Kapitale juridische misvattingen bij voorstanders hervatting aanlevering ROM-data

hamer

Bij het lezen van de berichtgeving over het hervatten van het aanleveren van Routine Outcome Monitoring(ROM)-data aan de Stichting Benchmark GGZ(SBG), valt op dat men telkens spreekt over geanonimiseerde data. Al eerder becommentarieerde ik deze actie, omdat het pseudonimisatie betreft. Er lijkt een hele rare gedachtenkronkel te zitten bij de toepassing van het begrip “veronderstelde toestemming” als er echt sprake zou zijn van anonieme data. Als dat het geval zou zijn,  zou er niet sprake zijn van (bijzondere) persoonsgegevens en het vragen van toestemming niet noodzakelijk zijn. Het creëren van de gekunstelde constructie van de “veronderstelde toestemming” zou dan ook niet nodig zijn. Er is sinds het Kort Geding over het aanleveren van ROM-data aan SBG een zeer verwarrende discussie gaande of de aan SBG te leveren ROM-data nu persoonsgegevens zijn. Dat wordt door de GGZ-instellingen, die de aanlevering hervatten, Parnassia en Lentis in alle toonaarden ontkent. Het toch vasthouden aan de dubieuze constructie van de “veronderstelde toestemming” door GGZ Nederland impliceert dat men toch is gaan beseffen dat het bij ROM-data(inclusief de, zeer uitgebreide, Minimale DataSet) gaat om de verwerking van (medische) persoonsgegevens. Daarnaast kan een heel andere reden spelen. Dat is het ingaan van de Algemene Verordening Gegevensbescherming(AVG) op 25 mei 2018. Daardoor zou men ook helemaal niet af willen van de gedachte dat het om persoonsgegevens gaat. Met bovendien de gedachte dat met de AVG in de hand de ROM-data-levering aan SBG geen probleem meer is.  Dat is echter een kapitale misvatting.

AVG

Deze verordening spreekt als het gaat om verwerking van gepseudonimiseerde gegevens heel duidelijk over persoonsgegevens. Eén en ander is zeer duidelijk verwoord in punt 26 van de AVG (blz L119/5). Als de AVG in mei 2018 van kracht wordt hopen alle voorstanders van  centrale verwerking van ROM-data zoals het ministerie van VWS, Zorgverzekeraars Nederland, GGZ Nederland, SBG en anderen dat men op basis van artikel 9 punt 2  lid h en i, van de AVG(blz L119/38) om redenen van “het  beheren van gezondheidszorgstelsels”(lid h), respectievelijk het “waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg” (lid i) de dataverzameling gewoon in volle omvang hervat mag worden, zonder expliciet toestemming aan de patiënt te vragen. In punt 53 (blz L 119/10) wordt één en ander nog eens herhaald. De traagheid van het reageren van instanties als de Autoriteit Persoonsgegevens, SBG en andere partijen in deze zaak op handhavingsverzoeken en andere vragen, is dan ook ingegeven door de gedachte dat de ROM-kwestie in hun ogen na 25 mei 2018 vanzelf opgelost is met de invoering van de AVG.

Herleidbaar

Bij het vonnis in het Kort Geding over de ROM-data stelde de rechter in rechtsoverweging 4.20 dat vraag over de herleidbaarheid van de gepseudonimiseerde data te ingewikkeld was om in dat geding te behandelen en verwees men dit naar een eventuele bodemprocedure. Het aparte is dat thans door de voorstanders van het hervatten van de aanlevering niet , of nauwelijks over die herleidbaarheid gesproken wordt. Vasthouden aan de niet-herleidbaarheid door besturen van GGZ-instellingen en GGZ Nederland als brancheorganisatie zou problematisch worden als men wil claimen dat volgens het Model Privacyreglement GGZ 2018 op basis van de AVG medische persoonsgegevens zouden mogen worden aangeleverd aan SBG, of binnenkort de rechtsopvolger ervan, het Kwaliteitsinstituut GGZ. In het eerder genoemd punt 26 van de AVG zegt deze  dat gepseudomiseerde data als gegevens over een identificeerbare natuurlijke persoon moeten worden beschouwd, dus: als herleidbaar.

Misrekening

Het met de AVG in de hand proberen de ROM-aanlevering te hervatten berust echter op een juridische misrekening. Als jurisprudentie kan de conclusie dienen van de advocaat-generaal bij de cassatieprocedure van de Vereniging Praktijkhoudende Huisartsen versus de Vereniging van Zorgaanbieders voor Zorgcommunicatie(VZVZ) over het Landelijk SchakelPunt(LSP). Daarin staat met zoveel woorden dat ook de verwerking van bijzondere persoonsgegevens op basis van een wettelijke grondslag(lees: AVG) moet voldoen aan de beginselen vastgelegd in artikel 8 EVRM(Europees Verdrag Voor de Rechten van de Mens). Dit betekent dat de verwerking van medische persoonsgegevens zonder toestemming van de patiënt gebaseerd dient te zijn op een wettelijke grondslag voor verwerking voor een welbepaald doel en moet voldoen aan begrippen van proportionaliteit en subsidiariteit(zie daarin blz. 165). Rechtsoverweging 5.4 maakt dat duidelijk als de advocaat-generaal een passage aanhaalt uit een vonnis uit 2011 van de Hoge Raad inzake Santander. Het gaat om de rechtsoverweging 3.3 lid a, b en c uit dit vonnis. Datgene, wat de advocaat-generaal stelt in zijn conclusie, is onverkort van toepassing op het bepaalde in artikel 9  en overweging 53 van de AVG met betrekking tot de verwerking van bijzondere persoonsgegevens, ‘voor zover dat is toegestaan in nationale wetgeving’. De in de AVG genoemde gronden om zonder toestemming bijzondere persoonsgegevens te gebruiken zoals “het beheren van zorgstelsels” of “het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg” zijn uitermate vage, ruime en niet begrensde doelstellingen. Zij voldoen absoluut niet aan de definitie van een welbepaald doel. Als die vage doelstellingen gehanteerd zouden worden, komt dat neer op een uitleg waarbij overheid en medische persoonsgegevens verzamelende instellingen naar willekeur kunnen besluiten om medische persoonsgegevens zonder toestemming van de patiënt en met schending van het medisch beroepsgeheim op te vragen, te verwerken en door te leveren.

Valse hoop

Met dit artikel wil ik duidelijk maken dat bij voorstanders van het hervatten van het aanleveren van ROM-data aan SBG valse hoop bestaat dat na het ingaan van de AVG op 25 mei 2018 er geen vuiltje meer aan de lucht is. Het is te verwachten dat als men dat toch wil gaan doen er juridisch kansrijke stappen genomen kunnen worden om het stoppen alsnog af te dwingen. Overigens voor de aardigheid is het ook goed te vermelden dat ditzelfde speelt  bij het aanleveren van Diagnose Behandel Combinatie(DBC)-data aan het DBC InformatieSysteem(DIS).

W.J. Jongejan.