Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 23 juni 2016

Alvorens ik uw vragen beantwoord, schets ik graag de achtergrond van de totstandkoming van het memorandum van overeenstemming1 en van de huidige stand van zaken van de uitvoering ervan. Tevens wil ik van de gelegenheid gebruik maken om een aantal vragen van de Kamer die tijdens het Vragenuur op 31 mei in dit verband aan de orde zijn gekomen (Handelingen II 2015/16, nr. 89, item 5) en die niet in de beantwoording van de schriftelijke vragen aan bod komen te beantwoorden.

Zowel bij het Vragenuur als bij de schriftelijke vragen lopen twee zaken door elkaar. Er zijn vragen gesteld over het memorandum en er zijn vragen gesteld over gegevensleveringen uit het DIS. In het kader van het memorandum zijn geen DIS-gegevens gedeeld. Ik wil zowel in mijn inleiding als in de beantwoording van de schriftelijke vragen deze twee onderwerpen apart behandelen.

Het memorandum van overeenstemming

Met het memorandum spreken de ondertekenaars af te werken aan een gezamenlijke «Informatiemakelaar» ten behoeve van informatiedeling. De doelen zijn lagere administratieve lasten en meer eenduidigheid, onder de randvoorwaarde van een zorgvuldige omgang met gegevens die privacygevoelig of concurrentiegevoelig zijn. Het veld (zorgaanbieders, zorgverzekeraars) heeft gevraagd om verbeteringen in de gegevensuitwisseling en ook de Kamer heeft zich hiervoor uitgesproken. Lagere administratieve lasten en eenduidigheid van cijfers zijn zaken die belangrijk zijn voor het goed en doelmatig functioneren van het stelsel. Ook de verzekerde en de patiënt plukken daar de vruchten van.

Op dit moment zijn in het kader van het memorandum alleen gepseudonimiseerde declaratiegegevens geleverd aan de NZa en het ZIN. Om te beginnen zijn dat gegevens over medisch-specialistische zorg en huisartsenzorg geweest, maar afgesproken is om in onderling overleg hieraan nog een aantal zorgsectoren toe te voegen, zoals paramedische zorg en mondzorg. Al deze gegevens, die door ZorgTTP gepseudonimiseerd zijn, hebben de NZa en het ZIN op patiëntniveau nodig voor de uitvoering van hun wettelijke taak. Bij de NZa gaat het bijvoorbeeld om analyses die nodig zijn voor de marktscan en voor fraudebestrijding, bij het ZIN om pakketbeheer. IGZ en VWS hebben in het kader van het memorandum nog geen informatie ontvangen.

Voordat partijen toegang krijgen tot gegevens moet worden geconcretiseerd welke gegevens zij nodig hebben voor de uitvoering van hun wettelijke taak. Als dat persoonsgegevens zijn, moet een Privacy Impact Assessment (PIA) opgesteld worden en aangetoond dat die gegevens nodig zijn en dat het opvragen van die gegevens proportioneel is. Verder dienen maatregelen getroffen te worden waarmee wordt gegarandeerd dat slechts een beperkt aantal medewerkers toegang heeft tot de gegevens en alleen tot die gegevens die voor beantwoording van de gestelde vragen nodig zijn. Deze procedure moet ook worden geregistreerd. De NZa en het ZIN hebben hun organisatie daarop al ingericht. Een organisatie die persoonsgegevens verwerkt, moet dit melden bij de Autoriteit Persoonsgegevens. Is een Functionaris Gegevensbescherming (FG) aangesteld, dan kan de organisatie de verwerkingen bij de FG melden in plaats van bij de Autoriteit Persoonsgegevens.

Met de huidige leveringen worden declaratiegegevens gedeeld met overheidspartijen die daar op basis van hun wettelijke taken recht op hebben, met alle benodigde waarborgen voor bescherming van de privacy. Alleen in de vormgeving van de levering is een versimpeling doorgevoerd. In het memorandum wordt aangekondigd dat partijen gaan samenwerken om in de toekomst gegevens uit verschillende bronnen te verzamelen, met de mogelijkheid dat die aan elkaar gekoppeld worden. Dan wordt het belangrijk dat er met een bredere blik naar gekeken wordt. Daarnaar verwijst de gebruikte term «Informatiemakelaar». Hoe dat georganiseerd gaat worden, is nog onderwerp van overleg. Het is absoluut niet de intentie dat dit gaat leiden tot centrale opslag van gegevens. Bij de vormgeving van de «Informatiemakelaar» zal de Autoriteit Persoonsgegevens en de Kamer betrokken worden.

Er is geen sprake van dat nu of in de toekomst op basis van dit memorandum gepseudonimiseerde gegevens van zorgverzekeraars met andere zorgverzekeraars gedeeld gaan worden. Het is dus beslist niet waar dat op basis van dit memorandum het gevaar van risicoprofilering vergroot zal worden.

Gegevensleveringen uit het DIS

Het DIS (Diagnose Behandelcombinatie (DBC) informatiesysteem) is de landelijke verzamelplaats voor informatie over geleverde zorg door zorgaanbieders. Het DIS is ondergebracht bij de Nederlandse Zorgautoriteit (NZa). De in het DIS opgenomen (medische) persoonsgegevens zijn gepseudonimiseerd.

Geen enkele organisatie heeft (directe of indirecte) toegang tot de DBC’s van de NZa. Ook in het verleden zijn alleen gepseudonimiseerde gegevens geleverd aan overheidspartijen voor de uitvoering van hun wettelijke taak.

Het College Bescherming Persoonsgegevens (de voorganger van de Autoriteit Persoonsgegevens) huldigde tot 2015 het standpunt dat persoonsgegevens na pseudonomisering geen persoonsgegevens meer vormen. Bij de onderhandelingen over de nieuwe Europese verordening voor gegevensbescherming is vanwege de technische vooruitgang besloten om persoonsgegevens ook na pseudonimisering toch als persoonsgegevens aan te merken. Consequentie van dit gewijzigde standpunt is dat de gepseudonimiseerde gegevens uit het DIS voortaan als persoonsgegevens worden aangemerkt. Dit heeft de Autoriteit Persoonsgegevens bij brief van 26 november 2015 aan de NZa kenbaar gemaakt. Dit betekent dat de NZa voor de verwerking van DIS-gegevens (waaronder verstrekking aan andere instanties) moet voldoen aan de Wet bescherming persoonsgegevens en bepalingen omtrent bescherming van persoonsgegevens in sectorale wetgeving. Dit geldt dus voor de verwerkingen vanaf 26 november 2015.

Voor de verstrekking van (medische) persoonsgegevens uit het DIS biedt de Wet marktordening gezondheidszorg (Wmg) een grondslag. Op grond van artikel 70 Wmg en de op artikel 65 Wmg gebaseerde Regeling categorieën persoonsgegevens WMG (Regeling) verstrekt de NZa persoonsgegevens aan een aantal instanties ten behoeve van de uitoefening van hun taken en bevoegdheden. Het gaat om instanties zoals bijvoorbeeld de ACM, het ZIN en het Centraal Planbureau (CPB). In artikel 4 van de Regeling is per instantie nauwkeurig bepaald welke categorie persoonsgegevens (identificerende persoonsgegevens, medische of strafrechtelijke) deze instanties van de NZa mogen ontvangen.

