Op 7 april 2021 verscheen een artikel over de WGS – “Nieuwe datawet stelt tegenmacht zwaar op de proef”- van de hand van Axel Arnbak, werkzaam als advocaat bij De Brauw Blackstone Westbroek en als onderzoeker verbonden aan het instituut voor informatierecht bij de UvA.

In dit artikel wordt gesteld dat met de aanname van de WGS door de Eerste Kamer verder aan de fundamenten van onze rechtsstaat wordt gezaagd. Volgens de auteur moet dit wetsvoorstel gezien worden als een uiting van “een diep wantrouwen van de overheid in haar burgers”. Onder het mom van opsporing van fraude biedt de WGS meer mogelijkheden tot het delen van data met overheidsinstanties en private partijen, zoals o.a. banken en verzekeraars. Zo maakt de WGS het mogelijk om uit een breed scala aan publieke en private informatiesystemen gegevens over burgers te verzamelen met als doel burgers te kunnen volgen en te kunnen profileren, vergelijkbaar met het risicoprofileringssysteem SyRI dat op 5-2-2020 door de rechter in strijd met onze grondwet is verklaard. In de SyRI procedure was onze stichting één van de eisende partijen. De KDVP heeft in haar nieuwsbrief van oktober 2020 èn in een nieuwsbericht van 22-1-2021 ook al melding gedaan van de privacyrisico’s voor burgers – en patiënten/cliënten waar het data uit de zorg betreft – als de WGS wordt aanvaard. Mocht de WGS door de Eerste Kamer worden aangenomen, dan zal opnieuw een gang naar de rechter noodzakelijk zijn om deze aanslag op onze rechtsstaat te doen stoppen.

Op basis van onze eigen ervaringen met de rechtspraak bij de Raad van State kan de KDVP zich helaas maar al te goed vinden in de stellingname in een artikel  dd 22-3-2021 van “Follow The Money”. Daarin wordt geconstateerd dat de rechtspraak van de Raad teveel gericht is op bescherming van de machthebbers terwijl zij binnen onze rechtsstaat als hoogste bestuursrechter juist tot taak heeft op te komen voor de rechtsbescherming van burgers in relatie tot overheidsinstellingen. Volgens de auteurs van dit artikel wijst de weigering van de Raad van State om in de toeslagenaffaire burgers te beschermen tegen een “wrede overheid” op een structureel probleem bij onze hoogste bestuursrechter. Deze conclusie is in lijn met de bevindingen van de parlementaire ondervragingscommissie – rapport commissie van Dam – waarin wordt aangetoond dat de Raad van State de rechtsbescherming van burgers structureel heeft veronachtzaamd door steeds aan de kant van de overheid te blijven staan. Ook de KDVP heeft dit moeten constateren in een hoger beroep procedure tegen de Autoriteit Persoonsgegevens (AP) in 2019 over de opt-outregeling. Ook wij werden in deze procedure geconfronteerd met een – naar onze mening – volstrekt bevooroordeelde Raad van State.

In het hoger beroep over de opt-outregeling van de KDVP tegen de AP dat op 26-6-2019 diende bij de Raad van State ging het om een misleidende en niet-effectieve digitale declaratieprocedure waarmee niet kon worden voorkomen – maar ook bewust niet werd voorkomen – dat via het toepasselijke DBC-tarief alsnog diagnose-informatie aan zorgverzekeraars werd verstrekt. Even ongelooflijk als schokkend was het te moeten constateren dat er na een paar inleidende opmerkingen over privacy-claims welke niet meer van deze tijd zouden zijn, bij de behandeling volstrekt voorbijgegaan werd aan onze kernbezwaren tegen de niet-effectieve, digitale declaratieprocedure die gehanteerd zou moeten worden als gebruik wordt gemaakt van de opt-outregeling. Ook in de uitspraak van het hoger beroep werd niet gerefereerd aan de kernbezwaren die voor de KDVP de aanleiding waren tot het instellen van dit hoger beroep. De Raad van State heeft zich daarentegen in haar uitspraak geheel gebaseerd op een rapport van de NZa (“de slager keurt zijn eigen vlees”) dat totaal geen betrekking had op de bestaande digitale declaratieprocedure. Vanwege deze uitspraak van de Raad voelen noch zorgverzekeraars noch de Nederlandse Zorgautoriteit (NZa) zich verplicht om de bestaande misleidende en niet-effectieve declaratieprocedure aan te passen, om het zodoende mogelijk te maken dat digitaal kan worden gedeclareerd zonder dat via het DBC- tarief alsnog diagnose-informatie wordt verstrekt aan zorgverzekeraars. De procedure en uitspraak in dit hoger beroep van de KDVP zou betrokken moeten worden in het zelfonderzoek dat de Raad van State heeft aangekondigd.

