Hoorzittingen op 15 maart 2016 bij de Autoriteit Persoonsgegevens naar aanleiding van een tweetal handhavingsverzoeken van Burgerrechten vereniging Vrijbit

Gepubliceerd: 04 april 2016

Zoals u heeft kunnen lezen in onze laatste nieuwsbrief (ad punt 1) heeft de KDVP samen met burgerrechten vereniging Vrijbit overleg met de Nationale Ombudsman gevoerd over het feit dat zowel Vrijbit als onze stichting zich ernstig zorgen maken vanwege het niet-optreden van de Autoriteit Persoonsgegevens (voorheen CBP) ondanks herhaalde handhavingsverzoeken aan hun adres.

Burgerrechten vereniging Vrijbit (www.vrijbit.nl) heeft twee handhavingsverzoeken aan de AP gestuurd; de ene betreft de aanlevering, doorlevering en gebruik van medische persoonsgegevens bij dan wel door het DIS.

Het andere handhavingsverzoek heeft betrekking op het niet aanpassen van de Gedragscode Zorgverzekeraars aan de uitspraak van de Rechtbank Amsterdam (13-11-2013) en op de onrechtmatige verwerking van medische persoonsgegevens die daar het gevolg van is.

Vrijbit heeft vanwege het herleidbaar zijn van de gepseudonimiseerde DISdata een handhavingsverzoek naar de AP gestuurd. De AP heeft in 2006, bij de oprichting van het DIS, namelijk gesteld dat DISdata absoluut niet herleidbaar mogen zijn tot reële personen. Als data in het DIS via koppeling met data in andere bestanden toch te herleiden zijn tot identificeerbare personen, moet aanlevering en verwerking van deze medische gegevens bij het DIS worden stopgezet.

Nu de NZa onlangs in een procedure van de Open State Foundation heeft moeten erkennen dat de gespeudonimiseerde DISdata herleidbaar zijn tot ”personen van vlees en bloed” zou aanlevering, verwerking, doorgifte en gebruik van deze gegevens bij het DIS onmiddellijk moeten worden gestaakt.

De constatering dat Disdata herleidbaar zijn betekent dat in de afgelopen 10 jaar jaarlijks miljoenen data met gegevens over medische behandelingen van de gehele Nederlandse zijn verwerkt, opgeslagen en van daaruit zijn doorgegeven aan tal van overheidsdiensten en private organisaties.

Het DIS is in feite het grootste datalek van Nederland. De AP heeft ondanks waarschuwingen van zorgverleners en meldingen in de media al jaren nagelaten om hiertegen op te treden.

Tegelijk met bovengenoemd handhavingsverzoek betreffende het DIS heeft Vrijbit bij de AP een handhavingsverzoek ingediend vanwege het feit dat zorgverzekeraars de Gedragscode Zorgverzekeraars nog steeds niet hebben aangepast nadat de rechtbank Amsterdam bij uitspraak van 13-11-2013 heeft geoordeeld dat de procedures voor verwerking van medische persoonsgegevens, zoals die waren vastgelegd in de Gedragscode Zorgverzekeraars, geen juiste uitwerking vormen van Wbp en EVRM.

In deze uitspraak uit 2013 stelt de rechter nadrukkelijk dat de AP ook het oordeel van de CBb rechter (uitspraak 2-8-2010) had moeten betrekken waar het gaat om de verbijzondering van verwerkingsprocedures in de GGZ bij afgifte van een privacyverklaring. Omdat zorgverzekeraars bewust hebben nagelaten om verwerkingsprocedures die geen juiste uitwerking vormen van WBp en EVRM aan te passen, is sprake van verwijtbare nalatigheid die resulteert in onrechtmatig handelen door zorgverzekeraars. En het is bij uitstek de taak van de AP om hiertegen handhavend op te treden.

De stichting KDVP heeft Vrijbit in deze beide procedures bijgestaan tijdens de hoorzittingen bij de AP op 15-3-2016. De AP zal na de hoorzitting binnen een termijn van 6 weken een besluit nemen. Indien zij afwijzend zouden besluiten, staat een gang naar de rechter open.

Hier kunt de notitie over het DIS en tevens de notitie over de Gedragscode vinden. Beide notities zijn op de hoorzitting door onze stichting KDVP gepresenteerd.