De Autoriteit Persoonsgegevens heeft op 13 april 2016 beslist dat de NZa op grond van de Wmg en de Regeling medische persoonsgegevens mag verstrekken aan de ACM, het CBS en het ZIN. De AP constateert ook dat de Wmg en de Regeling geen mogelijkheid bieden om deze persoonsgegevens aan de Minister van VWS en aan het CPB te verstrekken.

De Autoriteit Persoonsgegevens heeft in 2016 het Centraal Planbureau en het Ministerie van VWS aangeschreven en verzocht de betreffende datasets te verwijderen. Het CPB is in gesprek met de AP hoe die data het beste verwijderd kunnen worden. De Minister van VWS heeft inmiddels de betreffende gegevens verwijderd.

I. Vragen over het memorandum van overeenstemming

Vraag 1. Wat is de reden dat de Kamer niet is ingelicht over de nieuwe constructie om via een Informatiemakelaar medische gegevens te gaan delen?

Vraag 2. Waarom is de Autoriteit Persoonsgegevens (AP) niet van het begin af aan betrokken bij deze nieuwe constructie om via een Informatiemakelaar medische gegevens te delen?

Vraag 3. Is de Informatiemakelaar constructie inmiddels getoetst door de Autoriteit Persoonsgegevens?

Vraag 23. Waarom is de instelling van de Informatiemakelaar of het voornemen daartoe niet actief ter toetsing of advies aan de Autoriteit Persoonsgegevens voorgelegd?

Vraag 40. Wat is er de reden van dat de Kamer niet geïnformeerd is over het «Memorandum van overeenstemming over informatievoorziening over de zorg» dat gesloten is tussen Zorgverzekeraars Nederland, Vektis, Inspectie voor de Gezondheidszorg, Nederlandse Zorgautoriteit, ZiN en het Ministerie van VWS?

Antwoord 1, 2, 3, 23 en 40. Het memorandum geeft een intentie aan om door samenwerking tot een manier van gegevenslevering te komen die efficiënt is en eenduidige betrouwbare gegevens oplevert. Er wordt daarin geen concrete vormgeving weergegeven. Er is op dit moment nog geen «Informatiemakelaar» en de gegevensuitwisseling is beperkt tot verstrekking van declaratiegegevens van Vektis aan de NZa en het ZIN. Deze gegevens zouden anders door ZIN en NZA op grond van hun wettelijke taak afzonderlijk bij verzekeraars worden opgevraagd wat leidt tot grotere administratieve lasten en grote kans op minder eenduidigheid. Bij de verdere concretisering zal de Autoriteit Persoonsgegevens worden betrokken. Zodra beleidskeuzes aan de orde zijn, zal de Kamer daarbij betrokken worden.

Vraag 4. Met welk(e) doel(en) worden medische gegevens gedeeld via deze Informatiemakelaar? Maakt fraudeopsporing hier deel van uit?

Antwoord 4. Er is op dit moment nog geen «Informatiemakelaar». De gegevens die gedeeld worden (van Vektis aan de NZa en het ZIN) zijn gegevens over de zorguitgaven, in eerste instantie gepseudonimiseerde declaratiegegevens. Hieraan zit een medische component, bijvoorbeeld over de diagnose en de behandeling waarvoor de declaratie is verstuurd. De gepseudonimiseerde gegevens worden gebruikt voor de uitvoering van de wettelijke taken van deze overheidsorganisaties. Wat de NZa betreft gaat het om het maken van marktscans en voor fraudebestrijding. Het ZIN heeft de gegevens nodig voor zijn taken op het gebied van pakketbeheer.

Vraag 5. Welke partijen zijn erbij betrokken en op welke wijze hebben zij toegang tot welke gegevens? Hebben alle partijen dezelfde bevoegdheden?

Antwoord 5. De partijen die het memorandum hebben ondertekend (IGZ, NZa, ZIN, ZN, Vektis en VWS) hebben de ambitie uitgesproken om te werken aan een betere informatievoorziening over de zorguitgaven. Andere partijen zijn dus niet betrokken. Op dit moment is de gegevensuitwisseling beperkt tot verstrekking van gepseudonimiseerde declaratiegegevens door Vektis (onder verantwoordelijkheid van de zorgverzekeraars) aan de NZa en het ZIN. Zowel bij de huidige gegevensverstrekking als bij een toekomstige uitbreiding van de gegevensverstrekking geldt het volgende. Alleen overheidspartijen kunnen gepseudonimiseerde gegevens ontvangen voor zover dat noodzakelijk is voor de uitvoering van hun wettelijke taken. De gegevensoverdracht moet proportioneel zijn, voldoen aan het subsidiariteitsbeginsel en voldoen aan de wettelijke voorwaarden die aan de verwerking van dit soort gegevens worden gesteld.

Vraag 6. Hoe wordt de Informatiemakelaar gefinancierd? Hebben partijen die meer bijdragen meer bevoegdheden?

Antwoord 6. Er is nog geen «Informatiemakelaar». Bij de uitwerking van de volgende fasen zal ook de financiering worden vormgegeven.

Vraag 7. Wordt er op dit moment medische informatie uitgewisseld via de Informatiemakelaar? Zo ja, welke informatie met welke gegevens?

Antwoord 7. Er is nog geen «Informatiemakelaar». Op dit moment worden op basis van het memorandum via ZorgTTP gepseudonimiseerde declaratiegegevens van Vektis (onder verantwoordelijkheid van de zorgverzekeraars) geleverd aan de NZa en het ZIN.

Vraag 8. Is er voorzien in een procedure waarbij de patiënt bezwaar kan maken tegen het uitwisselen van zijn of haar gegevens?

Antwoord 8. Op grond van de Wet bescherming persoonsgegevens komt betrokkene wiens gegevens worden verwerkt een aantal rechten toe, zoals recht op informatie, recht op inzage, correctie en verwijdering, en in bepaalde gevallen recht op verzet. Op grond van de Wet bescherming persoonsgegevens gelden er in sommige gevallen ook uitzonderingen op deze rechten. Deze rechten en uitzonderingen gelden ook bij de uitwisseling van medische gegevens. Een specifieke procedure is derhalve niet vereist. In een dergelijke procedure is dan ook niet voorzien.

Vraag 9. In het memorandum staat dat gegevens worden gespeudonimiseerd. Waarom is er niet gekozen voor anonimisering van gegevens? Klopt het dat bij pseudonimisering gegevens indirect toch herleid kunnen worden tot een persoon?

Antwoord 9. Pseudonimisering mag niet worden gezien als synoniem van anonimisering.2

Bij het anonimiseren van gegevens moet de verwerking onomkeerbaar zijn. Gegevens kunnen alleen als geanonimiseerd worden aangemerkt als buiten twijfel staat dat zij niet of niet meer herleid kunnen worden tot een individuele persoon.

