Datum publicatie	Organisatie	Jaargang en nummer	Rubriek	Datum ondertekening
30-08-2017 09:00	Ministerie van Volksgezondheid, Welzijn en Sport	Staatscourant 2017, 48862	Besluiten van algemene strekking	22-08-2017

Regeling van de Minister van Volksgezondheid, Welzijn en Sport van 22 augustus 2017, kenmerk 1215986-166812-MC, houdende wijziging van de Regeling categorieën persoonsgegevens WMG in verband met de verstrekking van persoonsgegevens aan het Centraal Planbureau en een aantal tekstuele aanpassingen

De Minister van Volksgezondheid, Welzijn en Sport,

Gelet op artikel 65 van de Wet marktordening gezondheidszorg;

Gezien het advies van de Autoriteit Persoonsgegevens van 18 oktober 2016, kenmerk: ABCDE/12345;

Besluit:

ARTIKEL I

De artikelen 1 tot en met 5 van de Regeling categorieën persoonsgegevens WMG komen te luiden als volgt:

Artikel 1. Definities

1. In deze regeling wordt verstaan onder:

– bestuurder:

lid van raad van bestuur, raad van toezicht, eigenaar;

– CAK:

CAK, genoemd in artikel 6.1.1, eerste lid van de Wet langdurige zorg;

– categorie van persoonsgegevens:

een categorie als bedoeld in artikel 60 van de wet, onderscheiden in identificerende persoonsgegevens, medische persoonsgegevens en strafrechtelijke persoonsgegevens;

– Inspectie gezondheidszorg:

Staatstoezicht op de volksgezondheid;

– medewerker:

natuurlijk persoon, werkzaam ten behoeve van een zorgaanbieder of een ziektekostenverzekeraar;

– wet:

Wet marktordening gezondheidszorg;

– zorgautoriteit:

de Nederlandse Zorgautoriteit, genoemd in artikel 3 van de wet;
2. In deze regeling wordt onder zorgaanbieder mede verstaan degene bedoeld in artikel 37, achtste lid en artikel 44 van de wet, en een zorgaanbieder forensische zorg, bedoeld in artikel 1, eerste lid, aanhef en onder j, van het Interim-besluit forensische zorg.
3. In deze regeling wordt onder ziektekostenverzekeraar tevens verstaan degene bedoeld in artikel 44 van de wet.
4. In deze regeling wordt in artikel 2, onderdelen 4a, 8a, 10b, 10c, 10e en 13, artikel 3, onderdeel 4, artikel 4, onderdelen 1, 5 en 9, en artikel 5, onderdelen 1, 2, 3a, 4 en 7, onder ziektekostenverzekeraar tevens verstaan een verzekeraar die verzekeringen als zorgverzekering aanbiedt of uitvoert die niet aan het bepaalde bij of krachtens de Zorgverzekeringswet voldoen.
5. In deze regeling wordt in artikel 2, onderdeel 8a, en in artikel 5, onderdelen 2, 4, 5 en 7, onder zorgverzekeraar tevens verstaan een verzekeraar die verzekeringen als zorgverzekering aanbiedt of uitvoert die niet aan het bepaalde bij of krachtens de Zorgverzekeringswet voldoen.
6. In deze regeling wordt in artikel 2, onderdelen 7 en 8, en artikel 5, onderdelen 2 en 4, onder zorgverzekeraar tevens verstaan het CAK.
7. In de regeling wordt in artikel 2, onderdelen 9 en 10, en artikel 5, onderdelen 3, 4 en 8, onder Wlz-uitvoerder tevens verstaan het CAK.
8. In de regeling wordt in artikel 5, onderdelen 1, 3a, 5, 6 en 9, onder ziektekostenverzekeraar tevens verstaan het CAK.

Artikel 2

Voor de uitvoering van de hieronder aangegeven artikelen uit hoofdstuk 3 en 4 van de wet worden persoonsgegevens verwerkt indien en voor zover zij naar het oordeel van de zorgautoriteit voor die uitvoering noodzakelijk zijn en voor zover zij behoren tot de hieronder bij die artikelen vermelde categorieën van persoonsgegevens:

1. artikelen 16 en 17: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
2. artikel 18: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars;
3. artikel 19: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en persoonsgegevens behorend tot de categorieën identificerende en medische persoonsgegevens van consumenten;
4. artikel 20: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende consumenten, zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars;
4a. artikel 21: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
5. artikel 22: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars;
6. artikel 23: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
7. artikelen 24 en 25: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende bestuurders of medewerkers van zorgverzekeraars;
8. artikel 26: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van zorgverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
8a. artikel 27: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van zorgverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
9. artikelen 28 en 29: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende bestuurders of medewerkers van Wlz-uitvoerders;
10. artikel 30: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van Wlz-uitvoerders en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
10a. artikel 31: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van Wlz-uitvoerders en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
10b. artikelen 32 tot en met 35a, 36, 38 tot en met 40: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
10c. artikel 35b: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars;
10d. artikel 37: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende de natuurlijke of rechtspersonen bedoeld in artikel 37, eerste lid, aanhef en onder a tot en met d, en het achtste lid van de Wet marktordening gezondheidszorg, waaronder bestuurders of medewerkers van de hiervoor bedoelde rechtspersonen, zorgaanbieders en ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
10e. artikelen 41 tot en met 43: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende bestuurders of medewerkers van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorie identificerende persoonsgegevens van consumenten;
10f. artikelen 45 en 46: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
11. artikelen 48 tot en met 49d: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
12. artikelen 50 tot en met 56b: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
13. artikelen 57 en 58: persoonsgegevens behorend tot de categorie identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten.