De uitspraak van de rechtbank Amsterdam uit 2013 gaf opdracht aan zorgverzekeraars om hun verwerking van medische persoonsgegevens zodanig aan te passen dat deze een juiste uitwerking vormt van de Wbp (Wet bescherming persoonsgegevens) en het EVRM (Europees Verdrag voor de Rechten van de Mens). Het uitvoeren van deze opdracht is door ZN (Zorgverzekeraars Nederland) en de AP (Autoriteit Persoonsgegevens) echter ruim 8 jaar lang tegengewerkt en omzeild. In de laatste uitspraak van de rechtbank Amsterdam uit januari 2021 zijn onze eisen – die eerder niet waren afgewezen – ineens niet-ontvankelijk verklaard. De KDVP legt zich niet bij deze, naar haar oordeel ongefundeerde, uitspraak neer en heeft inmiddels hoger beroep aangetekend.

De juridische procedure tegen de AP over de Gedragscode Zorgverzekeraars kent een lange voorgeschiedenis

De door de KDVP tegen de AP aangespannen juridische procedure over verwerking en gebruik van medische persoonsgegevens door zorgverzekeraars gaat over het feit dat procedures en bedrijfsprocessen voor de verwerking van medische persoonsgegevens – zoals die werden vastgelegd in de Gedragscode Zorgverzekeraars – niet zijn aangepast en bijgesteld op basis van de rechterlijke uitspraak op 13-11-2013.

De rechtbank Amsterdam heeft in november 2013 de goedkeuring van die gedragscode door het toenmalige College Bescherming Persoonsgegevens (CBP en sinds 1-1-2016 AP) vernietigd, omdat de in de Gedragscode Zorgverzekeraars beschreven procedures en bedrijfsprocessen geen juiste uitwerking vormen van de Wbp en het EVRM. Volgens de rechtbank Amsterdam heeft het CBP bij de goedkeuring op 13 december 2011 van de door Zorgverzekeraars Nederland (ZN) opgestelde gedragscode de in deze gedragscode vastgelegde verwerkingsprocedures onvoldoende dan wel onjuist getoetst aan vereisten voor de bescherming van privacy rechten van patiënten/verzekerden zoals vastgelegd in wet en verdrag.

De heer Rouvoet- directeur van ZN – heeft in de daaropvolgende briefwisseling met onze stichting over deze verwerkingsprocedures herhaaldelijk aangegeven dat ZN, dat feitelijk opereert als een conditiekartel van zorgverzekeraars, zich niet verantwoordelijk acht voor de noodzakelijke aanpassing van de – overigens wel – door ZN zèlf opgestelde Gedragscode Zorgverzekeraars, terwijl in de rechterlijke uitspraak van november 2013 nu juist is vastgesteld dat procedures en werkwijzen vastgelegd in de door ZN opgestelde gedragscode geen juiste uitwerking vormen van de Wbp en het EVRM.

De heer Rouvoet negeerde hiermee het feit dat de verwerking van medische gegevens van patiënten/verzekerden bleef plaatsvinden op basis van niet-legitieme procedures die ZN verplichtend oplegde aan alle bij ZN aangesloten zorgverzekeraars. Niet-legitieme  procedures die door ZN ook na vernietiging van de eerder verleende goedkeuring bewust en nadrukkelijk in stand zijn gehouden.

De KDVP heeft dan ook in 2015 besloten om de volledige briefwisseling met Rouvoet over te dragen aan het (toenmalige) CBP. Onze stichting heeft vervolgens op 2 maart 2015 een handhavingsverzoek ingediend bij het CBP (nu AP) waarin wij (opnieuw) en met klem aandacht vragen voor het feit dat de Gedragscode Zorgverzekeraars nog steeds niet was aangepast aan de oordelen van de rechtbank Amsterdam van 13 november 2013 en de uitspraak van het College van Beroep voor het bedrijfsleven (CBb) van 2 augustus 2010.