Bij het pseudonimiseren van gegevens wordt een bewerking toegepast die ertoe leidt dat de gegevens die een betrokkene direct identificeren worden vervangen door gegevens die de betrokkene niet rechtstreeks identificeren. Wie echter de sleutel bezit, kan de bewerking omkeren. Het gescheiden bewaren van sleutels en gegevens is dan ook van bijzonder belang. Bij pseudonimisering kunnen gegevens dus nog indirect herleid worden tot een persoon. Omdat pseudonimisering een omkeerbare bewerking is, moeten gepseudonimiseerde gegevens worden beschouwd als persoonsgegevens en vallen zij onder het regime van de Wet bescherming persoonsgegevens (Wbp).

Pseudonimisering kan een goede maatregel zijn om bijvoorbeeld beveiligingsrisico's te verkleinen, omdat de gegevens niet direct herleidbaar zijn. In het geval van de gegevensverstrekking door Vektis aan de NZa en het ZIN wordt het identificerende BSN tweemaal versleuteld. Een «trusted third party» voert de tweede versleuteling uit. Alleen wie beide sleutels bezit kan de bewerking omkeren. Hiermee wordt het risico op herleidbaarheid verminderd en worden beveiligingsrisico’s verkleind.

Om koppelingen tussen verschillende datasets te kunnen maken op het niveau van unieke verzekerden, volstaat het werken met anonieme gegevens vaak niet. De mogelijkheid om gegevens over dezelfde patiënt in de tijd te kunnen koppelen is in het kader van onderzoek en analyse bij de NZa en het ZIN nodig. Alleen dan is het mogelijk om verzekerden en daarmee patiëntenpopulaties in de tijd te volgen en hun zogenoemde zorgpaden en zorggebruik in beeld te brengen over de grenzen van sectoren en regio’s heen. Deze informatie is weer nodig om de juiste beleidsbeslissingen te kunnen nemen, onder meer in het kader van pakketbeheer. Op basis van een Privacy Impact Assessment (PIA) hebben de NZa en het ZIN ieder voor zich beoordeeld of de gegevensverwerking proportioneel is en of een geanonimiseerde verwerking van gegevens, bijvoorbeeld door aggregatie, hetzelfde resultaat zou kunnen bieden. Door te werken met gepseudonimiseerde gegevens kunnen gegevens wel gekoppeld worden, maar worden beveiligingsrisico’s ook verkleind.

Vraag 10. Start met de Informatiemakelaar de verkoop van Big Data in de zorg?

Antwoord 10. Nee. Dit is ook absoluut niet de intentie van de overeenstemming tussen IGZ, NZa, VWS, ZIN, ZN en Vektis.

Vraag 11. Met welke partijen is informatie gedeeld en welke informatie betrof dit?

Vraag 14. Is er ook informatie uitgewisseld met commerciële partijen?

Antwoord 11 en 14. Op dit moment zijn uitsluitend gepseudonimiseerde declaratiedata door Vektis aan de NZa en het ZIN geleverd. Aan VWS, IGZ en ZN is geen informatie geleverd. De geleverde informatie is noodzakelijk voor de uitvoering van de wettelijke taken door NZa en ZIN.

Vraag 12. Welke voorwaarden worden aan de distributie van deze gegevens gesteld?

Antwoord 12. Omdat de distributie van gegevens gezien moet worden als een verwerking van persoonsgegevens, dient de verwerking te voldoen aan de eisen van de Wbp. Zo mogen persoonsgegevens alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt. Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld, en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn. De gegevensverwerking moet gebaseerd zijn op één van de in de Wbp genoemde grondslagen. Verder mogen persoonsgegevens niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. De verantwoordelijke moet passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.3 Daarnaast stelt de Wbp extra zware eisen voor het verwerken van bijzondere persoonsgegevens (zoals medische gegevens).4

Vraag 13. Wordt er voor de distributie betaald? Zo ja, is het niet onwenselijk dat een toezichthouder geld ontvangt voor data die zij verzamelt?

Antwoord 13. Er wordt niet betaald voor de distributie van de informatie.

Vraag 20. Wanneer bent u op de hoogte gesteld van het delen van deze informatie?

Antwoord 20. Al jaren wordt gepseudonimiseerde declaratie-informatie door Vektis aan de NZa en het ZIN geleverd. De gesprekken om die informatiedeling efficiënter en op een meer eenduidige manier te laten verlopen is gestart in het kader van de stuurgroep Verbetering Informatievoorziening Zorguitgaven. Voor de uitvoering van het pakketbeheer heeft het ZIN eind 2014 aangegeven meer gedetailleerde declaratiegegevens te willen ontvangen over de huisartsenzorg en de medisch-specialistische zorg. Maar niet alleen deze signalen, maar ook de aanbevelingen die door diverse fracties zijn gedaan, hebben mij aanleiding gegeven om samen met partijen een efficiencyslag te slaan.

Vraag 24. Bent u van mening dat voorafgaand aan wijzigingen in het beleid rondom het delen van mogelijk privacygevoelige informatie de Autoriteit Persoonsgegevens daarover om advies dient te worden gevraagd? Zo ja, waarom is dit hier niet gebeurd?

Antwoord 24. Een organisatie die persoonsgegevens verwerkt, moet dit, behoudens bepaalde uitzonderingen, melden bij de Autoriteit Persoonsgegevens. Dat geldt ook voor wijzigingen in de verwerking. Als een functionaris gegevensbescherming (FG) is aangesteld, dan kan de organisatie de verwerkingen bij de FG melden in plaats van bij de Autoriteit Persoonsgegevens. Zie verder het antwoord op vraag 2.

Vraag 32. Wie is de Informatiemakelaar?

Antwoord 32. De «Informatiemakelaar» bestaat nog niet. De uitwerking van het concept «Informatiemakelaar» is onderhanden en dit gebeurt op zorgvuldige wijze, rekening houdend met wet- en regelgeving.

Vraag 33. Op welke manier wordt de zorgdata uit Vektis en het DIS bij de Informatiemakelaar opgeslagen, gearchiveerd en beschermd?

Antwoord 33. De «Informatiemakelaar» bestaat nog niet. In de uitwerking die onderhanden is, is als uitgangspunt genomen dat er geen nieuw «datahuis» wordt gecreëerd, waar data worden opgeslagen.

Vraag 34. Heeft u zicht op wat de vijf partijen (ZN, Vektis, NZa, IGZ en ZiN) doen met de gegevens die zij hebben gekregen uit de overeenkomst om breder data te kunnen delen en ontvangen?

Antwoord 34. Van de partijen die de overeenkomst hebben ondertekend hebben alleen de NZa en het ZIN gegevens ontvangen. Dat betreft declaratiegegevens die door ZorgTTP gepseudonimiseerd zijn. De NZa en het ZIN gebruiken die gegevens voor de uitvoering van hun wettelijke taken. Dit betekent dat de NZa de gegevens gebruikt voor het maken van marktscans en voor fraudebestrijding. Het ZIN gebruikt de gegevens voor zijn taken op het gebied van pakketbeheer.

Vraag 35. Zijn alle gegevens over patiënten van de vijf partijen (ZN, Vektis, NZa, IGZ en ZiN) opgeslagen in Nederland? Of zijn gegevens door het delen aan derde partijen ook buiten Nederland opgeslagen?

Antwoord 35. De gepseudonimiseerde declaratiegegevens zijn ontvangen door de NZa en het ZIN. Zij slaan hun gegevens op in Nederland. Voor de volledigheid: ook VWS, ZN en IGZ slaan hun gegevens op in Nederland.

