De rechtbank Amsterdam heeft de Stichting KDVP laten weten dat de geplande rechtszitting over de Gedragscode Zorgverzekeraars die op 31 maart a.s. zou plaatsvinden, vanwege de coronacrisis is uitgesteld tot een nader te bepalen datum. Helaas betekent dat opnieuw vertraging in een juridische procedure over het in strijd met wet en verdrag verwerken van medische persoonsgegevens door zorgverzekeraars.

De door de KDVP tegen de Autoriteit Persoonsgegevens (AP) aangespannen juridische procedure over verwerking en gebruik van medische persoonsgegevens door zorgverzekeraars ging oorspronkelijk over het feit dat procedures en bedrijfsprocessen voor de verwerking van medische persoonsgegevens – zoals die werden vastgelegd in de Gedragscode Zorgverzekeraars – nog steeds niet zijn aangepast en bijgesteld op basis van de rechterlijke uitspraak op 13-11-2013. De rechtbank Amsterdam had in november 2013 de goedkeuring van die Gedragscode door het College Bescherming Persoonsgegevens (sinds 1-1-2016 AP) vernietigd, omdat de in de Gedragscode Zorgverzekeraars beschreven procedures en bedrijfsprocessen geen juiste uitwerking vormden van Wbp (Wet bescherming persoonsgegevens) en EVRM (Europees Verdrag voor de Rechten van de Mens). Volgens de rechtbank Amsterdam heeft het CBP bij de goedkeuring van de gedragscode op 13 december 2011 de in deze gedragscode vastgelegde verwerkingsprocedures onvoldoende dan wel onjuist getoetst aan vereisten voor de bescherming van privacyrechten van patiënten/cliënten zoals vastgelegd in wet en verdrag.

Omdat er door de AP vervolgens niets werd ondernomen om de verwerking van medische persoonsgegevens door zorgverzekeraars alsnog te doen aanpassen aan de door de rechter geconstateerde bezwaren heeft de KDVP een handhavingverzoek ingediend bij de AP teneinde deze toezichthouder er toe te brengen handhavend op te treden tegen verwerkingsprocedures bij zorgverzekeraars die naar het oordeel van de rechter geen juiste uitwerking vormden van wet en verdrag. Aangezien de AP ook hierna in gebreke bleef om handhavend op te treden tegen de zorgverzekeraars is de KDVP een beroepsprocedure gestart om alsnog adequaat handhavend optreden van de kant van de AP af te dwingen. In de zitting op 18 juli 2017 over dit beroep tegen de AP is door de rechter voorgesteld een mediation procedure te starten om zo samen met de AP, NZA (Nederlandse Zorgautoriteit) en ZN (Zorgverzekeraars Nederland) te kunnen komen tot aanpassingen zoals gevergd door de rechterlijke uitspraak. Tijdens de mediation bleek helaas herhaaldelijk dat de andere partijen niet bereid waren tot een constructieve samenwerking. Ondanks aandringen van onze kant is na een half jaar noch door de AP noch door één van de andere partijen een inhoudelijk voorstel gedaan voor aanpassing van de gewraakte werkwijzen van zorgverzekeraars. De KDVP heeft vervolgens besloten de mediation procedure te staken en de kwestie opnieuw bij de rechter neer te leggen.

Inmiddels zijn er jaren verstreken sinds de rechterlijke uitspraak van 2013 en vormt de verwerking van medische persoonsgegevens bij zorgverzekeraars nog steeds geen juiste uitwerking van wet en verdrag. Wel hebben zorgverzekeraars de Minister van VWS laten weten dat zij bezig zijn een nieuwe Gedragscode Zorgverzekeraars op te stellen die ter goedkeuring zal worden voorgelegd aan de AP.