Artikel 3

Voor de uitvoering van de hieronder aangegeven artikelen uit hoofdstuk 5 van de wet worden persoonsgegevens verwerkt indien en voor zover zij naar het oordeel van de zorgautoriteit voor die uitvoering noodzakelijk zijn en voor zover zij behoren tot de hieronder bij die artikelen vermelde categorieën van persoonsgegevens:

1. artikel 61: persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens ter uitvoering van de onder artikel 2 en 3 vermelde artikelen en voor zover de categorie van persoonsgegevens daarbij is vermeld;
2. artikel 61: persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens die noodzakelijk zijn voor de interne en externe controle van de naleving van een door de zorgautoriteit vastgestelde regeling door een op grond van artikel 61 van de wet door de zorgautoriteit aangewezen persoon en voor zover de categorie van persoonsgegevens daarbij is vermeld;
3. artikel 62: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende en identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
4. artikelen 63, 66 tot en met 69: persoonsgegevens behorend tot de categorieën identificerende- en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten.

Artikel 4

De zorgautoriteit verstrekt aan de in artikel 70 van de wet genoemde instanties persoonsgegevens indien en voor zover verwerking van die gegevens voor de uitoefening van hun taken en bevoegdheden noodzakelijk is en voor zover die gegevens behoren tot de hieronder bij die instanties vermelde categorieën van persoonsgegevens:

1. het Zorginstituut: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
2. het College sanering: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars;
3. de Inspectie gezondheidszorg: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
4. de Autoriteit Consument en Markt: persoonsgegevens behorend tot de categorie identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
5. De Nederlandsche Bank en de Stichting Autoriteit Financiële Markten: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende bestuurders of medewerkers van ziektekostenverzekeraars en verzekeraars als bedoeld in artikel 35, vijfde lid, van de wet;
6. het College bescherming persoonsgegevens en de FIOD-ECD: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders, ziektekostenverzekeraars en verzekeraars als bedoeld in artikel 35, vijfde lid, van de wet en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
7. de Gezondheidsraad, het Rijksinstituut voor de volksgezondheid en milieu, de Raad voor de Volksgezondheid en Samenleving en het Sociaal Cultureel Planbureau: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende zorgaanbieders;
8. het Centraal Planbureau: persoonsgegevens behorend tot de categorieën identificerende persoonsgegevens van zorgaanbieders en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
9. het Centraal Bureau voor de Statistiek: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten.

Artikel 5

Voor de uitvoering van de hieronder aangegeven artikelen uit hoofdstuk 6 van de wet worden persoonsgegevens verwerkt indien en voor zover zij naar het oordeel van de zorgautoriteit voor die uitvoering noodzakelijk zijn en voor zover zij behoren tot de hieronder bij die artikelen vermelde categorieën van persoonsgegevens:

1. artikelen 74 tot en met 76: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
2. artikel 77: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende bestuurders of medewerkers van zorgverzekeraars en persoonsgegevens behorende tot de categorieën identificerende, medische en strafrechtelijke gegevens van consumenten;
3. artikel 78: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende bestuurders of medewerkers van Wlz-uitvoerders en persoonsgegevens behorende tot de categorieën identificerende, medische en strafrechtelijke gegevens van consumenten;
3a. artikel 79: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
4. artikel 80: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende bestuurders of medewerkers van zorgverzekeraars en van Wlz-uitvoerders en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
5. artikel 81: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders,ziektekostenverzekeraars en van het CAK en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
6. artikel 82: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
7. artikel 83: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende bestuurders of medewerkers van zorgverzekeraars en van rechtspersonen als bedoeld in artikel 83, tweede lid, en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
8. artikel 84: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende bestuurders of medewerkers van Wlz-uitvoerders en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
9. artikel 85: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
10. artikel 86: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende bestuurders of medewerkers van zorgverzekeraars en van rechtspersonen als bedoeld in artikel 86, tweede lid, en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
11. artikelen 87 en 88: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende bestuurders of medewerkers van zorgverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
12. artikel 89: persoonsgegevens behorend tot de categorieën identificerende en strafrechtelijke persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten;
13. artikel 104: persoonsgegevens behorend tot de categorie identificerende persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en van ziektekostenverzekeraars.

ARTIKEL II

Deze regeling treedt in werking met ingang van de tweede dag na dagtekening van de Staatscourant waarin zij wordt geplaatst.

De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers

TOELICHTING

1. Inleiding

Algemeen

Deze regeling wijzigt de Regeling categorieën persoonsgegevens WMG (RCPWMG) en bevat het herstel van de mogelijkheid voor de Nederlandse Zorgautoriteit (NZa) om gepseudonimiseerde (persoons)gegevens aan het Centraal Planbureau (CPB) te verstrekken.

Daarnaast bevat de regeling een volledig bijgewerkte tekst van de artikelen 1 tot en met 5 van de regeling. Die bijwerking is noodzakelijk in verband met de correctie van een aantal tekstuele misslagen die bij wijziging van de regeling in het verleden abusievelijk zijn ontstaan, de naamswijziging van de Raad voor de Volksgezondheid en Zorg, de samenvoeging van de Gezondheidsraad en de Raad voor gezondheidsonderzoek, de taken van het CAK en vanwege de overgang van het DBC-Informatie Systeem (DIS) naar de NZa.

