De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar het verstrekken van diagnosegegevens door de Nederlandse Zorgautoriteit (NZa) aan derde partijen. Na de aankondiging van het onderzoek eind 2015 kondigde de NZa aan voorlopig te stoppen met het leveren van gegevens uit het dbc-informatiesysteem (DIS) aan derde partijen. Inmiddels heeft de AP geconcludeerd dat niet alle partijen aan wie de NZa de gegevens verstrekte, deze mogen ontvangen. De NZa heeft naar aanleiding hiervan aangegeven geen DIS-informatie meer aan de betreffende partijen te geven.
Recente berichtgeving in de Volkskrant over het delen van DIS-gegevens met derde partijen via een zogeheten informatiemakelaar heeft vragen opgeroepen. De NZa heeft desgevraagd aan de AP verklaard op dit moment geen zorgdata via deze informatiemakelaar te delen. De AP heeft de NZa laten weten de ontwikkelingen nauwlettend te volgen en op te treden zodra zij aanwijzingen heeft dat DIS-gegevens in strijd met de privacywetgeving worden uitgewisseld.
Informatie vanuit DIS mag niet naar VWS en CPB
Informatie over diagnoses van patiënten in de ziekenhuiszorg, geestelijke gezondheidszorg en forensische zorg komt terecht in DIS. Zorgaanbieders zijn wettelijk verplicht informatie over wat zij aan zorg hebben geleverd en gedeclareerd aan het DIS te verstrekken. Het systeem wordt beheerd door de NZa. De informatie wordt – na pseudonimisering – gedeeld met verschillende derde partijen. De Autoriteit Persoonsgegevens oordeelt na onderzoek dat de DIS-gegevens inderdaad gedeeld mogen worden met verschillende in de wet genoemde partijen. Maar de NZa mag de gegevens niet delen met de minister van VWS en het Centraal Planbureau (CPB); hiervoor bestaat geen wettelijke grondslag, aldus de Autoriteit Persoonsgegevens. De NZa heeft aangegeven geen gegevens uit het DIS-systeem meer te verstrekken aan de minister van VWS en het CPB.
DIS-gegevens niet anoniem
Al eerder stelde de Autoriteit Persoonsgegevens vast dat het in het DIS gaat om (bijzondere) persoonsgegevens. Deze mogen alleen onder strikte voorwaarden worden verwerkt. Door de pseudonimisering zijn de gegevens van patiënten in het DIS weliswaar beperkt herleidbaar tot individuen, maar is er geen sprake van een onomkeerbare anonimisering. Daardoor zijn de regels van de Wet bescherming persoonsgegevens van toepassing.
Autoriteit Persoonsgegevens
Met ingang van 1 januari 2016 heeft het College bescherming persoonsgegevens (CBP) een nieuwe naam: Autoriteit Persoonsgegevens (AP). Deze naamswijziging hangt samen met de uitbreiding van de boetebevoegdheden van de toezichthouder en de meldplicht datalekken per 1 januari 2016.
Ook interessant
Het kwaliteitsstatuut: de laatste stand van zaken
Deze week ontvingen we recente cijfers van MediQuest over het aantal ingediende en goedgekeurde kwaliteitsstatuten in de vrijgevestigde ggz. De ...
Lees meer
Wijziging van privé-adresgegevens in uw goedgekeurde kwaliteitsstatuut
Inmiddels hebben alle ggz-aanbieders met een reeds goedgekeurd kwaliteitsstatuutdezee-mail ontvangen van MediQuest, met daarin informatie over de publicatie ervan op ...
Lees meer