Vraag 36. Kunt u aangeven wat de reden en het doel is geweest om met deze partijen een «memorandum» te sluiten, en op welke wijze er rekening is gehouden met de wet- en regelgeving rond gegevensuitwisseling in de zorg?

Antwoord 36. Het doel is meer efficiëntie (lagere administratieve lasten) en meer eenduidigheid van de cijfers. De wet- en regelgeving rond gegevensuitwisseling in de zorg heeft hierbij steeds centraal gestaan. Door het gezamenlijk organiseren van de gegevensuitwisseling wordt de zorgvuldige naleving van de wet- en regelgeving juist bevorderd, omdat het voldoen aan de wet- en regelgeving een essentieel onderdeel is van de voorstellen om gegevens uit te wisselen.

Vraag 37. In hoeverre gaat de gegevensuitwisseling zoals beschreven in het «memorandum» een bijdrage leveren aan de gewenste registratie aan de bron, de afname van de administratieve last en de wens van de Kamer om waar dat kan meer zorgdata open en toegankelijk te delen?

Antwoord 37. Een van de doelen van de gegevensuitwisseling die in algemene termen in het memorandum is beschreven is de afname van administratieve lasten. De uitwerking zou uiteindelijk kunnen leiden tot een beter gebruik van gegevens die aan de bron worden vastgelegd (eenmalige vastlegging, meermalig gebruik). Ook zou in de toekomst consistente informatie van verschillende bronnen aan een breder publiek, bij voorkeur in de vorm van open data, kunnen worden aangeboden. Daarbij gaat het uiteraard om informatie die anoniem is en die geen risico’s opleveren voor de bedrijfsvertrouwelijkheid, zoals nu ook informatie uit het DIS via opendisdata.nl en van Vektis-gegevens via vektis.nl worden aangeboden.

Het memorandum is een eerste stap; het begint met de wil van betrokken partijen om hierin samen te werken.

Vraag 38. Op welke wijze wordt de Autoriteit Persoonsgegevens (AP) nu verder betrokken bij de uitwerking van plannen rond de inrichting van de «Informatiemakelaar»?

Antwoord 38. Op het moment dat de vormgeving concreet wordt, wordt de Autoriteit Persoonsgegevens betrokken.

Vraag 39. Op welke wijze wordt door alle betrokken partijen onderzocht – of binnen de kaders zoals die in de wet zijn vastgelegd en door de AP wordt getoetst – toch mogelijkheden bestaan om de ambities uit het «memorandum» te verwezenlijken?

Antwoord 39. Bij de uitwerking van de ambities in het memorandum staat steeds het voldoen aan de wet- en regelgeving centraal. Hierbij wordt gebruik gemaakt van de deskundigheid die bij de verschillende organisaties aanwezig is. Op het moment dat de vormgeving concreet wordt, wordt de Autoriteit Persoonsgegevens betrokken.

Vraag 41. Wanneer is voor het eerst gesproken over het sluiten van dit memorandum?

Antwoord 41. Er is veel gesproken over betere informatie-uitwisseling, ook in diverse Kamerdebatten. In de zomer van 2015 is voor het eerst geopperd dat de samenwerking in een memorandum zou kunnen worden gevat.

Vraag 42. Zijn er politieke partijen geïnformeerd over dit memorandum en/of het voornemen ervan? Zo ja, welke en wanneer?

Antwoord 42. Nee, er zijn geen politieke partijen geïnformeerd.

Vraag 43. Welke externe partijen zijn geraadpleegd over het opzetten van een Informatiemakelaar en/of de invulling daarvan?

Naast de ondertekenende partijen zijn geen externe partijen geraadpleegd. De «Informatiemakelaar» is er ook nog niet, deze is nog in ontwikkeling. Wel is het memorandum in december 2015 toegelicht in het Informatieberaad.

Vraag 44. Is een «nieuwe stap» in de informatievoorziening, die een «unieke kans» biedt voor een «duurzame oplossing» iets wat niet aan de Kamer gemeld hoeft te worden5?

Antwoord 45. Het memorandum is op zichzelf geen duurzame oplossing, maar de uitgesproken intentie is een stap op weg naar een duurzame oplossing. Daarbij gaat het om de problemen van de hoge administratieve lasten bij de gegevensverzameling en het gebrek aan eenduidigheid bij de gegevens.

Vraag 46. Kunt u verslagen van het gesprek dat de betrokken partijen hebben gehad voordat werd besloten tot het memorandum aan de Kamer zenden?

Antwoord 46. Er is geen verslag van de bijeenkomst. Het memorandum is op zichzelf een goede weergave van de conclusie van het gesprek.

Vraag 47. Wanneer zijn de eerste stappen gezet om te komen tot het voorstel tot de «nieuwe stap»?

Antwoord 47. De discussie om die informatiedeling efficiënter en op een meer eenduidige manier te laten verlopen is gestart in het kader van de stuurgroep Verbetering Informatievoorziening Zorguitgaven. In mijn brief van 4 juli 2013 over dit onderwerp (Kamerstuk 29 248, Nr. 254) heb ik gemeld dat ik om een betere verklaring van de ontwikkelingen in de zorguitgaven te bereiken, naast de informatie uit Zorgprisma ook wil onderzoeken in hoeverre informatie waarover de Nederlandse Zorgautoriteit (NZa) en het College Zorgverzekeringen (CVZ) beschikken, kan worden ontsloten. In dezelfde brief heb ik gewezen op de grote hoeveelheid informatie die wordt uitgevraagd bij de zorgaanbieders en bij de zorgverzekeraars, op de veelheid aan begrippen en dat een situatie is ontstaan met relatief hoge administratieve lasten, die niet de gewenste transparantie oplevert. Dit alles was juist voor de zorgverzekeraars en de zorgaanbieders die deelnamen aan de klankbordgroep bij de stuurgroep Verbetering Informatievoorziening Zorguitgaven reden om erop te wijzen dat hier verbeteringen gewenst waren. De situatie was dat NZa en CVZ beide cijfers verzamelden, die voor een belangrijk deel van dezelfde bronnen afkomstig waren, maar op verschillende momenten, volgens verschillende definities en op verschillende manieren. Zo zijn de gesprekken begonnen over verbetering van de organisatie van de gegevensverzameling, met als doel meer efficiëntie (lagere administratieve lasten) en meer eenduidigheid van de cijfers.

Vraag 48. Wie heeft de Informatiemakelaar ten behoeve van informatiedeling bedacht? Waren daar ook externe partijen bij betrokken, wellicht doormiddel van het uitbrengen van een advies?

Antwoord 48. De «Informatiemakelaar» is een werktitel. Alle ondertekenaars van het memorandum zijn daarbij betrokken geweest. In de diverse besprekingen in uw Kamer is door leden van de Kamer ook wel gesproken over een «informatiehuis». De vormgeving van de «Informatiemakelaar» is nog niet gestart. Zoals ik in de inleiding heb aangegeven, zal ik bij de invulling daarvan de Autoriteit Persoonsgegevens en de Tweede Kamer nauw betrekken.