Met ingang van 1 mei 2015 is het landelijk DBC-Informatie Systeem (DIS) overgegaan van de privaatrechtelijke organisatie DBC-Onderhoud naar de NZa. Daarmee is het aantal gegevens bij de NZa vergroot en is de verwerking en verstrekking van persoonsgegevens uit het DIS ook gebonden aan de bevoegdheden die de NZa op basis van de Wet marktordening gezondheidszorg (WMG) in combinatie met de RCPWMG heeft.

Inhoudsopgave

Na de inleiding en inhoudsopgave vervolgt deze toelichting met een beschrijving van de aard en inhoud van de RCPWMG en de positie van de NZa en de minister bij deze regeling. De daarop volgende paragraaf beschrijft de toetsing door de NZa van verzoeken om gegevens. Paragraaf 4 gaat in op de uitspraak van de Autoriteit Persoonsgegevens (AP) betreffende de verwerking van gepseudonimiseerde persoonsgegevens. In paragraaf 5 komt de wettelijke grondslag voor de verwerking van persoonsgegevens door het CPB aan bod. Op het advies van de AP over de regeling wordt ingegaan in paragraaf 6. In de artikelsgewijze toelichting wordt ingegaan op de verschillende tekstuele aanpassingen.

2. Regeling categorieën persoonsgegevens WMG

De RCPWMG is gebaseerd op artikel 65 van de WMG. Die regeling geeft de categorieën van persoonsgegevens weer die de NZa voor de uitvoering van haar wettelijke taken en bevoegdheden mag verwerken en die de NZa mag verstrekken aan de in artikel 70 van de WMG genoemde instanties ten behoeve van de uitvoering van aan hen opgedragen wettelijke taken en bevoegdheden. Artikel 60 WMG onderscheidt de categorieën van persoonsgegevens in identificerende, medische en strafrechtelijke persoonsgegevens, conform de Wet bescherming persoonsgegevens (Wbp). De taken van de NZa zijn globaal omschreven in artikel 16 van de WMG. Die in artikel 16 opgedragen taken zijn verder bij of krachtens wet uitgewerkt, ook in andere wetgeving dan de WMG, zoals de Zorgverzekeringswet, de Wet langdurige zorg en de Wet kwaliteit klachten en geschillen gezondheidszorg. De verstrekking aan de in artikel 70 WMG genoemde instanties die dezelfde gegevens nodig hebben voor de uitoefening van hun taken als de NZa heeft tot doel het aantal gegevensuitvragen en daarmee de administratieve lasten bij de zorgaanbieders en ziektekostenverzekeraars zo veel mogelijk te beperken.

De NZa stelt zelf vast welke gegevens, waaronder persoonsgegevens en bijzondere persoonsgegevens, zij in voorkomende gevallen voor de uitvoering van haar onderscheiden taken moet verzamelen en verwerken. Dat kan per taak en van geval tot geval verschillen. Daarom is het voor de minister onmogelijk vooraf vast te leggen welke specifieke gegevens de NZa binnen de genoemde categorieën van persoonsgegevens voor haar taken verwerkt. Dat geldt ook voor gegevens welke de NZa aan de in artikel 70 WMG genoemde instanties mag en kan verstrekken. Alleen de NZa heeft het overzicht over de gegevens die bij haar berusten en die zij op grond van privacywetgeving en de WMG moet beschermen.

Al eerder is in reactie op advisering van het College bescherming persoonsgegevens1 in de toelichting bij de Tijdelijke regeling categorieën persoonsgegevens WMG2 en de Regeling categorieën persoonsgegevens WMG3 beschreven dat een vastlegging van een gelimiteerd aantal specifiek beschreven gegevens bij een kaderwet als de WMG niet past en dat met een indeling in categorieën persoonsgegevens zoals beschreven in de WMG moet worden volstaan.

Opgemerkt zij dat met de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG)4 moet worden bezien of de huidige beperking van de toepassing van persoonsgegevens vooraf door onderhavige regeling nog passend is. De huidige regeling is tot stand gebracht in een tijd dat digitale gegevensverwerking nog niet zo ver ontwikkeld was. In die tijd is gekozen voor een beperking vooraf tot de categorieën van persoonsgegevens die de NZa mag verwerken en verstrekken aan aanverwante overheidsorganisaties. De AVG gaat uit van een meer technische bescherming van persoonsgegevens door middel van ‘privacy by design’, ‘privacy by default’, privacy impact analyses, dataminimalisatie en door het vastleggen van de verwerkingen van persoonsgegevens. Daardoor is per verwerking een betere bescherming van persoonsgegevens mogelijk die ook per verwerking toetsbaar is. Dat past beter bij de situatie waarbij de NZa als zelfstandig bestuursorgaan zelf bepaalt welke gegevens, waaronder (bijzondere) persoonsgegevens, noodzakelijk zijn voor de uitvoering van haar taken. Daarbij past ook de toetsing door de NZa van aanvragen tot het verstrekken van gegevens aan de hand van een door de aanvrager in te leveren privacy impact analyse. Daarmee loopt de NZa alvast op de AVG vooruit.

