De Autoriteit Persoonsgegevens (AP) heeft de Alliantie kwaliteit in de geestelijke gezondheidszorg (Akwa GGZ) een berisping gegeven voor het verwerken van persoonsgegevens over de gezondheid.
Akwa GGZ heeft sinds begin 2019 een set met onvoldoende geanonimiseerde gezondheidsgegevens overgenomen van Stichting Benchmark GGZ (SBG). SBG en Akwa GGZ doen kwaliteitsonderzoek in de geestelijke gezondheidszorg (GGZ). Patiënten vullen op verzoek van de zorginstelling een vragenlijst in, zodat GGZ-aanbieders gebenchmarkt kunnen worden op behandeleffect en klanttevredenheid. Deze zogenaamde. Routine Outcome Monitoring (ROM) data gingen via Zorg TTP na pseudonimisering naar SBG.
De AP heeft naar aanleiding van een handhavingsverzoek van een betrokkene onderzoek gedaan naar de werkwijze van SBG en heeft deze getoetst aan de Algemene verordening gegevensbescherming (AVG). De betrokkene stelde dat SBG haar medische gegevens verwerkt zonder haar toestemming. De twee onderwerpen die in het onderzoek centraal staan, hebben betrekking op de vraag of ROM-gegevens kunnen worden aangemerkt als persoonsgegevens in de zin van de AVG en, zo ja, op welke grondslag deze bijzondere persoonsgegevens kunnen worden verwerkt.
"Tijdens het onderzoek werd bekend dat SBG haar activiteiten zou gaan staken en een groot deel van haar activiteiten en de door haar verzamelde en bewerkte gegevens zou overdragen aan Akwa GGZ. Dit was voor de AP aanleiding ook onderzoek te verrichten naar de gegevens die door SBG nog zouden worden bewaard en aan Akwa GGZ zouden worden overgedragen."
Nadat patiënten in de GGZ aan hun GGZ-aanbieders persoonsgegevens, al dan niet via ingevulde vragenlijsten, verstrekken, vindt er een eerste pseudonimiseringsstap plaats in de Privacy- en Verzend Module (PVM) van SBG op locatie bij de GGZ-aanbieder. In de PVM worden vervolgens vier van de 29 ingevoerde gegevenscategorieën gehasht, waardoor voor deze vier gegevens een pseudoniem ontstaat.
Hierdoor vindt een splitsing plaats van het door de zorgaanbieder geleverde bestand in een pseudoniemendeel, ook wel sleuteldeel genoemd, en een deel met inhoudelijke data, ook wel datadeel genoemd. Het sleuteldeel en datadeel worden beide zodanig versleuteld dat alleen het sleuteldeel inzichtelijk is voor ZorgTTP. Het datadeel met inhoudelijk data wordt versleuteld zodat dit niet toegankelijk is voor ZorgTTP. SBG kan het datadeel wel ontsleutelen en dus inzien.
Na deze verwerkingen in de PVM vindt de gegevensoverdacht naar ZorgTTP plaats, waar ZorgTTP een tweede pseudonimiseringsslag uitvoert. ZorgTTP houdt de gebruikte sleutel voor zichzelf en deelt deze nooit met SBG. ZorgTTP bewaart de sleutel en kan de versleutelde waardes weer ontsleutelen tot pseudoniemen (de hashes afkomstig van de zorgaanbieder).
De pseudonimiseringsmethode die SBG gebruikt ziet op een combinatie van een hashfunctie en encryptie met een geheime sleutel. Een hashfunctie heeft “voor een invoer van willekeurige omvang (één enkel attribuut of een verzameling van attributen) een uitvoer met vaste grootte, en kan niet worden teruggedraaid.” Bij encryptie met een geheime sleutel “kan degene die de sleutel bezit elke betrokkene eenvoudig opnieuw identificeren door de dataset te decoderen”.
