CBP onderzoekt privacyschending via controversiële zorgdatabase

Het College bescherming persoonsgegevens (CBP) heeft een formeel onderzoek ingesteld naar de opslag van persoonsgegevens in een controversiële zorgdatabase die wordt gebruikt voor declaraties van behandelingen in de zorg.

Via het zogenoemde DBC-informatiesysteem (DIS) sturen ziekenhuizen en andere zorgaanbieders declaraties van behandelingen naar verzekeraars.

In de database worden persoonsgegevens gepseudonimiseerd, waardoor het onmogelijk zou moeten zijn om te herleiden wie een bepaalde behandeling heeft gehad.

Maar het CBP heeft vastgesteld dat dit in sommige gevallen wel degelijk mogelijk is, blijkt uit een brief die de Nederlandse Zorgautoriteit (NZa) heeft gestuurd aan leveranciers en afnemers van het DIS-systeem, en die is ingezien door NU.nl.

Rechtszaak

Tijdens een recente rechtszaak, waarin de Open State Foundation probeerde toegang te krijgen tot informatie uit het DIS om de kosten van zorg in kaart te brengen, stelde de NZa al dat gegevens uit het systeem mogelijk te herleiden waren tot individuën.

Met name in dunbevolkte gebieden zouden mensen met een bepaalde aandoening makkelijk herkenbaar zijn in de gegevens. Zo zou bijvoorbeeld ook gevoelige informatie over de geestelijke gezondheid van zorgklanten onbedoeld in de verkeerde handen kunnen komen.

Mede daarom besloot de rechter dat de NZa de tarieven van ziekenhuizen uit het DIS niet openbaar hoeft te maken. De Open State Foundation is bij de Raad van State in beroep gegaan tegen die uitspraak.

Een woordvoerder van het CBP bevestigt desgevraagd dat er een onderzoek is ingesteld naar het DIS, maar wil geen verder commentaar geven.

Derden

Uit de brief van de NZa blijkt dat het CBP het wettelijk acht dat de autoriteit persoonsgegevens verwerkt via de zorgdatabase. Maar het CBP wil nog onderzoeken of het ook toegestaan is dat de NZa gegevens uit het systeem weer doorgeeft aan derden.

Brancheorganisaties als GGZ Nederland en de Nederlandse Vereniging van Ziekenhuizen kunnen de gegevens door het onderzoek momenteel niet meer inzien, bevestigt woordvoerder Merit Boersma van de NZa.

"We willen eerst weten wat het standpunt van het CBP is ten opzichte van deze gegevens" voordat het DIS-systeem weer wordt opengesteld voor derden, zegt Boersma. "Nu het CBP hier een gewijzigd standpunt over heeft ingenomen, moeten wij opnieuw kijken hoe wij hiermee omgaan."

Ondertussen kunnen zorgverleners en verzekeraars gebruik blijven maken van het DIS voor declaraties.

Controversieel

Het DIS is al langer controversieel. In 2006 schreef het CBP al in een brief (pdf) aan het ministerie van Volksgezondheid, Welzijn en Sport dat de database "zowel qua omvang, dekking als inhoud een van de meest risicovolle verwerkingen" van persoonsgegevens in Nederland is.

Ook het Centraal Bureau voor de Statistiek (CBS) heeft toegang tot het DIS. Vorig jaar vertelde het onderzoeksbureau aan Zembla dat het mogelijk is om uit de gepseudonimiseerde gegevens identiteiten te herleiden, maar dat dat voor de medewerkers van het CBS niet toegestaan is.

Lees meer over:

Dagelijkse nieuwsbrief

Dagelijkse nieuwsbrief
Elke ochtend rond 06.00 uur weten wat het nieuws wordt?
Tip de redactie