12 juli 2017 – Morgen om 9.00 uur zal er een kort geding plaatsvinden bij de Rechtbank Midden-Nederland te Utrecht, waarin wordt gevorderd dat SBG de verwerking van persoonsgegevens van patiënten zal staken, omdat deze verwerking in strijd is met de wet. Dat schrijft ’Stop Benchmark ROM’ in een persbericht.
Stop Benchmark ROM is een initiatief van mensen en organisaties uit de geestelijke gezondheidszorg, die willen dat de Stichting Benchmark GGZ (“SBG”) ophoudt met het verwerken van gegevens van patiënten in de geestelijke gezondheidszorg. De reden hiertoe is dat SBG de patiëntgegevens in strijd met de wet verwerkt. Omdat SBG weigert de gegevensverwerking te staken zal aan de kort geding rechter 13 juli 2017 bij de Rechtbank Utrecht worden gevraagd om SBG hiertoe te bevelen.
Er zijn meer dan een miljoen patiënten in de geestelijke gezondheidszorg. Zorgverzekeraars en zorgaanbieders hebben een akkoord gesloten waarbij ze als uitgangspunt hebben genomen dat de kwaliteit van de zorg transparant en onderling vergelijkbaar kan worden gemaakt. SBG is opgericht om hiervoor diensten te leveren. Een behandelaar, zoals een psychiater of een psycholoog, stuurt gegevens over de patiënt en de behandeling naar SBG. SBG biedt vervolgens rapportages aan zorgaanbieders, zorgverzekeraars en derden, waarmee onder meer de prestaties tussen behandelaars vergeleken kunnen worden. De gegevens die SBG ontvangt zijn zeer gevoelige gegevens: een diagnose zoals alcoholverslaving, erectiestoornis, pedofilie etc., maar ook antwoorden op zeer intieme vragen zoals of iemand zelfmoordneigingen heeft, hoe men familie waardeert etc.
SBG meent dat de gegevens die zij ontvangt geen persoonsgegevens zijn en dat daarom de Wet bescherming persoonsgegevens niet van toepassing is. Dit zou het geval zijn omdat de gegevens gepseudonimiseerd worden aangeleverd. Pseudonimiseren betekent dat in de door SBG ontvangen gegevens geen naam, adres of andere direct identificerende gegevens meer aanwezig zouden zijn. Wat SBG hier echter allereerst over het hoofd ziet is dat er voldoende andere – zogenaamd indirect identificerende – gegevens worden ontvangen door SBG. Met deze gegevens kunnen patiënten ook worden geïdentificeerd. Zo kunnen veel mensen reeds met gegevens als postcodegebied, geboortejaar, geboorteland, geboorteland moeder en geboorteland vader worden geïdentificeerd, dan wel worden teruggebracht tot een klein groepje gegadigden. Daarnaast ontvangt en bewaart SBG ook uniek codes, waarmee zorgaanbieders, zorgverzekeraars of derden, wanneer ze de beschikking zouden krijgen over de gegevens, een patiënt ook direct kunnen identificeren. De wet sluit niet uit dat SBG de gegevens ter beschikking stelt aan derden zoals verzekeraars.
Pseudonimiseren zorgt er dus niet voor dat de gegevens niet zijn te herleiden tot een individuele persoon. Dit hadden overigens de Europese privacy toezichthouders ook reeds geoordeeld in een gezamenlijke opinie in 2014.
Omdat het om persoonsgegevens betreffende iemands gezondheid gaat, mogen deze gegevens in beginsel niet verwerkt worden, behoudens als er in de wet een uitzondering hiervoor is voorzien. Voor SBG komt echter geen uitzondering op het verwerkingsverbod in aanmerking, behoudens dat de patiënt zelf uitdrukkelijk toestemming geeft aan SBG om de gegevens over hem of haar te verwerken. Patiënten hebben echter SBG geen uitdrukkelijke toestemming verleend. Maar zelfs als zou een patiënt toestemming hebben verleend – wat niet het geval is – dan is de verwerking van de patiëntgegevens nog steeds in strijd met de Wet bescherming persoonsgegevens. Ten eerste, omdat de verwerking van patiëntgegevens niet bijdraagt aan het doel van de verwerking, blijkens een analyse van de Algemene Rekenkamer, te weten het vergelijken (benchmarken) van de (resultaten van) behandelingen van patiënten. En daarnaast omdat er methoden zijn om behandelingen van patiënten te vergelijken die veel minder belastend zijn voor de privacy van patiënten. De Wet bescherming persoonsgegevens bevat ook verplichtingen dat de personen wiens persoonsgegevens worden verwerkt, adequaat worden geïnformeerd over wat er met hun persoonsgegevens gebeurt. SBG heeft de patiënten echter niet geïnformeerd over de verwerking van hun gegevens.
Bron: stopbenchmark.com
Dit bericht is 4991 keer gelezen.