3. Toetsing gegevensaanvragen door de NZa

Aanvragen aan de NZa tot levering van gegevens moeten worden beoordeeld met inachtneming van de meest actuele stand van de wetgeving. Dit betekent dat door de NZa steeds wordt beoordeeld of er een wettelijke grondslag bestaat voor levering van de gevraagde gegevens, maar ook of de verwerking van de gevraagde gegevens overigens aan de in de Wbp opgenomen voorwaarden en waarborgen voldoet. Omdat de NZa een zorgvuldige afweging moet maken voordat gegevens worden verstrekt aan instanties genoemd in artikel 70 van de wet, toetst de NZa de afgifte van die gegevens aan een verzoek van de vragende partij dat vergezeld moet gaan van een PIA 5. In die PIA komen alle aspecten met betrekking tot de bescherming van de persoonsgegevens aan de orde. Daaronder het doel van de verstrekking, de beoogde verwerking, de wettelijke grondslag van de verwerking en de wijze waarop de door de NZa te verstrekken gegevens zullen worden beschermd. De NZa beslist dan of gegevens, waaronder bijzondere persoonsgegevens worden verstrekt. Daarbij toetst de NZa ook aan de criteria noodzakelijkheid, proportionaliteit en subsidiariteit, zoals die uit het wettelijk kader voortvloeien. De gegevens die worden verstrekt kunnen op grond van die toetsing geanonimiseerd, gepseudonimiseerd dan wel tot een persoon herleidbaar zijn. Die keuze is afhankelijk van het antwoord op de vraag of dat noodzakelijk is voor de beoogde bewerking. Deze methodiek past uitstekend bij het beschermingsniveau van de Wbp (en straks de AVG) om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Gelet op het voorgaande is duidelijk dat het advies van de AP6 om in de regeling op te nemen welke gegevens het precies betreft niet kan worden gevolgd zonder het risico te lopen de uitvoering van wettelijke taken van de NZa of de in artikel 70 genoemde instanties te beperken dan te belemmeren. Daar tegenover staat dat de beoordeling van verzoeken tot verstrekking van gegevens door de NZa op basis van een PIA de best mogelijke bescherming biedt bij de verstrekking van persoonsgegevens aan de in artikel 70 WMG genoemde instanties7.

4. Verwerking gepseudonimiseerde persoonsgegevens en de RCPWMG

Uitspraak Autoriteit Persoonsgegevens

De AP heeft in een brief aan de NZa van 26 november 2015 bericht dat de gepseudonimiseerde gegevens uit het DIS voortaan als persoonsgegevens in de zin van de Wbp zijn aan te merken8. Het DIS is met ingang van 1 mei 2015 van DBC-Onderhoud (DBC-O) overgegaan naar de NZa. DBC-O verstrekte gespeudonimiseerde medische gegevens uit het DIS aan het CPB. De AP merkt op basis van haar bovenbedoelde gewijzigde opvatting die gepseudonimiseerde medische gegevens aan als medische persoonsgegevens. De AP volgt daarmee het onafhankelijke advies- en overlegorgaan van Europese privacy toezichthouders, de zogenaamde Artikel 29-werkgroep. Die werkgroep heeft op 10 april 2014 een opinie vastgesteld over anonimiseringtechnieken. De werkgroep bestaat uit de nationale privacy toezichthouders van de lidstaten van de Europese Unie en de European Data Protection Supervisor (EDPS). Tot het uitbrengen van de opinie over anonimiseringtechnieken was de opvatting dat persoonsgegevens zodanig kunnen worden gepseudonimiseerd dat geanonimiseerde gegevens ontstaan, doch niet dat pseudonimisering per definitie leidt tot anonimisering9. Er werd – ook door de gezamenlijke toezichthouders – van uit gegaan dat een persoonsgegeven na anonimisering of pseudonimisering geen persoonsgegeven meer vormde in de zin van de Europese privacyrichtlijn (95/46/EG). De Artikel 29-werkgroep komt daarop terug in de bovenbedoelde opinie voor wat betreft pseudonimisering.

De opvatting van bedoelde werkgroep is dat gegevens de status van persoonsgegeven slechts verliezen als deze persoonsgegevens worden geanonimiseerd, die verwerking onomkeerbaar is en de geanonimiseerde gegevens ook door koppeling met andere gegevens niet herleidbaar zijn tot de individuele persoon. Na een onomkeerbare anonimisering is er geen sprake meer van persoonsgegevens in de zin van de Europese privacyrichtlijn, omdat herleiding tot de individuele persoon dan onmogelijk is. De werkgroep maakt in haar opinie duidelijk dat pseudonimiseren geen anonimiseringsmethode is, maar slechts een beveiligingsmaatregel om privacy risico’s te verkleinen. Gepseudonimiseerde persoonsgegevens zijn, omdat herleiding tot de individuele persoon niet onmogelijk is, volgens de werkgroep wel persoonsgegevens en vallen dus onder genoemde richtlijn. Omdat de Wbp een uitwerking is van de richtlijn, is de Wbp ook van toepassing omdat onder persoonsgegevens in de zin van artikel 1, onder a, Wbp ook gepseudonimiseerde persoonsgegevens worden verstaan.

5. Aanpassing RCPWMG

De AP heeft bij brief van 13 april 2016 aan de NZa bericht dat de Wmg en de RCPWMG het zonder aanpassing van de RCPWMG niet mogelijk maken om aan het CPB gepseudonimiseerde medische persoonsgegevens te verstrekken10.

