De
Autoriteit Persoonsgegevens (AP) heeft de Alliantie kwaliteit in de geestelijke
gezondheidszorg (Akwa GGZ) een berisping
gegeven voor het verwerken van persoonsgegevens over de gezondheid.
Akwa GGZ heeft sinds begin
2019 een set met onvoldoende geanonimiseerde gezondheidsgegevens overgenomen
van Stichting Benchmark GGZ (SBG). SBG en Akwa GGZ doen kwaliteitsonderzoek in
de geestelijke gezondheidszorg (GGZ). Patiënten vullen op verzoek van de
zorginstelling een vragenlijst in, zodat GGZ-aanbieders gebenchmarkt kunnen
worden op behandeleffect en klanttevredenheid. Deze zogenaamde. Routine Outcome
Monitoring (ROM) data gingen via Zorg TTP na pseudonimisering naar SBG.
De AP heeft naar aanleiding
van een handhavingsverzoek van een betrokkene onderzoek
gedaan naar de werkwijze van SBG en heeft deze getoetst aan de Algemene
verordening gegevensbescherming (AVG). De betrokkene stelde dat SBG haar
medische gegevens verwerkt zonder haar toestemming. De twee onderwerpen die in
het onderzoek centraal staan, hebben betrekking op de vraag of ROM-gegevens
kunnen worden aangemerkt als persoonsgegevens in de zin van de AVG en, zo ja,
op welke grondslag deze bijzondere persoonsgegevens kunnen worden verwerkt.
Tijdens het onderzoek
werd bekend dat SBG haar activiteiten zou gaan staken en een groot deel van
haar activiteiten en de door haar verzamelde en bewerkte gegevens zou
overdragen aan Akwa GGZ. Dit was voor de AP aanleiding ook onderzoek te
verrichten naar de gegevens die door SBG nog zouden worden bewaard en aan Akwa GGZ
zouden worden overgedragen.
Zijn
ROM-gegevens persoonsgegevens?
Nadat patiënten in de GGZ aan
hun GGZ-aanbieders persoonsgegevens, al dan niet via ingevulde vragenlijsten,
verstrekken, vindt er een eerste pseudonimiseringsstap plaats in de Privacy- en
Verzend Module (PVM) van SBG op locatie bij de GGZ-aanbieder. In de PVM worden vervolgens vier van de 29 ingevoerde gegevenscategorieën
gehasht, waardoor voor deze vier gegevens een pseudoniem ontstaat.
Hierdoor vindt een splitsing
plaats van het door de zorgaanbieder geleverde bestand in een pseudoniemendeel,
ook wel sleuteldeel genoemd, en een deel met inhoudelijke data, ook wel
datadeel genoemd. Het sleuteldeel en datadeel worden beide zodanig versleuteld
dat alleen het sleuteldeel inzichtelijk is voor ZorgTTP. Het datadeel met
inhoudelijk data wordt versleuteld zodat dit niet toegankelijk is voor ZorgTTP.
SBG kan het datadeel wel ontsleutelen en dus inzien.
Na deze verwerkingen in de PVM
vindt de gegevensoverdacht naar ZorgTTP plaats, waar ZorgTTP een tweede
pseudonimiseringsslag uitvoert. ZorgTTP houdt de gebruikte sleutel voor
zichzelf en deelt deze nooit met SBG. ZorgTTP bewaart de sleutel en kan de
versleutelde waardes weer ontsleutelen tot pseudoniemen (de hashes afkomstig
van de zorgaanbieder).
De pseudonimiseringsmethode
die SBG gebruikt ziet op een combinatie van een hashfunctie en encryptie met
een geheime sleutel. Een hashfunctie heeft “voor een invoer van willekeurige
omvang (één enkel attribuut of een verzameling van attributen) een uitvoer met
vaste grootte, en kan niet worden teruggedraaid.” Bij encryptie met een geheime
sleutel “kan degene die de sleutel bezit elke betrokkene eenvoudig opnieuw
identificeren door de dataset te decoderen”.
Echter, de uitkomsten van dit
pseudonimiseringsproces zijn per uniek BSN, koppelnummer, DBC Trajectnummer en
Zorgtrajectnummer altijd hetzelfde. Dus: iedere invoer levert altijd exact
dezelfde uitvoer. Dit zorgt ervoor dat door de tijd heen nieuwe informatie
toegevoegd kan worden aan de al bekende informatie bij SBG. Voor het opstellen
van de SBG Benchmarkrapportages is dit volgens SBG ook nodig om patiënten door
de tijd heen te volgen en informatie af te leiden over het succes van een
behandeling bij een bepaalde behandelaar. Hierdoor is het nodig om nieuwe
informatie te koppelen aan al bij SBG bekende informatie over die individu.
De AP komt tot de conclusie
dat de dataset van SBG in zoverre gedetailleerd is dat er op één of meerdere
attributen, gepseudonimiseerd of niet, een selectie kan plaatsvinden zodanig
dat er één individu uit de dataset gelicht kan worden. Hierdoor kan geen sprake
zijn van een anonieme dataset.
Kan
SBG zich beroepen op een wettelijke uitzondering op het verbod van verwerking
van persoonsgegevens betreffende de gezondheid?
Op grond van de AVG is de
verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens. Dit
verbod is niet van toepassing indien SBG zich kan beroepen op een wettelijke
uitzonderingsgrond (artikel 9 AVG jo. artikel 22 tot en met 30 Uitvoeringswet AVG).
SBG kan ten eerste geen beroep
doen op de wettelijke uitzonderingsgrond voor wetenschappelijk of historisch
onderzoek of statistische doeleinden omdat het mogelijk om was uitdrukkelijk
toestemming te vragen aan de betrokkenen, hetgeen SBG heeft nagelaten. Toestemming
had bijvoorbeeld gevraagd kunnen worden aan de betrokkenen bij het invullen van
de vragenlijsten. Ook op de overige wettelijke uitzonderingsgronden inzake
gegevens over gezondheid (artikel 30 Uitvoeringswet AVG) kan SBG geen beroep
doen. SBG valt namelijk niet onder de genoemde normadressaten, waaronder werkgevers,
scholen, verzekeraars en hulpverleners.
De AP komt aldus tot de
conclusie dat SBG zich niet kan beroepen op één van de wettelijke
uitzonderingsgronden die het verbod om gegevens over gezondheid te verwerken
zou kunnen opheffen. Dit heeft tot gevolg dat het voor SBG verboden is om de
dataset met daarin persoonsgegevens over de gezondheid te verwerken.
Slot
SBG bestaat niet meer en heeft
de onvoldoende geanonimiseerde data overdragen aan Akwa GGZ. Dit is een
verwerking van persoonsgegevens die zonder wettelijke uitzonderingsgrond ook
verboden is. Omdat SBG inmiddels niet meer bestaat als rechtspersoon, legt de
AP alleen een handhavende maatregel op aan Akwa GGZ. Dat is in dit geval een
berisping omdat Akwa GGZ de dataset in quarantaine heeft geplaatst en daarna
heeft vernietigd.
Op haar website
schrijft Akwa GGZ dat de uitspraak geen consequenties heeft voor de huidige
werkwijze van Akwa GGZ: “Wij werken uitsluitend nog met gepseudonimiseerde
gegevens waarvoor de patiënt uitdrukkelijk toestemming heeft gegeven.”
