15 mrt 2017

David(Vrijbit) versus Goliath(Autoriteit Persoonsgegevens) in de rechtbank

image_pdfimage_print

David en Goliath

Na een nodeloze vertraging van ruim zes maanden dienden op vrijdag 10 maart 2017 eindelijk de twee zaken, die de burgerrechtenvereniging Vrijbit aangespannen had tegen de Autoriteit Persoonsgegevens(AP). Zaak UTR 16/3326 WBP V97 ging om een eind te maken aan de onrechtmatige verzameling en verwerking van medische gegevens door de zorgverzekeraars. Zaak UTR 16/4199 WBP V93 betrof het plichtsverzuim van de AP om op te treden tegen de wijze waarop de Nederlandse Zorgautoriteit ( NZa) medische diagnose- en behandelgegevens (DBC) van de gehele Nederlandse bevolking verzamelt, gebruikt en verstrekt aan derden. Dit gebeurt in het DBC Informatie Systeem (DIS). Met een publieke belangstelling van ongeveer vijftien personen leken het geen belangwekkende zaken, maar niets was minder waar. In de eerste zaak bleek Zorgverzekeraars Nederland(ZN) zich als partij gevoegd te hebben bij de AP. In de zaal was dan ook een, bij tijd en wijle driftig typende, jurist van ZN aanwezig als waarnemer zonder dat deze het advocatenteam van de AP versterkte. In de tweede zaak had de Nederlandse Zorgautoriteit(NZa), als beheerder van het DIS, zich al eerder gevoegd. Ze liet zich vertegenwoordigen met vier juristen. Het bevestigde het David tegen Goliath-gevoel, omdat toen zes juristen van de gedaagden tegenover één van Vrijbit de respectievelijke belangen verdedigden. Miek Wijnberg, voorzitster van Vrijbit, beantwoordde op gedreven wijze meerdere vragen van de rechters.

Meervoudige kamer

In deze bestuursrechtelijke zaken voerden  namens Vrijbit de voorzitster en de jurist Ab van Eldijk het woord. De rechters mr. Bouter-Rijksen en mr. Krans onder voorzitterschap van mr. Verburg gaven er blijk van zich bijzonder goed ingelezen te hebben in de dossiers. De voorzitter stelde zeer geconcentreerd en bij tijd en wijle ook met enige humor aan de betrokken partijen vragen. Hij wist met die inzet door te dringen tot de wezenlijke scharnierpunten in beide zaken.

Zaak UTR 16/3326 WBP V97

In deze zaak verwijt Vrijbit de AP niet handhavend op te treden richting ZN, omdat deze geen nieuwe aangepaste gedragscode ter goedkeuring had aangeboden aan de AP. Het hoofdbestanddeel van de gedragscode heeft betrekking op verwerkingsprocedures voor de medische persoonsgegevens die zorgverzekeraars verkrijgen via declaraties. Het protocol materiële controle is een bijlage bij de gedragscode. Aanpassing van de gedragscode zorgverzekeraars was noodzakelijk nadat de Rechtbank Amsterdam  in 2013 de bestaande gedragscode had afgekeurd.  Mr. Verburg stelde dat de zorgverzekeringswet zorgverzekeraars niet verplicht te beschikken over een door de AP goedgekeurde gedragscode waar tegenover de heer van Eldijk stelde dat dat deze verplichting wel blijkt uit de wetsgeschiedenis van de Zorgverzekeringwet(Zvw) en overeenkomstig de wens van de Kamer ook uitwerking heeft gekregen in de Regeling Zorgverzekering.

Geen nieuwe gedragscode

ZN heeft na de rechtszaak in 2013 geen nieuw verzoek tot goedkeuring van een aangepaste  gedragscode ingediend bij AP. ZN vindt dat niet nodig meer. Bizar genoeg, ook voor de rechters, vermeldt ZN nog steeds  de afgekeurde versie van de gedragscode op haar website. Het signaal wat daar van uit gaat is, dat toch ook door ZN enige gedragscode noodzakelijk wordt geacht.  De AP stelt dat ze geen oordeel hoeft te vellen als er geen gedragscode opnieuw is aangeleverd. Vrijbit stelde terecht dat de Rechtbank Amsterdam er bij haar uitspraak met het negatieve oordeel over de bestaande gedragscode van uitging dat een herziene gedragscode weer ter goedkeuring zou worden voorgelegd aan de AP. Mr. Verburg gaf aan dat het scharnierpunt in deze zaak is, dat er geen nieuwe gedragscode is ingediend met tegelijkertijd de vraag of ZN wel verplicht was om dat te doen. Ook stelde hij vast dat het gebruik van een gedragscode niet afdoende geregeld is in de Zorgverzekeringswet. Daarnaast gaf hij aan dat de vraag of de AP moet ingrijpen ook afhangt van fouten die de zorgverzekeraars maken bij de manier waarop zij medische persoonsgegevens verwerken. Hij vroeg dan ook of dit soort meldingen bij de AP waren gemeld. Deze ontkende dat. De AP zei daarover ook contact te hebben met de NZa.