De verwerking van persoonsgegevens, waaronder gepseudonimiseerde persoonsgegevens, dient te voldoen aan artikel 10 Grondwet, artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM), artikel 8 van het Handvest van de grondrechten van de Europese Unie (2007/C 303/01-02) en aan Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995, waar de Wbp een uitwerking van vormt. Om persoonsgegevens te mogen verwerken is noodzakelijk dat de verwerker (hier: het CPB) daartoe een wettelijk taak heeft en dat er een wettelijke uitzonderingsgrond is voor het verbod in de Wbp op het verwerken van persoonsgegevens. De vervanging van de Richtlijn en de Wbp door de AVG en de Uitvoeringswet algemene verordening gegevensbescherming brengt daar geen verandering in.

De NZa is na inwerkingtreding van onderhavige regeling op grond van artikel 70 WMG bevoegd persoonsgegevens te verstrekken aan het CPB.

Het CPB ontleent zijn wettelijke taken aan zijn instellingswet, de Wet van 21 april 1947, houdende de voorbereiding van de vaststelling van een Centraal Economisch Plan (Wet CEP). In artikel 3 van die wet wordt de aard, inhoud en omvang van de wettelijke taak van het CPB beschreven11.

Het CPB is bevoegd tot verwerking van bijzondere persoonsgegevens op grond van de uitzondering in artikel 23, tweede lid, Wbp. Het verbod om persoonsgegevens als bedoeld in artikel 16 Wbp te verwerken ten behoeve van wetenschappelijk onderzoek of statistiek is namelijk niet van toepassing voor zover het onderzoek een algemeen belang dient, de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is, het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

De wettelijke taakopdracht aan het CPB richt zich expliciet op het algemeen belang ten behoeve van de coördinatie van het regeringsbeleid op economisch, sociaal en financieel gebied en het uitbrengen van adviezen over algemene vragen op dat gebied (artikel 3, eerste lid Wet CEP). Dat algemeen belang wordt gediend met wetenschappelijk onderzoek en statistiek. Dat volgt uit de tekst in artikel 3, derde lid, Wet CEP: ‘Het Centraal Economisch Plan omvat onder meer verzamelingen van cijfers, betrekking hebbende op de toekomstige grootte van de voortbrenging in den ruimsten zin, op de toekomstige hoogte en ontwikkeling van het prijsniveau, van het nationale inkomen en zijn componenten, op de besteding van dat inkomen en op alle verdere grootheden, die voor een goede coördinatie van het economisch, sociaal en financieel beleid van belang zijn’.

De hoeveelheid gegevens die noodzakelijk is voor wetenschap en statistiek maakt dat – voor zover betrokkenen al traceerbaar zouden zijn – het vragen van uitdrukkelijke toestemming aan iedere betrokkene onmogelijk dan wel een onevenredige inspanning is. Het zou namelijk betekenen dat het CPB over de NAW gegevens van de betrokkene moeten beschikken om deze toestemming te vragen. Uit oogpunt van de bescherming van persoonsgegevens en het belang dat met die persoonlijke toestemming wordt nagestreefd is een dergelijke inbreuk op die bescherming door de NAW gegevens te mogen verwerken niet te rechtvaardigen.

Anders dan geadviseerd door de Autoriteit Persoonsgegevens is het niet mogelijk om van te voren in de regeling op te nemen welke gegevens noodzakelijk zullen zijn voor de uitvoering van de taken van het CPB. Dat is namelijk afhankelijk van het (voorgenomen) regeringsbeleid op economisch, sociaal en financieel gebied en de in dat kader te vragen adviezen. Zowel het (voorgenomen) regeringsbeleid als de te vragen adviezen als ook de economische, sociale en financiële omstandigheden zijn zo onvoorspelbaar en divers dat van te voren geen opsomming van specifieke gegevens in de regeling kan worden opgenomen en dat ook voor het CPB met de aanwijzing van de categorieën van persoonsgegevens moet worden volstaan.

Om mogelijk te maken dat het CPB weer gepseudonimiseerde persoonsgegevens van de NZa kan ontvangen ten behoeve van de uitvoering van zijn wettelijke taken en bevoegdheden wordt in artikel 4 een nieuw achtste lid opgenomen. De mogelijkheid voor de NZa om het CPB persoonsgegevens te verstrekken is beperkt tot het verstrekken van persoonsgegevens behorend tot de categorieën identificerende persoonsgegevens van zorgaanbieders en persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten. Het CPB zal van de NZa geen direct identificerende gegevens van consumenten kunnen ontvangen omdat de bestanden van de NZa geen identificerende gegevens zoals naam, adres, woonplaats van betrokkene bevatten. Wel bevatten die bestanden de postcode.

In een gegevensaanvraag van het CPB moet duidelijk zijn dat en in hoeverre een bewerking van de postcode (postcodegebied bijv. 3-cijferige postcode) noodzakelijk is voor het uitvoeren van de bewerking. Dit komt tot uitdrukking in de PIA die het CPB bij de aanvraag voegt. De NZa bewerkt dan de postcode alvorens deze bewerking met de overige noodzakelijke gegevens aan het CPB wordt verstrekt.

Daarmee wordt voldaan aan de toetsing van de verstrekking aan het noodzakelijkheidcriterium, dat bepaalt dat alleen tot de persoon herleidbare gegevens mogen worden verwerkt als dat voor die verwerking noodzakelijk is.

