Autoriteit Persoonsgegevens komt na 92 weken nog niet met besluit over ROM-data

besluiteloosheid AP

De Autoriteit Persoonsgegevens(AP) heeft een nieuw Nederlands record gevestigd. Het gaat om het niet beslissen op een handhavingsverzoek in een zeer principiële kwestie . Op 24 maart 2017 diende een ex-GGZ-patiënt een handhavingsverzoek bij de AP in. Nu, 92 weken later, heeft de AP daar nog steeds niet over beslist. Het ging om het verzoek om het verzamelen en verwerken van (medische en bijzondere) persoonsgegevens in de vorm van ROM-data in de databank van SBG, zo spoedig mogelijk op te schorten en toe te zien op de vernietiging per direct van de gegevens in de SBG-databank. Ook was het verzoek dat  toezicht dient plaats te vinden op hernieuwde wederrechtelijke vulling van die databank. Het gaat om Routine Outcome Monitoring vragenlijsten die veelal zonder toestemming van de patiënt in gepseudonimiseerde vorm naar de Stichting Benchmark GGZ(SBG) zijn gestuurd. Die beoogde met die data informatie over kwaliteit van zorg te genereren voor het vergelijken van zorgverleners en zorginstellingen in de GGZ(het benchmarken) en voor zorginkoop. Het probleem is echter dat met ROM-data geen kwaliteit gemeten wordt.  De tegenstanders van deze ROM-verzameling zijn hebben geen enkel probleem met het gebruik van ROM-gegevens binnen de therapeutische relatie. Het probleem zit ‘m erin dat die data voor een doel waarvoor ze nimmer bedoeld en geschikt zijn, grootschalig,  zonder toestemming verwerkt worden door een bedrijf buiten de instelling.

Hete brei

Overduidelijk is het dat de AP om de hete brei heen danst. Ik schreef het al op 18 mei 2017. Het gaat om een beslissing die ook op een ander terrein ook grote consequenties heeft. De landelijke verzameling van ziektegegevens,  de DIS(DBC-Informatie-Systeem)-database,  vindt  plaats met gegevens die, ook zonder toestemming van de patiënt, gepseudonimiseerd, aangeleverd zijn aan de Nederlandse Zorgautoriteit(NZa). Die beheert deze database. Het probleem is dat pseudonimiseren geen anonimiseringmethode is, maar een beveiligingsmaatregel om privacyrisico’s te verkleinen. Voor de verwerking van (dubbel) gepseudonimiseerde gegevens is een wettelijke grondslag nodig op basis van de Wet bescherming persoonsgegevens (Wbp).Dit waren zelfs de woorden van de voormalige minister van VWS, Edith Schippers, in 2017.

Verdenking

Met het zeer lang uitstellen van een beslissing is gaandeweg zeer duidelijk dat het niet een kwestie is van een moeilijk te onderzoeken probleem of te onderzoeken personen / instellingen die tegenstribbelen. Gaandeweg wordt duidelijk dat de AP lang wacht om de overheid in de gelegenheid te stellen iets te bedenken waardoor de gewraakte handelingen een min of meer wettelijke basis kunnen krijgen(reparatiewetje) of het verzamelen van de ROM-data in een minder kwaad daglicht komen te staan. Zo gaat per 1 januari 2019 de vervanger van SBG van start. Dat is Akwa: Alliantie Kwaliteit in de GGZ. Het accent lijkt daar anders te liggen ten aanzien van het verzamelen van ROM-data maar het blijft de facto toch oude wijn in nieuwe zakken.

Zelfde traagheid

Dezelfde traagheid bij het nemen van beslissingen is te zien bij het handelen van de AP ten aanzien van de NZa als het gaat om de DIS-database. Ik schreef op 11 december 2018 een artikel waarin ik  die laksheid mede aan de orde stelde.  Media 2017 diende een rechtszaak tegen de AP. De reden was de eis van de klagers tot handhaving door de AP tegen het verstrekken en verwerken van gegevens door de NZa via het  DIS. De meervoudige kamer van de rechtbank deed een tussenuitspraak waarin de AP en NZa de gelegenheid werd geboden om alsnog te voorzien in maatregelen waarmee de gevolgen van de onrechtmatige verwerking van medische persoonsgegevens door het DIS zonder toestemming van de patiënt teniet zouden worden gedaan. De AP deed geen serieuze poging om de rechtbank tegemoet te komen, waardoor de zaak alsnog voor de rechter gaat komen. In de tussentijd tikt de klok door.

Dienstbaar aan wetgever

Die indirecte dienstbaarheid aan de wetgever maakt de Autoriteit Persoonsgegevens tot een nauwelijks geloofwaardige controle-instantie. De AP dient zich onafhankelijk op te stellen, ook richting overheid. Overtredingen door overheden, zelfstandige bestuursorganen of andere instituties dienen door de AP op gelijke wijze behandeld te worden als bij de gewone burger.

W.J. Jongejan, 2 januari 2019