Privacywaakhond fluit NZa terug na delen patiëntdatabase

De Nederlandse Zorgautoriteit (NZa) heeft informatie uit een grote database met patiëntgegevens gedeeld met organisaties die daar geen inzicht in hadden mogen krijgen.

Onder meer het ministerie van Volksgezondheid, Welzijn en Sport (VWS) en het Centraal Planbureau (CPB) hadden niet het recht om de gevoelige informatie in te zien, concludeert de Autoriteit Persoonsgegevens (AP) na een onderzoek.

Het gaat om gegevens uit het controversiële DBC-informatiesysteem (DIS), waarin declaraties van behandelingen worden opgenomen.

Persoonsgegevens worden in het systeem weliswaar gepseudonimiseerd, maar in sommige gevallen zijn ze toch nog herleidbaar tot individuen. Daarom moet er extra zorgvuldig met de database worden omgegaan.

Spelregels

De NZa zegt geen regels te hebben overtreden. "Wat zij hebben gedaan is achteraf de spelregels veranderen", zegt een woordvoerder van de NZa over de Autoriteit Persoonsgegevens.

Volgens de zorgautoriteit werden DIS-gegevens eerder nog niet als persoonsgegevens gezien, en mochten gegevens uit de database daarom nog breder worden verspreid. Toen de AP een onderzoek instelde en bepaalde dat in de database wel degelijk persoonsgegevens staan, is de NZa direct gestopt met het delen van DIS-gegevens.

Opspraak

Naar aanleiding van het onderzoek van de AP heeft de NZa nu besloten om gegevens uit de DIS-database niet meer te delen met het ministerie van VWS en het CPB.

Vrijdag kwam NZa echter weer in opspraak, omdat de autoriteit via een nieuwe constructie toegang zou krijgen tot nog meer patiëntgegevens. De Volkskrant beschreef hoe een nieuwe informatiemakelaar gegevens uit twee grote zorgdatabases kan verspreiden aan de NZa, Inspectie voor de Gezondheidszorg (IGZ) en de Nederlandse zorgverzekeraars. De Tweede Kamer werd niet op de hoogte gebracht van de nieuwe situatie.

De NZa noemt het artikel van De Volkskrant onjuist en zegt dat er zorgvuldiger met gegevens wordt omgegaan dan de krant doet voorkomen. "Voor de NZa staan het beroepsgeheim en de privacy van patiënten voorop; juist daarom zorgt de NZa voor een optimale beveiliging en bescherming van de zorgdata die we gebruiken voor onze wettelijke taken."

De Autoriteit Persoonsgegevens zegt de nieuwe deelconstructie "nauwlettend te volgen" en waar nodig op te treden.

Tip de redactie