6. Advies Autoriteit Persoonsgegevens

De AP heeft op 18 oktober 2016, Kenmerk: ABCDE/12345, advies uitgebracht over de voorgenomen regeling. Daarin heeft de AP volgende opmerkingen gemaakt:

a. De AP adviseert om de toelichting bij de conceptregeling zodanig aan te passen dat er geen misvatting kan bestaan over eerdere en huidige opvatting van het begrip persoonsgegevens.
b. De AP adviseert om in de toelichting bij de RCPWMG de noodzaak van de verstrekking door de NZa van persoonsgegevens te onderbouwen met de verwijzing naar de wettelijke taken van het CPB.
c. De AP adviseert ook om in de toelichting bij de conceptregeling onderbouwd weer te geven welke in de Wbp genoemde uitzondering op het verbod om bijzondere persoonsgegevens te verwerken van toepassing is voor de verwerking van deze gegevens door het CPB.
d. Voorts adviseert de AP daarbij te specificeren om welke medische en strafrechtelijke persoonsgegevens het bij het CPB gaat.
e. Tevens adviseert de AP om in de RCPWMG op te nemen dat de NZa bijzondere persoonsgegevens ook pseudonimiseert indien zij deze naar andere instanties dan het CPB verstuurt, dan wel in ieder geval in de toelichting uit te leggen waarom dit voor de verstrekking aan de andere instanties geen passende maatregel is als bedoeld in artikel 13 Wbp.

De AP besluit haar advies met het dictum de conceptregeling niet vast te stellen, dan nadat daarin met het vorenstaande rekening zal zijn gehouden.

Het advies is als volgt verwerkt:

Ad a) In paragraaf 4 over het wettelijk kader zijn de opvattingen over gepseudonimiseerde persoonsgegevens opnieuw beschreven.
Ad b en c) Paragraaf 5 vermeldt de wettelijke taken en bevoegdheden van het CPB en de uitzonderingsgrond in de Wbp op het verbod daarbij persoonsgegevens te verwerken.
Ad d en e) Zoals beschreven in paragraaf 3 verlangt de NZa bij een aanvraag voor gegevens van iedere vrager een PIA aan de hand waarvan kan worden vastgesteld of de verwerker passende maatregelen treft ten behoeve van de bescherming van de te verstrekken en te verwerken persoonsgegevens. Aan de hand van de bij de aanvraag verstrekte informatie bepaalt de NZa of en zo ja op welk niveau (geanonimiseerd, gepseudonimiseerd dan wel tot een persoon herleidbaar) de gegevens worden verstrekt. Die keuze is afhankelijk van het antwoord op de vraag of dat noodzakelijk is voor de beoogde bewerking. Deze handelwijze wordt toegepast ten aanzien van alle instanties die een gegevensaanvraag doen bij de NZa.

7. Fraudetoets

De onderhavige wijzigingsregeling heeft geen gevolgen voor frauderisico.

8. Administratieve lasten / Regeldruk

De onderhavige wijzigingsregeling heeft geen regeldrukgevolgen, omdat de regeling mogelijk maakt dat de verstrekking door de NZa van gepseudonimiseerde persoonsgegevens aan het CPB kan worden voortgezet. Het CPB hoeft derhalve de gegevens die noodzakelijk zijn voor de uitvoering van zijn taak niet opnieuw te verzamelen.

Artikelsgewijs

In de Regeling categorieën persoonsgegevens WMG (RCPWMG) op grond van artikel 65 WMG wordt beschreven welke categorieën persoonsgegevens de NZa voor haar taken en bevoegdheden mag gebruiken en welke persoonsgegevens die behoren tot die categorieën door de NZa mogen worden verstrekt aan de in artikel 70 WMG genoemde instanties.

De onderhavige wijziging van de regeling bevat het herstel van de mogelijkheid voor de NZa om (gepseudonimiseerde) (persoons)gegevens aan het Centraal Planbureau (CPB) te verstrekken.

Daarnaast bevat de regeling een volledig bijgewerkte tekst van de artikelen 1 tot en met 5 van de regeling.

Die bijwerking is noodzakelijk in verband met:

• de correctie van een aantal tekstuele misslagen die bij wijziging van de regeling in het verleden abusievelijk zijn ontstaan,
• de naamswijziging van de Raad voor de Volksgezondheid en Zorg,
• de samenvoeging van de Gezondheidsraad en de Raad voor gezondheidsonderzoek,
• de taken van het CAK en
• de overgang van het DBC-Informatie Systeem (DIS) naar de NZa.

Met ingang van 1 mei 2015 is het landelijk DBC-Informatie Systeem (DIS) overgegaan van de privaatrechtelijke organisatie DBC-Onderhoud naar de NZa.

Daarmee is het aantal gegevens bij de NZa vergroot en is de verwerking en verstrekking van persoonsgegevens uit het DIS ook gebonden aan de bevoegdheden die de NZa op basis van de Wet marktordening gezondheidszorg (WMG) in combinatie met de RCPWMG heeft.

Tekstverkorting

In het nieuwe vierde lid van artikel 1 wordt in artikel 2, onderdelen 4a, 8a, 10b, 10c,10e en 13, artikel 3, onderdeel 4, artikel 4, onderdelen 1, 5 en 9, en artikel 5, onderdelen 1, 2, 3a, 4 en 7, onder ziektekostenverzekeraar mede verstaan de ‘verzekeraar die verzekeringen als zorgverzekering aanbiedt of uitvoert die niet aan het bepaalde bij of krachtens de Zorgverzekeringswet voldoen’. Daarmee wordt de tekst van de onderdelen ingekort zonder inhoudelijke wijziging.