Het is spijtig te moeten constateren dat de KDVP als belanghebbende partij in deze kwestie tot nu toe in het geheel niet is geïnformeerd over deze ontwikkeling, zoals dat feitelijk wél de bedoeling was toen in 2017 op voorstel van de rechtbank een mediation procedure werd gestart in de hoop de gewraakte werkwijzen van zorgverzekeraars aan te passen aan het oordeel van de rechter. Het is wel heel ongelukkig dat er nu opnieuw vertraging optreedt in deze al jarenlang slepende juridische procedure.

Helaas is door gezamenlijke partijen NZa en ZN nog steeds geen officiële, effectieve en in de praktijk makkelijk te hanteren regeling uitgewerkt, waarmee zorgverleners digitaal kunnen declareren zonder dat bij afgifte van een privacyverklaring het toepasselijke DBC tarief alsnog wordt verstrekt aan de zorgverzekeraar. De KDVP is nog steeds van mening dat het de verantwoordelijkheid van zorgverzekeraars en NZa is en blijft om voor het gebruik van de opt-outregeling een officiële, eenduidige regeling te maken, zodat voor alle hulpverleners duidelijk is op welke wijze digitaal kan worden gedeclareerd zonder dat de diagnose kan worden herleid uit het toepasselijke DBC tarief. Via juridische procedures heeft de KDVP hier bij herhaling op gewezen.

Binnen afzienbare tijd zal het hele stelsel worden gewijzigd en zal de DBC structuur worden losgelaten. Zolang dat echter nog niet het geval is, willen wij ook dit jaar verwijzen naar een privacyproof tarievenlijst 2020 met niet eenduidig herleidbare tarieven, zoals deze door een collega aan ons is toegestuurd.

Hier kunt U de lijst met privacyproof tarieven vinden voor 2020:

Privacy Proof Tarieven GGGZ 2020

De lijst met privacyproof tarieven voor 2019 vind U in een eerder nieuwsbericht.

De rechtbank Den Haag heeft op 5 februari jl. uitspraak gedaan in de SyRI (Systeem Risico Indicatie) procedure. Een coalitie van 8 maatschappelijke partijen had ervoor gepleit om het gebruik van het SyRI risicoprofileringssysteem te stoppen, aangezien dit systeem onvoldoende waarborgen bevat om het recht op privacy van burgers te garanderen. Zie voor meer informatie over deze procedure het nieuwsbericht van 2 april 2018 en tevens de nieuwsberichten van 2 februari 2020 en 7 februari 2020.

De rechtbank heeft in haar uitspraak geoordeeld dat de wetgeving die de inzet van SyRI regelt in strijd is met hoger recht. De rechtbank heeft het oogmerk van SyRI – het opsporen en bestrijden van fraude – afgezet tegen de inbreuk die SyRI maakt op het privéleven van burgers en is tot de conclusie gekomen dat hier geen sprake is van een “fair balance” die het EVRM wel vergt om te kunnen spreken van een gerechtvaardigde inbreuk op de privacy. Het op grote schaal koppelen van persoonsgegevens – waaronder ook gegevens uit de zorg – wordt door de rechter in strijd geacht met het fundamentele recht op bescherming van de persoonlijke levenssfeer. De rechter oordeelde dat SyRI noch transparant, noch controleerbaar is. De inbreuk op het privéleven is voor burgers niet te voorzien en burgers kunnen zich vervolgens ook niet verweren. Dat geldt niet alleen voor de burgers die door SyRI als een verhoogd risico worden aangemerkt, maar voor iedereen van wie de gegevens door SyRI worden geanalyseerd.

De rechter heeft zich in de SyRI procedure uitgesproken over het SyRI risicoprofileringssysteem, maar er bestaan tal van dergelijke systemen, waarbij met behulp van algoritmes beslissingen over mensen worden genomen, die voor degenen die het treft niet inzichtelijk zijn, omdat onbekend is voor betrokkenen welke data zijn vergaard en gekoppeld en op basis van welke data beslissingen worden genomen.

