Onderzoek door de Autoriteit Persoonsgegevens naar de herleidbaarheid van gegevens in het DIS “wassen neus”; de AP heeft alleen onderzoek verricht naar de dataleveringen vanuit het DIS aan andere partijen vanaf november 2015

Gepubliceerd: 27 augustus 2016

In 2015 heeft Burgerrechtenorganisatie Vrijbit (www.vrijbit.nl) de Autoriteit Persoonsgegevens (AP) verzocht een onderzoek in te stellen naar- mogelijk onrechtmatige - gegevensverstrekkingen vanuit het DBC Informatie Systeem (DIS) aan andere partijen. In het DIS worden vanaf 2006 door hulpverleners stelselmatig gegevens aangeleverd over bij de zorgverzekeraar gedeclareerde zorg. Ook in de GGZ geven hulpverleners alle data over hun behandelingen vanaf 2006 door aan het DIS. Het DIS is de grootste medische databank van ons land. Vanuit het DIS worden gegevens doorgestuurd naar verschillende vaste afnemers en daarnaast kunnen andere partijen een verzoek doen om uitlevering van data.

Het DIS is bij de oprichting in 2006 door het CBP (nu AP) de meest risicovolle database van Nederland genoemd. In de afgelopen 10 jaar is er vaak kritiek geuit op dit systeem, aangezien gepseudonimiseerde gegevens bij koppeling aan gegevens in andere bestanden zonder veel moeite kunnen worden herleid tot persoonsgegevens. Zoals het CBP toentertijd heeft gesteld, zou het DIS in dat geval moeten worden opgeheven.

In 2015 heeft de NZa zelf - als toezichthouder en juridisch verantwoordelijke voor gegevensverwerking door het DIS - moeten toegeven dat data in het DIS zonder al teveel inspanning te herleiden zijn tot “personen van vlees en bloed”. Naar aanleiding van het handhavingsverzoek van Burgerrechtenorganisatie Vrijbit – met steun van de KDVP - en erkenning van herleidbaarheid van DISgegevens door de NZa zelf werd de AP gedwongen zich te bezinnen op haar standpunt over de veiligheid van de in het DIS opgeslagen gegevens. De AP besloot dan ook in november 2015 in actie te komen door een onderzoek in te stellen.

In reactie op dit onderzoek van de AP heeft de NZa als verantwoordelijke partij van het DIS besloten om het verstrekken van gegevens uit het DIS met onmiddellijke ingang te reduceren tot leveringen aan een paar partijen. Van de partijen die volgens de NZa na november 2015 nog gegevens mochten ontvangen stelde de AP vast dat zelfs van deze partijen twee overheidsorganen ten onrechte gegevens uit het DIS ontvingen, te weten het Ministerie van VWS en het Centraal Planbureau.

Het is onbegrijpelijk en onjuist dat de AP haar onderzoek alleen heeft gericht op dataleveringen die aan partijen in de periode vanaf november 2015 zijn gedaan, zijnde het moment waarop de NZa naar aanleiding van het door de AP gestarte onderzoek het verstrekken van gegevens uit het DIS drastisch had beperkt. Dit betekent dat slechts een klein deel van alle data-leveringen die in de afgelopen 10 jaar werden gedaan zijn getoetst op rechtmatigheid! Er kan maar één conclusie worden getrokken en die luidt dat het onderzoek van de AP naar wat vermoedelijk het grootste datalek van Nederland is een verhullende “wassen neus” mag worden genoemd.

Ronald Huissen heeft over dit onderzoek van de AP op 16-8-2016 een artikel gepubliceerd op www.platformburgerrechten.nl met de titel: ”Wat onderzocht de Autoriteit Persoonsgegevens allemaal niet aan het DIS?”

Huisarts in ruste en publicist Wim Jongejan plaatste op 8-8-2016 een artikel op www.zorgictzorgen.nl getiteld: “Autoriteit Persoonsgegevens ondergraaft stelselmatig eigen gezag”. Ook in dit artikel wordt ingegaan op het gebrekkige en onvolledige karakter van het onderzoek van de AP naar de rechtmatigheid van gegevensuitleveringen vanuit het DIS aan derden.