In het nieuwe vijfde lid van artikel 1 wordt in artikel 2, onderdeel 8a, en in artikel 5, onderdelen 2, 4 en 7 onder zorgverzekeraar mede verstaan de ‘verzekeraar die verzekeringen als zorgverzekering aanbiedt of uitvoert die niet aan het bepaalde bij of krachtens de Zorgverzekeringswet voldoen’. Daarmee wordt ook de tekst van deze onderdelen ingekort zonder inhoudelijke wijziging.

In het nieuwe zesde tot en met achtste lid wordt het CAK respectievelijk mede verstaan onder een zorgverzekeraar, een Wlz-uitvoerder dan wel een ziektekostenverzekeraar ten behoeve de verwerking van persoonsgegevens bij de in die leden genoemde artikelen. De taken en bevoegdheden van het CAK zijn van overeenkomstige aard.

Verstrekking gegevens door de NZa

De NZa kan aan de in artikel vier van de regeling genoemde instanties persoonsgegevens verstrekken voor al hun wettelijke taken en bevoegdheden, mits die gegevens behoren tot de met betrekking tot die instanties benoemde categorieën van persoonsgegevens.

Het zevende onderdeel van artikel 4 is gewijzigd in verband met de samenvoegingen van adviesorganen op het terrein van de zorg. Na samenvoeging met de Raad voor maatschappelijke ontwikkeling is de naam van de Raad voor de Volksgezondheid en Zorg gewijzigd in de Raad voor Volksgezondheid en Samenleving. De Raad voor gezondheidsonderzoek is samengevoegd met de Gezondheidsraad. De Gezondheidsraad heeft zijn naam behouden.

De vermelding van het CPB is verplaatst naar een nieuw achtste onderdeel dat in artikel 4 is ingevoegd. In dat nieuwe onderdeel wordt mogelijk gemaakt dat het CPB van de NZa (gepseudonimiseerde) persoonsgegevens kan ontvangen voor de uitvoering van al zijn wettelijke taken en bevoegdheden. De NZa verstrekt die persoonsgegevens in een vorm die de inbreuk op de bescherming van persoonsgegevens niet groter te laat zijn dan noodzakelijk voor de beoogde verwerking door het CPB.

Tekstuele correcties

De in de tekst van de artikelen 1 tot en met 5 RCPWMG verwerkte correcties hebben betrekking op de invoering van de Wet langdurige zorg, de vereenvoudiging van de tekst van de artikelen, de voormelde samenvoegingen van adviesorganen, het verwijderen van dubbele vermeldingen, uniformeren van tekst en verbetering van leestekens. De hoeveelheid aanpassingen leiden tot de keuze om de genoemde artikelen integraal te herplaatsen.

Correcties in verband met invoering Wet langdurige zorg

Met de Aanpassingsregeling Wlz is de RCPWMG aangepast12. De verwijzingen in de RCPWMG naar AWBZ-verzekeraars respectievelijk rechtspersonen als bedoeld in artikel 40 Algemene Wet Bijzondere Ziektekosten zijn telkens vervangen door ‘Wlz-uitvoerders’ respectievelijk ‘zorgkantoren als bedoeld in artikel 4.2.4 van de Wet langdurige zorg’.

In de RCPWMG wordt veelal de definitie van ziektekostenverzekeraars uit de WMG gebruikt. Daaronder vallen als gevolg van een wijziging van de WMG door de Wet langdurige zorg (Wlz) met ingang van 1 januari 2015 ook de in artikel 1.1.1. van de Wlz gedefinieerde Wlz-uitvoerders. In de Wlz worden deze als volgt gedefinieerd: ‘rechtspersoon die geen zorgverzekeraar is, die zich overeenkomstig artikel 4.1.1 heeft aangemeld voor de uitvoering van deze wet, het zorgkantoor daaronder begrepen’.

Uit het voorgaande volgt dat vermelding van Wlz-uitvoerder in de RCPWMG alleen noodzakelijk is als de desbetreffende bepaling alleen op de Wlz betrekking heeft. Omdat zorgkantoren onder het begrip Wlz-uitvoerder vallen kan vermelding daarvan in de RCPWMG altijd achterwege blijven.

De tekstuele correcties in verband met de overbodige vermelding van Wlz-uitvoerder of zorgkantoren hebben tekstuele gevolgen voor artikel 2, onderdelen 1, 4a, 9 tot en met 10c, 10f, 11, 12 en 13, artikel 3, onderdelen 3 en 4, artikel 4 onderdelen 1 tot en met 6 en 8, en artikel 5, onderdelen 1, 3, 3a, 4, 5, 6, 8, 9 en 13.

Wijziging in verband met tekstverkorting

In een aantal gevallen zijn dezelfde categorieën van persoonsgegevens die de NZa voor de uitvoering van haar wettelijke taken en bevoegdheden mag verwerken of mag verstrekken aan in artikel 70 van de WMG genoemde instanties ten behoeve van de hen opgedragen wettelijke taken en bevoegdheden van toepassing op ziektekostenverzekeraars of zorgverzekeraars als op ‘verzekeraars die verzekeringen als zorgverzekering aanbieden of uitvoeren die niet aan het bepaalde bij of krachtens de Zorgverzekeringswet voldoen’. Om de teksten bij de afzonderlijke artikelonderdelen zo kort mogelijk te houden worden deze laatste verzekeraars in twee nieuwe afzonderlijke leden 4 en 5 van het artikel 1 met ziektekostenverzekeraars dan wel zorgverzekeraars gelijk gesteld.