Vraag 49. Hebben de betrokken partijen zich gerealiseerd dat «structurele toegang tot informatie die zij nodig hebben voor hun wettelijke taken» een zeer grote stap is?

Antwoord 49. Ja. Daarom wordt ook veel aandacht besteed aan wat binnen de wettelijke taak en wet- en regelgeving met betrekking tot verwerking van (bijzondere) persoonsgegevens mogelijk is en worden in de huidige leveringen alleen declaratiegegevens gedeeld met overheidspartijen die daar op basis van hun wettelijke taken recht op hebben, met alle benodigde waarborgen voor bescherming van de privacy. Alleen in de vormgeving van de levering is een versimpeling doorgevoerd.

Vraag 50. Waarom hebben de betrokken partijen geen advies gevraagd van de Autoriteit Persoonsgegevens over de structurele toegang tot de informatie «die zij nodig hebben voor de uitvoering van hun wettelijke taken»?

Antwoord 50. Over de vormgeving van de structurele toegang tot de informatie die de overheidspartijen nodig hebben voor de uitvoering van hun wettelijke taken zijn nog geen conclusies getrokken. Zodra dit in het vervolg van de samenwerking tussen partijen aan de orde is, ligt het voor de hand de Autoriteit Persoonsgegevens en de Kamer te betrekken.

Vraag 51. Welke wettelijke taken worden bedoeld?

Antwoord 51. De NZa zijn in de Wet marktordening gezondheidszorg onder andere taken opgedragen als: markttoezicht, marktontwikkeling en tarief- en prestatieregulering en toezicht op de rechtmatige uitvoering van de Zorgverzekeringswet. In dat kader gebruikt de NZa de informatie voor analyses die nodig zijn voor de marktscan en voor fraudebestrijding.

Het Zorginstituut heeft onder andere pakketbeheer als taak. Het gebruik van de gepseudonimiseerde declaratiegegevens zijn noodzakelijk voor de uitvoering van die taak.

Vraag 52. Waarom is een «vertrouwd, onafhankelijk en zelfstandig orgaan en daarmee de vertrouwde intermediair tussen de aanbieders en afnemers van informatie» nodig? Is het de bedoeling dat dit orgaan privaat of publiekrechtelijk ingebed wordt?

Antwoord 52. Hoe de vormgeving en de inbedding van de «Informatiemakelaar» eruit komt te zien moet nog worden uitgewerkt. In het memorandum zijn uitgangspunten vermeld waaraan die zou moeten voldoen. Om succesvol te kunnen optreden als intermediair tussen aanbieders en afnemers van informatie, is vertrouwen van belang. Daarbij staat de partijen voor ogen dat de «Informatiemakelaar» onafhankelijk en zelfstandig is en dus niet een integraal onderdeel van één van de partijen.

Vraag 53. Hoe ver is men gevorderd met de «doorontwikkeling van de Informatiemakelaar op het gebied van takenpakket, financiering, besturing, bevoegdheden en verantwoordelijkheden»?

Vraag 58. Waarom wordt onder punt 3 van de uitgangspunten gesproken over verantwoording, ook politieke, terwijl de afspraken om te komen tot de Informatiemakelaar noch met derden, noch met de politiek gedeeld zijn?

Antwoord 53 en 58. Momenteel worden gedachten gewisseld over de volgende stap. Deze gedachten hebben nog niet geleid tot concrete voorstellen voor de vormgeving. Zodra die aan de orde zijn, is het logisch de Kamer en de Autoriteit Persoonsgegevens ook daarbij te betrekken.

Over de vormgeving van de «Informatiemakelaar» zijn nog geen concrete voorstellen uitgewerkt. Om die reden kon ook niets worden gedeeld.

Vraag 54. Welke invulling is besproken als het gaat over bronnen en afnemers die aangesloten kunnen worden bij de Informatiemakelaar? De zin «Klein beginnend, maar groter denkend, werken de partijen samen aan de doorontwikkeling van de Informatiemakelaar» suggereert dat er verschillende opties op tafel liggen, welke zijn dat?

Antwoord 54. Het concept van de «Informatiemakelaar» wordt uitgewerkt aan de hand van de levering van data door Vektis aan de partijen die dat nodig hebben voor hun wettelijke taken. Dit wordt bedoeld met «klein beginnen». De route voor datalevering door Vektis via een trusted third party voor de benodigde pseudonimisering wordt in deze fase geïmplementeerd. Daarbij wordt een werkwijze ontwikkeld die de administratieve lasten voor de leverende partijen (zorgverzekeraars, via Vektis) reduceert, nieuwe datahuizen vermijdt, mogelijkheden tot het zo efficiënt mogelijk uitvoeren van de wettelijke taak van de betrokken ZBO’s optimaliseert en het nakomen van wet- en regelgeving verzekert. Als deze werkwijze voldoende is uitgekristalliseerd en effectief blijkt, is het denkbaar dat ook andere databehoeften die ZBO’s hebben voor hun wettelijke taken op een vergelijkbare wijze kunnen worden ingericht, om op een zelfde wijze ook voor andere dataleveranciers, binnen de geldende wet- en regelgeving verdergaandereductie van administratieve lasten te realiseren. Bij die verdere uitwerking zullen zoals gezegd de Kamer en de Autoriteit Persoonsgegevens worden betrokken.

Vraag 55. Wat is de «nader te definiëren informatieset (basisbestand of voorloper daarvan)» dat per 1 januari 2016 beschikbaar is gesteld aan betrokken partijen?

Antwoord 55. De informatiesets die per 1 januari 2016 zijn geleverd aan de NZa en het ZIN betreffen declaratiegegevens huisartsenzorg en medisch specialistische zorg, en verzekerdengegevens (gepseudonomiseerde identificatie, leeftijd, geslacht, 4-cijferige postcode, basis verzekerd ja/nee). Dit zijn overigens gegevens die ook in eerdere jaren al beschikbaar waren voor de NZa.

Vraag 56. Is het de bedoeling dat de Informatiemakelaar informatie gaat schakelen of verzamelen en verspreiden? Is de Informatiemakelaar een soort van schakelpunt?

Antwoord 56. De gedachten hierover zijn nog niet uitgekristalliseerd. De «Informatiemakelaar» gaat niet zelf verzamelen of verspreiden. De «Informatiemakelaar» beoogt een waarborg te zijn dat de datalevering van een partij aan een andere voldoet aan wet- en regelgeving en tevens voldoet aan alle relevante actuele randvoorwaarden.

Vraag 57. Kunnen persoonlijke en medische gegevens worden uitgewisseld, terwijl daarvoor nooit toestemming is gegeven?

Antwoord 57. Op grond van de Wet bescherming persoonsgegevens (Wbp) moet er een grondslag zijn voor het verwerken van (medische) persoonsgegevens. Toestemming van betrokkene is een grondslag. Naast toestemming geeft de Wbp limitatief een aantal andere grondslagen aan voor de gegevensverwerking.6 Zonder toestemming van betrokkene kunnen dus (medische) persoonsgegevens worden verwerkt, mits de verwerking gebaseerd kan worden op één van de andere grondslagen in de Wbp.

Vraag 59. Wat wordt onder 10 bedoeld met een basisbestand zonder toestemmingsvraag?

