Hoe een stoffig lijkend dossier opeens actueel wordt

HoeIn de Kamerbrief dd. 14 december van minister Tamara van Ark(VWS), staat op pagina 8 een passage over gedragscodes en de positie van de Autoriteit Persoonsgegevens(AP) daarbij. Het is volgens haar aan branches of sectoren in de zorg of deze een gedragscode aan de AP voorleggen voor het verwerken van (bijzondere) persoonsgegevens en wanneer. Daarnaast heeft de AP sinds het begin van de Algemene Verordening Gegevensbescherming(AVG) de bevoegdheid een gedragscode goed te keuren. Dit betekent dat er werkwijzen en processen in een gedragscode beschreven kunnen staan, maar dat het  wel afhangt van hoe de pet hangt bij de indieners ervan en/of van de AP of het tot een beoordeling c.q. goedkeuring komt. Daardoor is het mogelijk dat zorgverzekeraars jarenlang werkten met een door de rechter afgekeurde gedragscode zorgverzekeraars en dat een nieuwe niet voorgelegd is aan de AP. En dat de AP geen oordeel velde/velt over een nieuwe.

Wat staat er?

Minister van Ark schrijft

“Daarnaast is door uw Kamer aangegeven dat er onduidelijkheid bestaat over de bevoegdheid van de Autoriteit Persoonsgegevens om gedragscodes goed te keuren voor de wijze waarop een branche of sector omgaat met persoonsgegevens. Artikel 40,vijfde lid van de Algemene Verordening Gegevensbescherming (AVG) geeft de Autoriteit Persoonsgegevens de bevoegdheid om gedragscodes goed te keuren. Een branche of sector die een gedragscode heeft opgesteld, kan aan de Autoriteit Persoonsgegevens vragen om deze goed te keuren.”

Taak AP, als ze het wil

Ze vervolgt:

“De Autoriteit gaat hiertoe over wanneer aan de eisen wordt voldaan. Het is hierbij vooral belangrijk dat de gedragscode een concrete uitwerking van de AVG biedt. In een dergelijke gedragscode worden de algemene normen uit de AVG immers concreter gemaakt. Deze zomer is voor het eerst een gedragscode goedgekeurd. Het gaat om de code van branchevereniging NL digital. Het is aan de branche of sector een gedragscode voor te leggen en wanneer dat gebeurt. De Autoriteit Persoonsgegevens heeft immers al sinds de inwerkingtreding van de AVG de bevoegdheid een gedragscode goed te keuren.”

Slepende zaak

In een artikel op 11 december 2020 stipte ik al aan dat er sinds 2011 een procedure loopt van de Stichting KDVP richting de AP over het in strijd met wet en verdrag verwerken van medische persoonsgegevens door zorgverzekeraars. De verwerking legden de zorgverzekeraars vast in een Gedragscode zorgverzekeraars. Dit was omdat de in de Gedragscode Zorgverzekeraars beschreven procedures en bedrijfsprocessen in de ogen van de KDVP geen juiste uitwerking vormden van Wbp (Wet bescherming persoonsgegevens) en EVRM (Europees Verdrag voor de Rechten van de Mens). De zorgverzekeraars legden die gedragscode voor aan de toenmalige privacy-toezichthouder, het College Bescherming Persoonsgegevens(de voorganger van de AP).

Vervolg

De AP keurde de gedragscode in 2013 goed. De rechter in Amsterdam oordeelde op 13 november 2013 hierover. In die zaak tegen de AP, aangespannen door de KDVP, sprak de rechtbank uit dat het CBP bij de goedkeuring van de gedragscode op 13 december 2011 de in deze gedragscode vastgelegde verwerkingsprocedures onvoldoende dan wel onjuist getoetst had aan vereisten voor de bescherming van privacy-rechten van patiënten/cliënten zoals vastgelegd in wet en verdrag. Enigszins verongelijkt trok na aandringen het CBP de goedkeuring van de gedragscode in. Nadien hebben de zorgverzekeraars geen herziene gedragscode voorgelegd aan het CBP of haar opvolger, de AP.

Dat is opmerkelijk te noemen omdat er sinds 2019 wel een nieuwe gedragscode van de zorgverzekeraars bestaat met betrekking tot verwerking van (bijzondere) Persoonsgegevens. Noch heeft de AP sinds 2019 enig signaal afgegeven dat zij eigenstandig die gedragscode onderzoekt.

Bizarre situatie

De minister verwoordt in haar brief aan de Tweede kamer een bizarre situatie. In een situatie waarin een eerdere versie van de gedragscode na rechterlijke tussenkomst uiteindelijk geen goedkeuring kreeg, blijkt dat de zorgverzekeraars de herziene versie zonder een goedkeurend oordeel van de privacy-toezichthouder gebruiken. Zulks in een constructie waarbij de makers van de gedragscode blijkbaar niet verplicht zijn die ter goedkeuring voor te leggen. En de AP niet verplicht is eigenstandig onderzoek te doen naar die nieuwe versie van de gedragscode. Doordat beide partijen, gepardonneerd door VWS op de handen blijken te kunnen gaan zitten, gebeurt er niets terwijl wel op basis van die gedragscode (bijzondere)  persoonsgegevens verwerkt worden.

Wat een land, wat een land, waar dat allemaal maar kan! Wim Kan: uit het lied “twaalf miljoen oliebollen dansen in de pan.

W.J. Jongejan, 18 december 2020

Afbeelding van freestocks-photos via Pixabay