Zaak UTR 16/4199 WBP V93

Ook in deze zaak drong mr. Verburg als voorzitter snel door tot de essentiële punten. Allereerst ging het om wat er met pseudonimisering van persoonsgegevens nu precies bedoeld wordt. De AP had aanvankelijk(tot 2014) de gegevens na pseudonimisering niet als bijzondere persoonsgegevens beschouwd met de gedachte dat deze niet meer op een individu herleidbaar waren. Tegenstanders waren het toen al niet met de AP eens. De AP stelde in 2014 tot een ander inzicht gekomen te zijn door de besluiten van de  article 29 data protection working party van de Europese unie. Hierdoor is de AP gepseudonimiseerde data, vanwege de kans op herleidbaarheid  tot één individu bij slimme koppelingen met andere databases, toch als bijzondere persoonsgegevens gaan beschouwen. Daarom is de Wet bescherming persoonsgegevens(Wbp) hier op van toepassing.

Vragen

De AP gaf aan dat behalve de Wbp geen andere eisen gesteld hoefden te worden aan de gepseudonimiseerde gegevens.  In 2015 deed de AP onderzoek naar het handelen van de NZa met de gegevensbestanden. Ze stelde vast dat er geen andere overtredingen waren dan het ten onrechte verstrekken van data aan het ministerie van VWS en het Centraal Plan Bureau(CPB). Mr. Verburg stelde daarop enkele zeer kritische vragen. In de eerste plaats vroeg hij zich af of de vervolgactie van de AP wel afdoende was geweest. Daarnaast vroeg hij zich af of men wel voldoende gerust moet zijn over de huidige beveiliging(proces van pseudonimisering). Hierop kwam de twee-traps-pseudonimisering die men nu gebruikt aan de orde. Daar maakte hij ook enkele kanttekeningen bij.

Noodzaak

Mr. Verburg stelde ook de vraag wie nu precies bepaalt welke gegevens aangeleverd moeten worden. De minister heeft in de wet alleen vastgelegd dat de aanlevering van gegevens noodzakelijk moet zijn, maar laatde invulling daarvan over aan de AP. De AP blijkt daar zelf geen oordeel over te (willen) hebben en laat de NZa bepalen wat noodzakelijk is. Een heel wonderlijke constructie waarbij uiteindelijk de verwerker bepaalt wat noodzakelijk is en niet de wetgever!

Zeer kritisch

Tegen het einde van de zitting kwam de mr. Verburg met enkele bijzonder kritische vragen over het handelen van de AP betreffende de ten onrechte door de NZa aan VWS en CPB geleverde datasets. Hij vroeg men name wat de AP daar aan gedaan heeft. Het antwoord van de AP-jurist was dat men de NZa opgedragen had om VWS en CPB die data te laten vernietigen. Controle daarop heeft de AP niet uitgevoerd. De voorzitter vroeg zich ook af waarom de AP niet handhavend heeft opgetreden jegens de NZa. De AP zei bij monde van mr. de Vries dat ze niet met terugwerkende kracht wilde handhaven. Mr. Verburg was het daar niet mee eens en stelde dat handhaving, ook met terugwerkende kracht, zeer wel mogelijk kon zijn in deze kwestie. Hij vroeg ook hoe de AP weet dat er niet alsnog overtredingen(levering datasets aan derden) plaatsvinden. De AP zei de NZa op haar woord te geloven. Daarop stelde Mr. Verburg dat het heel wel mogelijk was geweest voor de AP om controlesoftware te doen plaatsen op de computersystemen van de NZa. De AP gaf aan dat ze dat een te zwaar middel vond en achtte de toezegging van NZa het niet meer te doen voldoende om niet te handhaven op de wijze die de voorzitter suggereerde. Ook vroeg mr. Verburg nog of de AP loggingsdata bij de NZa had opgevraagd. Dat vond de AP niet nodig.

Slotwoord

Na gloedvolle slotopmerkingen van de voorzitster van Vrijbit gaf mr. Ab van Eldijk aan dat het DIS in opzet een beleidsondersteunende gegevensverzameling is waarvoor het aanleveren van persoonsgegevens in principe niet noodzakelijk is.  Aggregatie van data kan al bij de zorgverlener plaatsvinden zodat er nimmer een centrale database had hoeven ontstaan met daarin (gepseudonimiseerde) persoonsgegevens. Al vele jaren, zei hij, bestaan er technische en organisatorische mogelijkheden om beleidsondersteuning in de zorg op een andere wijze mogelijk te maken zonder grote inbreuken op de privacy. Hij sprak ook zijn teleurstelling uit over het schromelijk te kort schieten van de AP in haar controlerende taak. Zij maakt datgene waarvoor zij zou moeten staan niet waar.

Het was een inspannende maar zeer leerzame middag die van het begin tot het einde boeiend was. De opstelling van het drietal rechters deed het rechtsgevoel goed in een strijd die veel weg had van David tegen Goliath.

Uitspraak zal over zes, maximaal 12 weken volgen, waarvan dan weer akte.

W.J. Jongejan

15-03-21.20u: enkele beperkte aanpassingen in de tekst op basis van opmerkingen van een andere ooggetuige.

 

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.