Antwoord 59. Het gaat hier niet om toestemming van de betrokkene wiens data onderdeel uitmaken van de uit te wisselen dataset. Hier wordt gedoeld op de afstemming tussen de gegevensleverende organisatie en de «Informatiemakelaar». Op dit moment is dit alleen Vektis, zonder tussenkomst van de «Informatiemakelaar». Het onder 10 beschreven uitgangspunt vergt nog nadere uitwerking wanneer de Informatiemakelaarsfunctie wordt uitgewerkt. In het kader van de administratieve lastenverlichting, is het doel om in ieder geval te voorkomen dat voor elke uitvraag van een bestand met soortgelijke gegevens bij een bekende organisatie opnieuw afspraken gemaakt moeten worden over de condities en wijze van uitlevering en beveiligingswaarborgen bij de uitlevering, zoals vaak beschreven in bewerkersovereenkomsten. Wel dient steeds door de vragende partij gekeken te worden naar de proportionaliteit en de grondslag van de informatie-uitvraag en -verwerking, bijvoorbeeld door het doen van een Privacy Impact Assessment, alvorens een nieuwe basisset of specifieke uitvraag aan gegevens wordt gedefinieerd.

Vraag 60. Waarom moet over de financiering van de Informatiemakelaar nog besloten worden? Hoe kan dit orgaan «door alle partijen vertrouwd» worden als er private financiering nodig is?

Vraag 63. Klopt de analyse dat de Informatiemakelaar het mogelijk maakt dat zorgverzekeraars informatie van andere zorgverzekeraars krijgen, terwijl dit nu niet mag in verband met risicoselectie?

Vraag 64. Wat zijn precies de spelregels die Vektis nu hanteert voor directe of indirecte inzage van zorgverzekeraars in de gegevens van andere zorgverzekeraars?

Antwoord 63 en 64. Zorgverzekeraars mogen geen informatie van andere individuele zorgverzekeraars inzien. In uitzonderlijke gevallen krijgen enkele functionarissen inzicht in enkele gegevens van andere zorgverzekeraars. Het aanleveren van deze gegevens verloopt om efficiency-redenen via Vektis. Dit gebeurt na toetsing op rechtmatigheid en proportionaliteit.

Indien een zorgverzekeraar een sterk vermoeden heeft dat een zorgaanbieder onrechtmatig declareert, kan dat bijvoorbeeld aanleiding zijn om aanvullende informatie aan te vragen omtrent deze zorgaanbieder. Vektis levert, namens alle zorgverzekeraars de gecombineerde informatie aan bij het Kenniscentrum Fraudebeheersing in de Zorg. Binnen dit kenniscentrum wordt deze informatie dan gedeeld. In het Kenniscentrum werken alle Nederlandse zorgverzekeraars samen om fraudezaken beter te stroomlijnen en de ervaringen met fraude om te zetten in bruikbare analyses en aanbevelingen voor verbetering.

Vraag 65. Wie kan nu de Vektis data inzien en analyseren?

Antwoord 65.Tot de datawarehouse van Vektis, waarin de gegevens gepseudonimiseerd zijn opgeslagen, hebben uitsluitend medewerkers van Vektis toegang die hiertoe geautoriseerd zijn. Alle medewerkers van Vektis hebben voordat zij met hun werkzaamheden mogen beginnen een geheimhoudingsverklaring voor onbepaalde tijd getekend.

Externe partijen (zoals onderzoekers van het NIVEL en RIVM) mogen delen van bepaalde zorgdatasets analyseren, als de zorgverzekeraars daarvoor toestemming hebben gegeven. Het gaat dan om gepseudonimiseerde data die op onderdelen geaggregeerd zijn (bijvoorbeeld geboortejaar in plaats van geboortedatum en postcodecijfers in plaats van volledige postcode). Deze data moet in een afgeschermde omgeving worden geanalyseerd. De rapportages die op basis daarvan worden uitgebracht zijn geanonimiseerd.

Verder worden gegevens geleverd aan partijen die vanwege een wettelijke grondslag de gegevens mogen ontvangen. De gegevens krijgen zij voorzover dit proportioneel is en onder strikte voorwaarden.

Vraag 66. Waarom stelt de Nederlandse Zorgautoriteit op haar website dat het artikel in de Volkskrant «onjuist» is en dat het om aanvragen van afzonderlijke partijen gaat, terwijl het memorandum spreekt van «structureel toegang tot»?

Antwoord 66. Het artikel in de Volkskrant suggereert dat er vrijelijk data worden uitgewisseld tussen de betrokken partijen. Dat is onjuist. Met «structureel toegang tot» wordt bedoeld dat er structureel wordt voorzien in de databehoefte voor wettelijke taken, van elk van de betrokken partijen. Waar verschillende partijen dezelfde data nodig hebben (zij het voor verschillende wettelijke taken) dan worden die verzameld uit één dataset, die vervolgens separaat aan de rechthebbende partijen wordt verschaft.

Vraag 69. Wat is het handhavings- en sanctiekader voor het geval dat een professional medische gegevens van een persoon lekt of onterecht deelt? Wat is het handhavings- en sanctiekader wanneer een zorgverzekeraar onterecht in medische gegevens kijkt en of ze deelt?

Antwoord 69. De regels voor de omgang met persoonsgegevens en bijzondere persoonsgegevens, zoals medische gegevens, zijn in Nederland zijn vastgelegd in de Wbp. De Autoriteit Persoonsgegevens (AP) en Inspectie voor de Gezondheidszorg (IGZ) hebben een samenwerkingsprotocol waarin zij wederzijdse afspraken hebben gemaakt over de wijze van samenwerking voor het uitoefenen van toezicht op de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer binnen de gezondheidszorg. Dit protocol is op de websites van beide organisaties gepubliceerd. De IGZ zal zich bij het uitoefenen van haar bevoegdheden primair richten op gevallen waar het zwaartepunt ligt op de kwaliteit van zorgverlening. De AP zal zich bij het uitoefenen van zijn bevoegdheden primair richten op gevallen waar het zwaartepunt in de toepassing van bepalingen van de Wbp ligt.

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de AP zodra zij een ernstig datalek hebben. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen of onrechtmatige verwerking van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wbp). Een wettelijke verplichting om een datalek of ander incident aangaande de vertrouwelijkheid van medische informatie te melden bij de IGZ is er niet. Niettemin stelt de inspectie er wel prijs op hierover door de zorgaanbieder geïnformeerd te worden.

Vraag 70. Is de regering bereid de ontwikkeling van de Informatiemakelaar stil te leggen? Zo nee, waarom niet?

Antwoord 70. Nee. Deze ontwikkeling is erop gericht om de informatie-uitwisseling die nodig is voor het uitvoeren van de wettelijke taken van overheidspartijen efficiënter en eenduidiger te maken. Daarmee wordt tegemoetgekomen aan een breed levende wens in de zorg en in de Kamer. Zoals eerder aangegeven dient de ontwikkeling zich af te spelen binnen de wettelijke kaders en op het moment dat de concretisering van de «Informatiemakelaar» aan de orde is, zal ik daarover in overleg treden met de AP.

II. Vragen over gegevensleveringen uit het DIS

Vraag 15. Wat is de wettelijke grondslag voor het verspreiden van gegevens uit het DIS?