De vereenvoudiging heeft betrekking op artikel 2, onderdelen 4a, 8a, 10b, 10c,10e en 13, artikel 3, onderdeel 4, artikel 4, onderdelen 1, 5 en 9, en artikel 5, onderdelen 1, 2, 3a, 4 en 7 respectievelijk artikel 2, onderdeel 8a, en in artikel 5, onderdelen 2, 4 en 7.

Overige correcties

In de onderdelen 1, 6, 8, en 10 van artikel 2 vervalt de tekst ‘en medische’. Daarmee wordt een dubbele vermelding opgeheven. Ook is in artikel 4, zevende lid, rekening gehouden met naamswijziging van de Raad voor de Volksgezondheid en Zorg en de samenvoeging van de Gezondheidsraad en de Raad voor gezondheidsonderzoek. In de regeling zijn ettelijke leestekens gecorrigeerd.

De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers

X Noot

Thans Autoriteit Persoonsgegevens genoemd.

X Noot

Regeling van 16 juli 2008; Staatscourant 2008, nr. 135, p.14.

X Noot

Regeling van 19 december 2008; Staatscourant 2008, nr. 247, p. 5

X Noot

⁴

25 mei 2018.

X Noot

⁵

Kamerstukken II 2012/13, 26 643, nr. 282 HERDRUK; brief 21 juni 2013.

X Noot

⁶

Zie paragraaf: Advies Autoriteit Persoonsgegevens.

X Noot

⁷

https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacycheck/privacy-impact-assessment-pia.

X Noot

⁸

De verstrekking van gegevens door zorgaanbieders aan het DIS vindt plaats via een dubbele versleuteling: de zorgaanbieders leveren versleutelde data aan een Trusted Third Party (TTP) en de TTP voert nog een versleuteling uit voordat de gegevens in het DIS worden gezet. De in het DIS opgenomen gegevens zijn zo bewerkt dat de herleidbaarheid tot het individu wordt beperkt. Maar dit leidt er niet toe dat de herleidbaarheid tot het individu voorgoed onmogelijk wordt gemaakt en dat maakt dat de in het DIS opgenomen gegevens moeten worden aangemerkt als persoonsgegevens in de zin van artikel 1, onder a, van de Wbp en dat de verwerking ervan valt onder de werking van de Wbp en andere privacywetgeving.

X Noot

⁹

Advies 4/2007 over het begrip persoonsgegeven van 20 juni 2007, Groep gegevensbescherming Artikel 29, p. 18 en 19.

X Noot

¹⁰

Brief AP over bevindingen onderzoek DIS; kenmerk z2015-00355.

X Noot

¹¹

In artikel 3 van de Wet van 21 april 1947, houdende de voorbereiding van de vaststelling van een Centraal Economisch Plan wordt het volgende bepaald:

1. Het Centraal Planbureau heeft tot taak het verrichten van alle werkzaamheden met betrekking tot het voorbereiden van een Centraal Economisch Plan, dat op geregelde tijden ten behoeve van de coördinatie van het regeeringsbeleid op economisch, sociaal en financieel gebied door de Regeering wordt vastgesteld, alsmede het uitbrengen van adviezen over algemeene vragen, welke zich ten aanzien van de verwezenlijking van het plan kunnen voordoen.
2. Het Centraal Economisch Plan is een evenwichtig samenstel van schattingen en richtlijnen met betrekking tot de Nederlandsche volkshuishouding.
3. Het Centraal Economisch Plan omvat onder meer verzamelingen van cijfers, betrekking hebbende op de toekomstige grootte van de voortbrenging in den ruimsten zin, op de toekomstige hoogte en ontwikkeling van het prijsniveau, van het nationale inkomen en zijn componenten, op de besteding van dat inkomen en op alle verdere grootheden, die voor een goede coördinatie van het economisch, sociaal en financieel beleid van belang zijn.

X Noot

¹²

Staatscourant 2014, nr. 36648.

Inhoudsopgave

Extra informatie

Geconsolideerde regelgeving

Publicaties referendum

Regeling van de Minister van Volksgezondheid, Welzijn en Sport van 22 augustus 2017, kenmerk 1215986-166812-MC, houdende wijziging van de Regeling categorieën persoonsgegevens WMG in verband met de verstrekking van persoonsgegevens aan het Centraal Planbureau en een aantal tekstuele aanpassingen

ARTIKEL I

Artikel 1. Definities

Artikel 2

Artikel 3

Artikel 4

Artikel 5

ARTIKEL II

TOELICHTING

1. Inleiding

Algemeen

Inhoudsopgave

2. Regeling categorieën persoonsgegevens WMG

3. Toetsing gegevensaanvragen door de NZa

4. Verwerking gepseudonimiseerde persoonsgegevens en de RCPWMG

Uitspraak Autoriteit Persoonsgegevens

5. Aanpassing RCPWMG

6. Advies Autoriteit Persoonsgegevens

7. Fraudetoets

8. Administratieve lasten / Regeldruk

Artikelsgewijs

Tekstverkorting

Verstrekking gegevens door de NZa

Tekstuele correcties

Correcties in verband met invoering Wet langdurige zorg

Wijziging in verband met tekstverkorting

Overige correcties

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

X Noot

Permanente link

Disclaimer