Het blijft een uitdaging: welke gegevens worden aangemerkt als persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG)? Onlangs boog de Rechtbank Midden-Nederland zich over dit vraagstuk, specifiek met betrekking tot de zogenoemde HoNOS+-gegevens. Deze gegevens zeggen iets over de geestelijke en sociale toestand van cliënten. Het oordeel van de rechtbank? Deze gegevens zijn géén persoonsgegevens, waarom niet? Lees hier de blog van advocaat bij Elferink & Kortier Advocaten, Tom Boitelle.
De AVG is van toepassing op de verwerking van persoonsgegevens. Het verzamelen van persoonsgegevens kan voor veel ondernemingen kansen bieden en dus waardevol zijn. Als een onderneming persoonsgegevens verzamelt gelden de regels van de AVG. Wat is precies een persoonsgegeven? Kortgezegd is iets een persoonsgegeven indien het direct of indirect te herleiden is naar een persoon. Te denken valt dan bijvoorbeeld aan:
NAW;
leeftijd; of
telefoonnummer.
Ook gespeudonimiseerde gegevens kunnen onder de AVG vallen, waarover later meer. Anonieme gegevens vallen daarentegen niet onder de AVG. Anonieme gegevens zijn namelijk niet te herleiden naar een persoon. In de praktijk is het echter vaak onduidelijk wanneer gegevens anoniem zijn in de zin van de AVG. Lees hier een door ons geschreven verduidelijking hierover.
HoNOS, oftewel Health of the Nation Outcome Scales, is een meetinstrument waarmee behandelaars de psychische gezondheid en het dagelijks functioneren van cliënten met psychische klachten meten. Het gaat om een vragenlijst die door de professionals zelf wordt ingevuld, en gaat over verschillende aspecten van het functioneren, zoals psychische symptomen, gedrag, beperkingen en sociaal functioneren.
In 2023 mochten deze gegevens eenmalig worden opgevraagd door de Nederlandse Zorgautoriteit (NZa), en waren behandelaren verplicht deze te verstrekken. Dit diende ter ondersteuning van het zorgprestatiemodel, dat helpt bij het voorspellen van de zorgzwaarte en de GGZ-wachtlijsten te verkorten.
De eisers in deze collectieve zaak (ook wel ‘WAMCA’-zaak genoemd) waren van mening dat de HoNOS+-gegevens persoonsgegevens zijn. Verwerking van deze gegevens moet dus aan de regels van de AVG voldoen en hiervan was volgens de eisers geen sprake.
De eisers vroegen de rechter om te verklaren dat de betreffende regeling strijdig is met het recht en zij stelden dat er onrechtmatig zou zijn gehandeld jegens zowel de cliënten in de geestelijke gezondheidszorg als de betrokken GGZ-behandelaren. Daarnaast wilden zij een verbod om deze gegevens in de toekomst nog te verzamelen of verwerken, en vorderden zij dat eerder verzamelde gegevens worden vernietigd.
De NZa, de gedaagde partij, betwistte dat zij in strijd met het recht handelde.
De rechter boog zich over de vraag of de gegevens in kwestie als ‘persoonsgegevens’ in de zin van de AVG konden worden beschouwd. Artikel 4 AVG geeft de definitie van het begrip: het gaat om alle informatie over geïdentificeerde of identificeerbare personen. De rechter verduidelijkt:
Het gaat niet alleen om direct, maar ook om indirect herleidbare gegevens.
Dat omvat ook gepseudonimiseerde data die in combinatie met beschikbare aanvullende informatie alsnog tot identificatie kunnen leiden.
De rechter concludeert dat daarvan geen sprake is. De HoNOS+-gegevens waren volgens de rechter namelijk volledig geanonimiseerd. Vervolgens keek de rechter of de anonieme gegevens (de HoNOS+-gegevens) in combinatie met gepseudonimiseerde gegevens indirect herleidbare gegevens zijn. NWA had namelijk de beschikking over gepseudonimiseerde declaratiegegevens. De rechter oordeelt dat het met de anonieme gegevens in combinatie met reeds beschikbare data ook zeer onwaarschijnlijk is dat de NZa daadwerkelijk personen zou kunnen identificeren. De rechter verklaarde daarom de AVG niet van toepassing, de privacy van de cliënten zou geen gevaar lopen.
Wanneer heeft u te maken met persoonsgegevens en hoe herkent u deze? Welke regels gelden wanneer de AVG van toepassing is? De AVG blijft een complex speelveld. Het is daarom essentieel dat u voldoende geïnformeerd bent en zodoende in staat bent te handelen in overeenstemming met de geldende wet- en regelgeving. De Autoriteit Persoonsgegevens kan namelijk fikse boetes opleggen aan bedrijven die niet conform de AVG handelen.
Uitspraak van de Rechtbank: ECLI:NL:RBMNE:2025:1760.
Lees hier de originele versie van het artikel op de website van Elferink & Kortier Advocaten.
