmee niet anoniem en zijn tot de persoon herleidbare gezondheidsgegevens. Akwa GGZ heeft begin 2019 de dataset overgenomen van SBG. Daarmee hebben SBG en Akwa GGZ dus persoonsgegevens verwerkt over de gezondheid van patiënten.
Verbod op verwerking van gezondheidsgegevens
De verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens, is volgens de privacywet verboden. De AP concludeert dat SBG en Akwa GGZ zich niet kunnen beroepen op een wettelijke uitzonderingsgrond voor dit verbod, omdat SBG en Akwa GGZ geen instellingen voor gezondheidszorg of maatschappelijke dienstverlening zijn. Dit betekent dat het voor deze organisaties verboden was de gegevens te verwerken.
SBG bestaat inmiddels niet meer en heeft de onvoldoende geanonimiseerde data begin 2019 overdragen aan Akwa GGZ. Dit is een verwerking van persoonsgegevens die zonder wettelijke uitzonderingsgrond ook verboden is. Omdat SBG inmiddels niet meer bestaat als rechtspersoon, legt de AP alleen een handhavende maatregel op aan Akwa GGZ. Dat is in dit geval een berisping omdat Akwa GGZ de dataset in quarantaine heeft geplaatst en daarna heeft vernietigd.
Bron: autoriteitpersoongevens.nl
Dit bericht is 2275 keer gelezen.