Nadat onze stichting een aantal handhavingsverzoeken en een daaropvolgend bezwaarschrift (van 26-2-2016) bij de AP had ingediend, heeft de KDVP op 16 augustus 2016 formeel beroep aangetekend tegen de “Beslissing op Bezwaar” van de AP in reactie op ons bezwaarschrift.

Hieronder het belangrijkste bezwaar van ons beroep van 16 augustus 2016 tegen de AP

Het primaire bezwaar van de KDVP was gericht tegen het uitblijven van aanpassing van die procedures en bedrijfsprocessen zoals vastgelegd in de Gedragscode Zorgverzekeraars welke geen juiste uitwerking vormen van de Wbp en het EVRM. Na de uitspraak van de rechtbank Amsterdam uit 2013, had het CBP direct handhavend moeten optreden tegen ZN om te bewerkstelligen dat de in de gedragscode vastgelegde werkwijzen en procedures zouden worden aangepast aan de fundamentele bezwaren vervat in de uitspraak van de rechtbank Amsterdam.

Noch door de toezichthouder (eerder CBP en nu AP) noch door ZN is echter na de uitspraak van de rechtbank Amsterdam uit 2013 actie ondernomen om de in de gedragscode vastgelegde procedures en bedrijfsprocessen aan te passen, dit terwijl ZN en zorgverzekeraars wèl nadrukkelijk hebben laten weten dat zij zich – tot op heden – aan deze gedragscode gehouden bleven achten, ook nadat de door het CBP verleende goedkeuring daarvan door de rechter was vernietigd. Het uitblijven van aanpassing van verwerkingsprocedures aan de uitspraak van de rechter heeft inmiddels geleid tot het jarenlang niet legitiem verwerken van medische persoonsgegevens door zorgverzekeraars.

Op 18 juli 2017 vond de zitting plaats over het beroep van de KDVP tegen het uitblijven van handhavend optreden door de AP om te komen tot aanpassing van werkwijzen en procedures aan uitspraak van rechtbank Amsterdam uit 2013

Tijdens de zitting op 18 juli 2017 bij de rechtbank Amsterdam over dit beroep tegen de AP is door de rechter voorgesteld een mediation procedure te starten om zo samen met de AP, NZa (Nederlandse Zorgautoriteit) en ZN (Zorgverzekeraars Nederland) te kunnen komen tot aanpassingen zoals gevergd door de rechterlijke uitspraak uit 2013. Tijdens de mediation bleek dat deze partijen die hadden ingestemd met het starten van een mediationprocedure feitelijk niet bereid waren enige inbreng te leveren om te komen tot aanpassing van niet-legitieme procedures voor de verwerking van medische persoonsgegevens door zorgverzekeraars. Ondanks aandringen van de kant van de KDVP is na een half jaar noch door de AP noch door één van de andere partijen een inhoudelijk voorstel gedaan voor aanpassing van de gewraakte werkwijzen van zorgverzekeraars. De KDVP heeft toen besloten de mediation procedure te staken en de kwestie opnieuw bij de rechter neer te leggen.

Ondertussen vormt de verwerking van medische persoonsgegevens bij zorgverzekeraars nog steeds geen juiste uitwerking van wet en verdrag. Wel hebben zorgverzekeraars op gegeven moment aan de Minister van VWS laten weten dat zij bezig waren een nieuwe Gedragscode Zorgverzekeraars op te stellen die ter goedkeuring zou worden voorgelegd aan de AP. Inmiddels is er door ZN inderdaad ook een nieuwe Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars opgesteld. Procedures en werkwijzen vastgelegd in deze nieuwe gedragscode zijn echter niet aangepast aan de fundamentele bezwaren zoals verwoord in de uitspraak van de rechtbank uit 2013. Mogelijk is er om die reden dan ook besloten om deze nieuwe gedragscode dan ook maar liever niet ter goedkeuring voor te leggen aan de AP, zoals eerder wel werd toegezegd.