Vraag 16. Is voor het verspreiden van gegevens uit het DIS met de verschillende partijen een bewerkersovereenkomst gesloten?

Antwoord 16. Een bewerkersovereenkomst voor de DIS-gegevens is niet aan de orde omdat de NZa de DIS-gegevens zelf verwerkt en niet laat bewerken. Wanneer gegevens wel worden verwerkt door een andere partij, wordt met deze partij door de verantwoordelijke (degene die opdracht geeft tot de verwerking) een bewerkersovereenkomst gesloten, zoals de Wbp dat voorschrijft.

Vraag 17. Welke beveiligingseisen zijn er voor het beschermen van gegevens uit het DIS?

Met de genomen maatregelen wordt voldaan aan de geldende beveiligingseisen.

Vraag 18. Hoe vaak zijn gegevens uit het DIS verspreid en hoeveel geld is daarmee gemoeid?

Voor alle leveringen geldt dat de verstrekte gegevens gepseudonimiseerd zijn. De gegevens betreffen de geleverde zorg met bijbehorende kenmerken van de patiënt, de diagnosecategorie en gegevens over de zorgverzekeraar en over de zorgaanbieder. De postcodegegevens van de patiënt zijn maximaal de vier cijfers van de postcode. De geboortedatum is nooit volledig opgenomen, alleen het geboortejaar.

Vraag 19. Bent u bereid het verhandelen van medische gegevens te verbieden?

Antwoord 19. Oneigenlijk gebruik van bijzondere persoonsgegevens, zoals medische gegevens, is niet toegestaan. Het verhandelen van data is een verwerking van persoonsgegevens en moet dus voldoen aan de eisen van de Wbp. De verwerking van medische persoonsgegevens is in principe verboden (artikel 16 Wbp) tenzij de verwerking geschiedt binnen een van de uitzonderingen als gegeven in artikel 21 dan wel artikel 23 Wbp.

Binnen de afspraken in het memorandum worden geen persoonsgegevens verhandeld. Informatie wordt alleen in het kader van een wettelijke taak aan overheidspartijen verstrekt.

Vraag 21. Op welke wijze wordt toegezien op de rechtmatigheid van het delen van informatie door de Nederlandse Zorgautoriteit (NZa)?

Antwoord 21. De NZa heeft voor het verwerken van persoonsgegevens «gedragsregels omgang met persoonsgegevens» opgesteld. De NZa ziet erop toe dat die in acht worden genomen.

Met behulp van een door de verwerker ingevulde Nota van Toelichting (NvT) worden de Security Officer (SO) en de Functionaris voor de Gegevensbescherming (FG) geïnformeerd over een voorgenomen verwerking van persoonsgegevens. Een FG is een bij de AP aangemelde interne toezichthouder op de verwerking van persoonsgegevens. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens. De FG heeft, anders dan de AP, geen formele sanctiebevoegdheden. De organisatie is echter wel verplicht om de FG bepaalde controlebevoegdheden te geven (zoals het betreden van ruimtes en inlichtingen en inzage te vragen). De SO overziet de Informatiebeveiliging binnen een organisatie. SO & FG beoordelen de rechtmatigheid van de verwerking (deze moet passen binnen de wettelijke taken van de NZa en zijn opgenomen in het werkplan, ook wel bekend onder het begrip: doelbinding). Ook moet worden aangegeven in hoeverre er voldaan wordt aan de noodzakelijkheids- en proportionaliteitseis.

In de NvT moet inzicht worden gegeven wie verantwoordelijk is voor de verwerking en welke personen toegang moeten krijgen tot die data. Het is verboden om data te delen met andere collega’s dan opgesomd in de NvT of met externe derden. De FG archiveert alle NvT’s van goedgekeurde verwerkingen.

Data mogen alleen worden verwerkt indien deze op een rechtmatige wijze zijn verkregen.

Wanneer (bijzondere) persoonsgegevens worden verwerkt moet als gevolg van de motie-Franken, een Privacy Impact Assessment (PIA) worden uitgevoerd. Één van de doelen van de PIA is om vast te stellen in hoeverre in plaats van (bijzondere) persoonsgegevens gebruik gemaakt kan worden van minder privacygevoelige gegevens waarmee uiteindelijk eenzelfde resultaat kan worden gerealiseerd.

Het ingevulde model wordt ter toetsing voorgelegd aan SO & FG.

Indien direct identificeerbare medische persoonsgegevens worden verwerkt dan is de interne Procesbeschrijving verwerking medische persoonsgegevens met het oog op voldoen aan noodzakelijkheids- en proportionaliteitseis van toepassing.

De AP is de nationale toezichthouder op de naleving van de Wet bescherming persoonsgegevens. Ook ingeval een organisatie een FG heeft, behoudt de AP al zijn bevoegdheden.

Vraag 22. Kunt u uitleggen waarom de betrokken bedrijven of instanties informatie uit het DIS hebben kunnen krijgen, terwijl bijvoorbeeld op het verzoek van de Open State Foundation negatief wordt besloten?

Antwoord 22. Zoals in de beantwoording van vraag 15 is vermeld, is er voor de genoemde instanties een wettelijke grondslag om die gegevens en inlichtingen te verstrekken en te ontvangen die van belang kunnen zijn voor de uitvoering van hun wettelijke taken. Het verzoek van de Open State Foundation betrof een verzoek tot openbaarmaking van gegevens op grond van de Wet openbaarheid van bestuur. De rechtbank Amsterdam besliste op 30 oktober 2015 (AMS 14/6928) dat de Nederlandse Zorgautoriteit de gevraagde informatie terecht had geweigerd wegens het bedrijfsvertrouwelijk karakter. Open State Foundation heeft hoger beroep ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State, tegen het vonnis van de rechtbank Amsterdam. Er is nog geen datum voor de behandeling vastgesteld.

Vraag 26. Wat gaat er gebeuren met de gegevens die onterecht vanuit het DIS verstrekt zijn aan derde partijen die deze niet hadden mogen ontvangen?

Vraag 28. Op welke manier wordt de privacy van de personen van wie onterecht data zijn gewisseld weer geborgd? Worden gegevens vernietigd?

Antwoord 26 en 28. Deze vragen betreffen gegevensverstrekking uit het DIS voorafgaand aan het tijdstip (november 2015) waarop het CBP (thans de AP) zijn gewijzigde standpunt over gepseudonimiseerde gegevens bekend heeft gemaakt aan de NZa.

De Autoriteit Persoonsgegevens heeft op 13 april 2016 beslist dat de NZa op grond van de Wmg en de Regeling medische persoonsgegevens mag verstrekken aan de ACM, het CBS en het ZIN. De AP constateert ook dat de Wmg en de Regeling geen mogelijkheid bieden om deze persoonsgegevens aan de Minister van VWS en aan het CPB te verstrekken.

De Autoriteit Persoonsgegevens heeft in 2016 het Centraal Planbureau en het Ministerie van VWS aangeschreven en verzocht de betreffende datasets te verwijderen. Het CPB is in gesprek met de AP hoe die data het beste verwijderd kunnen worden. De Minister van VWS heeft inmiddels de desbetreffende gegevens verwijderd. Dit heeft de Minister tevens aan de AP gemeld. Het ging hier om gepseudonimiseerde gegevens uit het DIS ten behoeve van de analyse van declaratiegegevens met betrekking tot het hoofdbehandelaarschap in de geestelijke gezondheidszorg.

