Autoriteit Persoonsgegevens moet wel onderzoek doen bij SBG om ROM-data

agentje

Op 1juni 2017 werd bekend dat de Autoriteit Persoonsgegevens(AP) een onderzoek start bij de Stichting Benchmark Geestelijke Gezondheidszorg(SBG), of het werk dat zij voor, en in opdracht van, de GGZ-branche uitvoert, voldoet aan de wet- en regelgeving. Formeel gesproken gaat het om de vraag of de SBG ten eerste als verantwoordelijke is aan te merken in de zin van de privacywetgeving en ten tweede  persoonsgegevens verwerkt. Naar buiten toe lijkt het erop dat de AP eigenstandig tot dit onderzoek heeft besloten, maar niets is minder waar. Hoewel de AP al lange tijd zelf tot de conclusie had moeten komen dat een onderzoek en handhavingsbesluit geboden was, deed ze dat niet. Uiteindelijk kwam ze pas in actie na het indienen van een klacht plus handhavingsverzoek door een belanghebbende. Het gaat daarbij om iemand van wie als patiënt ROM-data verwerkt zijn door de SBG zonder toestemming.

Actie?

Het probleem van het doen van een melding over privacy-schendingen bij de AP is dat men nooit hoogte krijgt of men naar aanleiding daarvan actie onderneemt. Indien de klager zelf geen rechtsreeks belanghebbende is maar wel weet heeft van schending(en) krijgt die alleen te horen dat men de melding ter harte neemt, men kijkt of er meer meldingen over hetzelfde onderwerp komen en dat over eventuele acties niet gecommuniceerd wordt. De melder wordt dus niet-ontvankelijk verklaard. Daarnaast stelt de AP dat men een discretionaire bevoegdheid heeft om te bepalen of er wel actie ondernomen wordt. Hoewel dat nooit hardop gezegd wordt heeft dat alles te maken met het feit dat de AP undermanned en understaffed is. De vorige voorzitter Jacob Kohnstamm vroeg ooit een vervijfvoudiging van zijn budget, maar kreeg dat niet. Daarmee is het klein houden van de AP een bewuste politieke keuze.

Belanghebbende

Na de (afgedwongen) uitspraak van de AP in 2016 dat de gegevens in de DBC-Informatie-Systeem-(DIS) database ondanks dubbele pseudonimisering te beschouwen zijn als (bijzondere) persoonsgegevens is onrust ontstaan over op dezelfde wijze bewerkte patiëntgegevens in de GGZ. Door de brancheorganisatie GGZ werd daarom gevraagd het aanleveren van  data aan de Argus-database te staken. Deze database is de centrale registratie van vrijheid beperkende interventies in de GGZ. Daarna vroeg GGZ Nederland in maart dit jaar hetzelfde voor de ROM-datalevering aan de SBG. Omdat het volgens de conclusie van de artikel 29 werkgroep van de Europese privacy-toezichthouders bij deze gegevens gaat om (bijzondere) persoonsgegevens moet er toestemming zijn van de patiënt voor verzending naar en bewerking door de SBG. Dat is sinds de beslissing van de artikel 29 werkgroep nooit gebeurd. Omdat nu een direct belanghebbende, namelijk een patiënt, waarvan data zonder toestemming in de SBG-database verdaagden, melding deed bij de AP en er inmiddels ook politieke onrust ontstaan is over dit onderwerp, moest deze de klacht wel ontvankelijk verklaren. Het directe gevolg is dan ook dat op het handhavingsverzoek een onderzoek in gang werd gesteld.

Alleen maar uitvoerder

De hele discussie over de status van de gegevens wordt door de directie van SBG als bijzonder hinderlijk ervaren en als een belemmering bij hun activiteiten. Dat blijkt onder andere uit de verklaring op hun website over het komende AP-onderzoek. Maarten Erenstein, directeur van de SBG, zei ook tijdens een overleg, dat ik als toehoorder bijwoonde , ook letterlijk dat de SBG alleen maar uitvoerder is van zaken die door anderen besloten zijn. Toch heeft naar  mijn mening de organisatie een eigen verantwoordelijkheid om als de interpretatie van regelgeving verandert daar zelf ook de consequenties uit te trekken. Ook al zou daarmee het voortbestaan van de organisatie op het spel staan. Voldoen aan gewijzigde opvattingen over privacy is moreel gezien de enige weg.

Doorgaan?

Achter de schermen heeft de directie van de SBG het laatste jaar herhaaldelijk overleg gehad met de AP over deze materie, onder andere met de vraag of de AP bereid was het doorgaan van de verwerking van ROM-data zonder informed-consent van de patiënt blijvend te gedogen. Naar verluid wilde de AP dat niet. Naar mijn inschatting zou zoiets politiek slecht uit te leggen zijn en wilde de AP de handen vrij hebben om eventueel toch bij de SBG in te grijpen. Dat men bij SBG het niet zo geslaagd vindt dat er een handhavingsverzoek is ingediend blijkt wel uit de formulering op de website:

Er is ook onrust in het veld ontstaan waarbij door een persoon zelfs een handhavingsverzoek bij de Autoriteit Persoonsgegevens werd ingediend. “    

Juist dankzij het feit dat de persoon die het handhavingsverzoek aan de AP deed juist rechtstreeks belanghebbende is gaat het onderzoek bij de SBG binnenkort van start.

Wordt ongetwijfeld vervolgd.

W.J. Jongejan