KDVP is op 1 maart 2021 alsnog in hoger beroep gegaan tegen de uitspraak die de rechtbank Amsterdam op 25 januari 2021 heeft gedaan in deze al lang slepende beroepsprocedure gericht op het uitblijven van handhavend optreden van de AP

Zoals hierboven vermeld is het mediationtraject gestaakt in 2018 en is de zaak opnieuw bij de rechter neergelegd. Daarna heeft het een hele tijd geduurd voor er wederom een rechtszitting is gepland. Ook COVID-19 heeft vervolgens voor verder uitstel gezorgd. Maar op 8 december 2020 heeft uiteindelijk toch een korte rechtszitting plaatsgevonden bij de rechtbank Amsterdam. De uitspraak in deze procedure is gedaan op 25 januari 2021. De rechter heeft de eisen van de KDVP bij hervatting van de zitting, die eerder geschorst was om mediation mogelijk te maken, ineens niet-ontvankelijk verklaard. De KDVP heeft om zowel inhoudelijke, als ook procedurele redenen besloten om Hoger Beroep tegen deze uitspraak aan te tekenen bij de Raad van State. Hier kunt u het hoger beroep van de KDVP lezen.

Dit wetsvoorstel is op 17 december 2020 reeds geaccepteerd in de Tweede Kamer en wordt vanaf 12 januari 2021 behandeld in de Eerste Kamer.

Met de WGS maakt de overheid het mogelijk dat allerlei data - óók data uit de zorg - in zgn. samenwerkingsverbanden kunnen worden samengevoegd en gekoppeld. Zowel publieke als private partijen kunnen op basis van deze wet data met elkaar delen. Het doel van de WGS is het “detecteren” van personen die geacht worden een frauderisico te vormen. Ook kunnen data worden gebruikt om individuele burgers te te volgen en te profileren. Burgers weten niet op welke wijze ze worden gevolgd en geprofileerd, noch weten ze met wie uitkomsten van data-analyses worden gedeeld en waarvoor deze resultaten worden gebruikt. Door deze werkwijze kunnen burgers niet gericht en geïnformeerd opkomen tegen belastende profileringen die nadelige gevolgen kunnen hebben voor toegang tot basale voorzieningen.

Voor het verwerken van (medische) persoonsgegevens dient duidelijk te zijn of het doel waarvoor zij worden gebruikt in overeenstemming is met het doel waarvoor deze zijn verzameld. Voor de verwerking van bijzondere persoonsgegevens uit zorg/jeugdzorg geldt dat deze alleen mogen worden verwerkt overeenkomstig de expliciete toestemming van de patiënt/cliënt. Daarnaast heeft de zorgverlener die gebonden is aan het medisch beroepsgeheim de plicht om zèlf te beslissen of bepaalde behandeldata wel naar andere partijen mogen worden doorgesluisd. Zoals de WGS nu is opgezet is het echter mogelijk dat medische gegevens die voor één bepaald doel zijn verzameld, via doorsluizen en koppeling naar andere databases inzichtelijk worden voor andere instanties/partijen dan degene voor wie de medische data oorspronkelijk bedoeld waren.

De coalitie van partijen – bestaande uit het Platform Bescherming Burgerrechten, Nederlands Juristen Comité Mensenrechten, Stichting Privacy First, Stichting KDVP, FNV, Landelijke Cliëntenraad, schrijver Tommy Wieringa en columnist Maxim Februari  – die in 2020 door de rechtbank te Den Haag in het gelijk werd gesteld vanwege de implementatie van het risicoprofileringssysteem SyRI trekt nu wederom aan de alarmbel, aangezien het huidige wetsvoorstel WGS een nog grotere bedreiging vormt voor de privacy van burgers, met het risico op ongekende belastende profileringen. Volgens de coalitie geeft de WGS de ruimte om de bescherming van de persoonlijke levenssfeer van burgers op onacceptabele en onrechtmatige wijze in te perken, hetgeen in strijd is met onze Grondwet.

De coalitie heeft de leden van de Eerste Kamer dan ook via een brief opgeroepen om bij de behandeling zeer kritisch naar dit wetsvoorstel te kijken.

Lees ook het artikel van (niet meer praktiserend) huisarts, Hr. W.J. Jongejan, getiteld: “ Senaat zal Nederlandse burger moeten behoeden voor ongrondwettelijke digitale datadeling”.

Op 12 januari 2021 is van de hand van jurist en schrijver Maxim Februari een artikel over dit wetsvoorstel gepubliceerd in de NRC Handelsblad. (www.maximfebruari.nl). 

Inmiddels is duidelijk geworden, dat de Eerste Kamer na alle waarschuwingen en kritiek op het wetsvoorstel op 15 januari 2021 heeft besloten om het wetsvoorstel WGS voor nader onderzoek terug te sturen naar de Raad van State.