Vraag 27. In hoeverre is de privacy van personen in gevaar gekomen door het onterecht uitwisselen van gegevens?

Antwoord 27. De verstrekte gegevens betroffen gepseudonimiseerde data. Daardoor is het risico dat de privacy van de patiënt in gevaar zou komen zeer beperkt. Alleen degene die de sleutel bezit (niet zijnde de ontvangers van de gegevens, i.c. het CPB en het Ministerie van VWS) kan namelijk de pseudonimisering ongedaan maken.

Vraag 29. Hoe kan het zijn dat de NZa vanuit het DIS gegevens verstrekte aan derde partijen die deze gegevens niet hadden mogen ontvangen? Hoe is dit gebeurd?

Zie antwoorden op vragen 15 en 26.

Vraag 30. Kunt u aangeven wat het Ministerie van VWS en het CPB gedaan hebben met gegevens die zij uit het DIS verstrekt hebben gekregen?

Antwoord 30. Het CPB gebruikt de data uit DIS om na te gaan of het curatieve zorgstelsel doelmatig werkt en hoe de zorgverlening in Nederland beter en goedkoper kan. Het CPB heeft hiervoor een onderzoeksprogramma opgesteld: «Een doelmatigheidsagenda voor de zorg» dat mede gefinancierd wordt door het Ministerie van VWS en dat loopt van 2015 tot en met 2017. Het CPB onderzoekt of zorgaanbieder A doelmatiger zorg levert dan zorgaanbieder B. Zo’n vergelijking is alleen betrouwbaar als beide zorgaanbieders dezelfde typen patiënten hebben behandeld. Hiervoor is het noodzakelijk in het onderzoek te corrigeren voor individuele patiëntkarakteristieken.

Het is voor het CPB niet mogelijk om individuele personen in de data te herkennen. De anonimiteit is gewaarborgd doordat het persoonsnummer van de patiënt is versleuteld door de NZa, alleen het geboortejaar van de persoon is opgenomen in de data (en niet de dag en maand van de geboorte) en alleen het driecijferig postcodeniveau van de persoon is bekend bij het CPB.

Voor zover ik heb kunnen nagaan heeft VWS voor twee doelen gepseudonimiseerde persoonsgegevens ontvangen. In 2015 betreft dat gegevens om de tijdsbesteding en het beroep van hoofd- en medebehandelaren in de GGZ te analyseren met het oog op een norm voor het hoofdbehandelaarschap. Een dergelijke analyse kan inzicht bieden in welke beroepen in welke mate hoofdbehandelaar zijn en hoeveel tijd deze hoofdbehandelaren aan de zorg besteden. VWS heeft aan Casemix gevraagd de analyse van de gegevens uit te voeren en over de uitkomsten te rapporteren.

De Autoriteit Persoonsgegevens heeft het Centraal Planbureau en het Ministerie van VWS aangeschreven en verzocht deze datasets te verwijderen. Het CPB is in gesprek met Autoriteit Persoonsgegevens hoe de data het beste verwijderd kunnen worden. De gegevens die VWS voor dit doel heeft ontvangen zijn inmiddels verwijderd.

Naast de gegevens voor het bovenvermelde onderzoek om de tijdsbesteding en het beroep van hoofd- en medebehandelaren in de GGZ te analyseren, zijn ook voor onderzoek naar en uitvoering van de risicoverevening, essentieel onderdeel van de Zvw, gepseudonimiseerde gegevens vanuit de NZa geleverd aan het Ministerie van VWS.

Vraag 31. Kunt u het verschil tussen «pseudonimisering» en «anonimisering» duiden? Kunt u aangeven waarom er voor gegevens vanuit het DIS is gekozen voor «pseudonimisering» in plaats van anonimisering?

Zie voor het verschil tussen pseudonimisering en anonimisering het antwoord op vraag 9. Gepseudonimiseerde gegevens worden verstrekt als dat voor de uitvoering van de wettelijke taak noodzakelijk is. Voor bepaalde analyses is het niet voldoende om te beschikken over geanonimiseerde gegevens. Zie ook het antwoord op vraag 30.

Vraag 67. Hoe is het mogelijk dat NZa en VWS in het memorandum betogen dat het gaat om de uitvoering van wettelijke taken, terwijl de NZa van de Autoriteit Persoonsgegevens geen DIS-gegevens mag delen met het ministerie7?

Antwoord 67. Zie antwoorden op vragen 15 en 26.

Vraag 68. Op welke momenten heeft de NZa informatie gedeeld met het Ministerie van VWS en het College bescherming persoonsgegevens (CBP)? Welke informatie betrof dit? Kan de Kamer een overzicht krijgen?

Antwoord 68. Door de jaren heen heeft VWS diverse leveringen uit het DIS ontvangen. Veelal betreft het echter geen gepseudonimiseerde, maar geanonimiseerde gegevens. Voor zover ik heb kunnen nagaan heeft VWS voor twee doelen gepseudonimiseerde persoonsgegevens ontvangen. In 2015 betreft dat gegevens om de tijdsbesteding en het beroep van hoofd- en medebehandelaren in de GGZ te analyseren met het oog op een norm voor het hoofdbehandelaarschap. Voor onderzoek naar en uitvoering van de risicoverevening, essentieel onderdeel van de Zvw, zijn er gepseudonimiseerde gegevens vanuit de NZa geleverd aan het Ministerie van VWS.

Ik wil benadrukken dat deze leveringen volledig losstaan het memorandum en de Informatiemakelaar. De gegevensverstrekking uit het DIS na november 2015 aan het Ministerie van VWS is gebaseerd op de grondslag in de Zvw (artikel 89, eerste lid). Het ministerie heeft voldaan aan de door de NZa geëiste aanvullende waarborgen (geheimhouding, een ingevulde Privacy Impact Assessment en sluiten Bewerkersovereenkomst).

Deze gegevensverstrekking heeft plaatsgevonden ten behoeve van de vaststelling van regelgeving op het gebied van risicoverevening. De Zorgverzekeringswet (artikel 32, vierde lid, onderdeel c) schrijft voor dat de aan een vereveningscriterium gekoppelde bijdrage statistisch onderbouwd moet zijn. De statistische onderbouwing maakt het noodzakelijk dat de Minister beschikt over dit type gegevens uit het DIS.

Het gewijzigde standpunt van de AP over gepseudonimiseerde gegevens geeft aanleiding de processen en wetgeving rondom de gegevensverstrekkingen in het kader van onderzoek en uitvoering risicoverevening nader te bezien. Over de onderzoeken naar de risicoverevening, waar deze gegevens voor noodzakelijk zijn, wordt uw Kamer periodiek geïnformeerd (meest recent in oktober 2015, Kamerstuk 29 689, nr. 661). Indien aanvullende maatregelen nodig zijn om te voldoen aan de gewijzigde omstandigheden zal ik die vanzelfsprekend in gang zetten. Daarbij zal ik uiteraard de FG, de AP en andere relevante partijen betrekken.

De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers