Vragen van het lid Voortman (GroenLinks) aan de Minister van Volksgezondheid, Welzijn en Sport inzake de onduidelijkheid over privacygevoeligheid van zorgdeclaraties (ingezonden 10 september 2015).

Antwoord van Minister Schippers (Volksgezondheid, Welzijn en Sport) (ontvangen 28 oktober 2015)

Vraag 1

Bent u bekend met de rechtszaak tegen de Nederlandse Zorgautoriteit (NZa) omtrent het weigeren van het vrijgeven van zorgdeclaraties?1

Antwoord 1

Ja. Er zijn op dit moment overigens twee beroepsprocedures aanhangig in het kader van aan de NZa gedane verzoeken om openbaarmaking van informatie op grond van de Wet openbaarheid van bestuur (Wob). Eén zaak dient bij de rechtbank Amsterdam en één zaak bij de rechtbank Den Haag. Beide kwesties betreffen verzoeken om openbaarmaking van, naar oordeel van de NZa, bedrijfsvertrouwelijke informatie of informatie op zodanig detailniveau dat die informatie onder omstandigheden te herleiden zou kunnen zijn tot individuele personen (bijvoorbeeld als deze gekoppeld zouden worden aan andere gegevens bestanden). Die mogelijke herleiding betekent dan een inbreuk op de persoonlijke levenssfeer van patiënten. De NZa is van opvatting dat haar de vereiste wettelijke bevoegdheid ontbreekt de gevraagde informatie te verstrekken.

Het is nu eerst aan de rechter hier uitspraak over te doen. De uitspraken waren voorzien op respectievelijk 8 en 15 oktober 2015. Door uitstel op de Kamervragen had ik gehoopt in te kunnen gaan op de uitspraken. De uitspraak van 8 oktober is echter zes weken uitgesteld. In de navolgende beantwoording ga ik inhoudelijk niet nader in op de rechtszaken. Mochten de uitspraken daar aanleiding toe geven, zal ik u Kamer daar alsnog nader over informeren.

Volledigheidshalve merk ik op dat centraal staat de gegevensverzameling in DIS (DBC Informatie Systeem) door de NZa. DIS was in beheer bij DBC-Onderhoud (DBC-O), een privaatrechtelijke organisatie, maar inmiddels zijn de publiekrechtelijke taken van DBC-O overgegaan naar de NZa, waaronder het DIS. De NZa is bij de uitvoering van haar taken gebonden door de taken en bevoegdheden die haar op grond van de Wet marktordening gezondheidszorg (Wmg) zijn toegekend. Door de overgang van DIS naar de NZa is het gebruik van de data en de bewerking ook aan de wettelijke taken van de NZa gebonden. In mijn antwoord op de vragen 4 en 5 kom ik daarop nog terug.

Vraag 2

Kunt u uitleggen hoe het kan dat de NZa stelt dat de declaraties van zorgaanbieders toch tot de persoon te herleiden zijn, terwijl u eerder heeft verklaard dat dit niet mogelijk zou moeten zijn?2 Wie heeft hier gelijk? Zijn zorgdeclaratiegegevens te herleiden tot de persoon? Indien ja, hoe verhoudt zich dat tot uw eerdere uitspraken waar u de Kamer uitlegde dat dit niet mogelijk zou zijn? Indien nee, waarom stelt de NZa dat het wel mogelijk is de persoon te achterhalen?

Antwoord 2

De declaratiegegevens die de NZa verzamelt in DIS zijn niet te herleiden tot de individuele patiënt, zolang ze gebruikt worden voor bewerkingen binnen de gesloten DIS omgeving. Het gaat in deze kwestie om het mogelijk koppelen van die declaratiegegevens door derden aan andere bronnen. Die koppeling kan er mogelijk toe leiden dat de declaratiegegevens wel tot individuele patiënten zijn te herleiden. Daarop heb ik in mijn antwoorden van 8 september 2014 ook gewezen (Aanhangsel van Handelingen, 2013–2014, nr. 29563). In die beantwoording heb ik destijds aangegeven dat er een risico van privacybelasting bestaat (in lijn met wat de NZa voor de rechter heeft betoogd), maar dat dit risico al sinds de oprichting van DIS en tot op heden, continu door technische en organisatorische maatregelen wordt beheerst en hoe dat gebeurt. Deze maatregelen worden jaarlijks geaudit door een externe partij.

Vraag 3

De NZa spreekt op de website dat er theoretische risico's worden onderzocht, bent u bereid deze onderzoeken naar de Kamer te sturen?

Antwoord 3

Zoals ik in mijn eerdere antwoorden van 8 september 2014 ook aangaf ben ik mij ervan bewust dat bij welke verwerking van data dan ook, er altijd theoretische risico’s zijn. De uitgebreide audits waaraan de DIS-database wordt onderworpen zien er op toe dat de technische en organisatorische maatregelen die worden genomen, afdoende zijn om deze risico’s adequaat te beheersen. De NZa toetst continu of de gegevens die zij zelf publiceert, voldoen aan de hoge normen van veiligheid en aan de bevoegdheden die zij heeft op grond van de Wmg. De uitkomsten van de jaarlijkse uitgebreide audit zal de NZa publiceren op haar website. Zie ook mijn antwoord op vraag 4.

Vraag 4

Is het College Bescherming Persoonsgegevens (CBP) op de hoogte gebracht van het feit dat kennelijk toch persoonsgegevens te achterhalen zijn? Wat betekent dit voor de systematiek van de DIS-database? Bent u bereid dit nader te onderzoeken?

Antwoord 4

Zoals ik in mijn eerdere antwoorden op 8 september 2014 heb aangegeven is het CBP er mee bekend dat het risico bestaat dat door koppeling met andere bestanden of informatie, de in DIS verzamelde informatie mogelijk tot individuele personen valt te herleiden. Dat risico wordt door de technische en organisatorische maatregelen beheerst.

Voor de systematiek van de DIS-database betekent dit dat alleen gegevens uit de database aan derden mogen worden verstrekt als daar een wettelijke grondslag voor is, die voldoet aan de eisen die het Europees Verdrag voor de Rechten van de Mens (EVRM) en de Wet bescherming persoonsgegevens (Wbp) stellen, en die past bij de taken en bevoegdheden die de NZa heeft op grond van de Wmg. Daarbij is met betrekking tot de bescherming van persoonsgegevens nog in een extra regeling voorzien, waarin per artikel wordt bezien welke categorie van persoonsgegevens van toepassing is (Regeling categorieën persoonsgegevens Wmg). Met de NZa wordt nader onderzocht of deze regeling nog voldoende wettelijke basis biedt voor de uitvoering van de taken van de NZa, waaronder het verwerken van gegevens uit DIS.

Vraag 5

Welke maatregelen zijn genomen na het ontdekken van het mogelijk toch herleidbaar zijn van data? Dit betekent immers dat de DIS-database bijzondere persoonsgegevens bevat?

Antwoord 5

De gegevens in DIS zijn gepseudonimiseerd. De beroepszaken waar ik naar heb verwezen in antwoord op vraag 1, komen voort uit het stringente beleid van de NZa ten aanzien van de veiligheid van de DIS-gegevens. Dat beleid brengt immers mee dat niet alle gegevens waar om wordt verzocht, kunnen worden verstrekt. De NZa levert datasets aan verzoekers zoals zorgaanbieders, zorgverzekeraars, koepelorganisaties en andere geïnteresseerde partijen en betrekt in haar toetsing het risico van een koppeling van de door de NZa verstrekte bestanden met de databestanden waarover verzoekers kunnen beschikken.

Zoals ik in antwoord op vraag 4 al aangaf wordt met de NZa nader onderzocht of er voor de verstrekking van (bewerkingen van) gegevens uit de DIS-database aan derden een wettelijke grondslag is die voldoet aan de eisen die de Wmg, het EVRM en de Wbp stellen.

Naar boven