DIS is zo lek als een mandje

Gepubliceerd: 23 april 2016

Op 17-4-2016 is een artikel verschenen op het Platform bescherming burgerrechten (www.platformburgerrechten.nl) over het DIS, zijnde het grootste datalek van Nederland. In het DIS worden alle medische gegevens over behandelingen die wij als Nederlanders hebben ondergaan, opgeslagen en doorgesluisd naar andere partijen. Ook kunnen private organisaties de gegevens uit het DIS opvragen.

De gegevens in het DIS die zonder toestemming van patiënten door zorgverleners worden aangeleverd mogen niet herleidbaar zijn tot reële personen. Dat heeft de AP in 2006 terecht gesteld bij de oprichting van het DIS. Daarom moesten gegevens die werden aangeleverd bij het DIS versleuteld ofwel gepseudonimiseerd worden.

In de afgelopen jaren is er echter bij herhaling op gewezen dat via koppeling van DIS-data aan gegevens in allerlei andere databanken herleiding tot personen van vlees en bloed eenvoudig mogelijk is.

In 2015 heeft de NZa - nu verantwoordelijk voor het DIS -  in een juridische procedure aangespannen door de Open State Foundation moeten erkennen dat DISdata kunnen worden herleid tot reële personen.

De consequentie daarvan is dat DIS data onrechtmatig worden verkregen en dat ook verwerking en gebruik van deze gegevens onrechtmatig is. Het DIS zou onder deze omstandigheden per direct moeten worden opgeheven. Dat heeft de AP ook al aangegeven bij de oprichting.

De burgerrechtenvereniging Vrijbit (www.vrijbit.nl)  heeft om die reden een handhavingsverzoek aan de AP gestuurd.

Zonder een inhoudelijk besluit te nemen op het handhavingsverzoek van Vrijbit heeft de AP eind 2015 aangegeven een onderzoek te zijn gestart naar de herleidbaarheid van DIS-data bij de NZa. Om die reden mogen er vanaf de start van dit onderzoek geen gegevens worden doorgestuurd naar andere partijen, maar de onrechtmatige aanlevering van behandelinformatie gaat voorlopig gewoon door. Dat betekent dat de privacy van patiënten/cliënten aan de lopende band door hulpverleners wordt geschonden, omdat deze nog steeds verplicht zijn – met doorbreking van hun beroepsgeheim – uitgebreide medische behandelgegevens (ondermeer volledige DSM-IV) door te geven aan het DIS. En dan te bedenken dat het DIS vanaf 2005 al zo lek is als een mandje…! 

Hoezo “onafhankelijk” toezicht door het AP? Het is niet meer dan een misleidende illusie die in de praktijk averechts werkt omdat de AP niet optreedt tegen inbreuken op de privacy van burgers, maar deze daarentegen legitimeert.