Echter, de uitkomsten van dit pseudonimiseringsproces zijn per uniek BSN, koppelnummer, DBC Trajectnummer en Zorgtrajectnummer altijd hetzelfde. Dus: iedere invoer levert altijd exact dezelfde uitvoer. Dit zorgt ervoor dat door de tijd heen nieuwe informatie toegevoegd kan worden aan de al bekende informatie bij SBG. Voor het opstellen van de SBG Benchmarkrapportages is dit volgens SBG ook nodig om patiënten door de tijd heen te volgen en informatie af te leiden over het succes van een behandeling bij een bepaalde behandelaar. Hierdoor is het nodig om nieuwe informatie te koppelen aan al bij SBG bekende informatie over die individu.
De AP komt tot de conclusie dat de dataset van SBG in zoverre gedetailleerd is dat er op één of meerdere attributen, gepseudonimiseerd of niet, een selectie kan plaatsvinden zodanig dat er één individu uit de dataset gelicht kan worden. Hierdoor kan geen sprake zijn van een anonieme dataset.
Op grond van de AVG is de verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens, verboden. Dit verbod is niet van toepassing indien SBG zich kan beroepen op een wettelijke uitzonderingsgrond (artikel 9 AVG jo. artikel 22 tot en met 30 Uitvoeringswet AVG).
SBG kan ten eerste geen beroep doen op de wettelijke uitzonderingsgrond voor wetenschappelijk of historisch onderzoek of statistische doeleinden omdat het mogelijk om was uitdrukkelijk toestemming te vragen aan de betrokkenen, hetgeen SBG heeft nagelaten. Toestemming had bijvoorbeeld gevraagd kunnen worden aan de betrokkenen bij het invullen van de vragenlijsten. Ook op de overige wettelijke uitzonderingsgronden inzake gegevens over gezondheid (artikel 30 Uitvoeringswet AVG) kan SBG geen beroep doen. SBG valt namelijk niet onder de genoemde normadressaten, waaronder werkgevers, scholen, verzekeraars en hulpverleners.
De AP komt aldus tot de conclusie dat SBG zich niet kan beroepen op één van de wettelijke uitzonderingsgronden die het verbod om gegevens over gezondheid te verwerken zou kunnen opheffen. Dit heeft tot gevolg dat het voor SBG verboden is om de dataset met daarin persoonsgegevens over de gezondheid te verwerken.
SBG bestaat niet meer en heeft de onvoldoende geanonimiseerde data overdragen aan Akwa GGZ. Dit is een verwerking van persoonsgegevens die zonder wettelijke uitzonderingsgrond ook verboden is. Omdat SBG inmiddels niet meer bestaat als rechtspersoon, legt de AP alleen een handhavende maatregel op aan Akwa GGZ. Dat is in dit geval een berisping omdat Akwa GGZ de dataset in quarantaine heeft geplaatst en daarna heeft vernietigd.
Op haar website schrijft Akwa GGZ dat de uitspraak geen consequenties heeft voor de huidige werkwijze van Akwa GGZ: “Wij werken uitsluitend nog met gepseudonimiseerde gegevens waarvoor de patiënt uitdrukkelijk toestemming heeft gegeven.”
Meer artikelen van SOLV Advocaten
Dit artikel is ook te vinden in de dossiers AVG, Privacy in de zorg en Privacy in het sociaal domein
Op 12, 19 en 26 maart 2020 vindt de driedaagse opleiding Privacy in het sociaal domein plaats.
Sinds de decentralisaties in 2015 wordt intensief samengewerkt tussen hulpverleners en ambtenaren, maar ook tussen instanties en gemeenten onderling. Hierbij worden gevoelige, vaak bijzondere persoonsgegevens uitgewisseld. Hoe kan een effectieve samenwerking georganiseerd worden waarbij de ambtenaar de wet uitvoert, de hulpverlener zijn integriteit bewaart en de privacy van cliënten beschermd blijft?
De opleiding wordt geleid door privacyjurist Corrie Ebbers en is bestemd voor medewerkers en juristen van gemeenten en zorgaanbieders die aangewezen zijn als kwaliteitsfunctionaris, privacydeskundige of functionaris gegevensbescherming in het sociaal domein.
Meer informatie over de opleiding