In een op 6 maart jl. verschenen artikel van de NRC - https://www.nrc.nl/nieuws/2020/03/06/schimmige-algoritmes-bij-uwv-en-syri-zijn-topje-van-de-ijsberg-a3992851 - over de risico’s van profileringsystemen waarbij via algoritmes risicoprofielen van burgers worden opgesteld, wordt voor het volgende gepleit:

“Alle overheden en bedrijven die algoritmische systemen gebruiken om mensen automatisch in categorieën in te delen, zouden goed naar de SyRI-uitspraak moeten kijken. Het systeem diende volgens de rechtbank weliswaar een legitiem doel: de bestrijding van fraude is „cruciaal” voor het draagvlak voor het stelsel van sociale zekerheid in Nederland. Maar de rechters vonden dat oncontroleerbaar is hoe de algoritmes van SyRI onder de motorkap werken. De kern van de uitspraak is dat er in dat geval te weinig waarborgen zijn voor burgers: zij kunnen niet uitzoeken of hun gegevens wel juist zijn verwerkt en weten niet waartegen ze precies bezwaar moeten maken”.

Het is nu aan de overheid om orde op zaken te stellen en werkwijzen die niet voldoen aan de door de rechter in de uitspraak geformuleerde voorwaarden stop te zetten. En het is aan de Autoriteit Persoonsgegevens om er op toe te zien dat dit ook daadwerkelijk gebeurt.

In de uitspraak van 5 februari j.l. heeft rechtbank Den Haag geoordeeld dat het Systeem Risico Indicatie (SyRI) in strijd is met het Europees Verdrag voor de Rechten van de Mens. Volgens de rechter bevat SyRI onvoldoende waarborgen om de privacy van burgers te beschermen.

Op 5-2-2020 heeft de rechtbank Den Haag uitspraak gedaan over het Systeem Risico Indicatie (SyRI) in een procedure die door een coalitie van maatschappelijke organisaties is aangespannen in 2018.  Deze coalitie van partijen heeft er tijdens de zitting op 29 oktober 2019 voor gepleit om het gebruik van SyRI te stoppen, aangezien dit risicoprofileringssysteem onvoldoende waarborgen bevat om het recht op privacy van burgers te garanderen. Zie voor meer informatie over deze procedure het nieuwsbericht van 2 april 2018 op deze site.

De rechtbank heeft in haar uitspraak geoordeeld dat de wetgeving die de inzet van SyRI regelt in strijd is met hoger recht. Deze SyRI wetgeving acht de rechter in strijd met de vereisten zoals vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens, die het recht op respect voor het privéleven moeten waarborgen. De rechtbank heeft het oogmerk van SyRI – het opsporen en bestrijden van fraude – afgezet tegen de inbreuk die SyRI maakt op het privéleven van burgers en is tot de conclusie gekomen dat hier geen sprake is van een “fair balance” die het EVRM echter wel vergt om te kunnen spreken van een gerechtvaardigde inbreuk op de privacy. Het op grote schaal koppelen van persoonsgegevens – waaronder ook gegevens uit de zorg – wordt door de rechter in strijd geacht met het fundamentele recht op bescherming van de persoonlijke levenssfeer. 

Hier kunt u het persbericht lezen dat naar aanleiding van deze uitspraak is opgesteld door de coalitie van partijen die de juridische procedure in 2018 heeft aangespannen.

In reactie op de uitspraak heeft staatssecretaris van Ark van Sociale Zaken en Werkgelegenheid diezelfde dag publiekelijk aangegeven dat het systeem SyRI niet meer zal worden ingezet. Het is te hopen dat deze uitspraak in de toekomst zal doorwerken in beleid en wetgeving met betrekking tot verwerking en gebruik van bijzondere persoonsgegevens in Nederland. Omdat in deze zaak voor het eerst middels non-gouvernementele organisaties door burgers wordt opgekomen tegen het profileren van burgers via het op grote schaal verzamelen, koppelen en analyseren van persoonsgegevens is deze uitspraak ook internationaal van groot belang. In The Guardian is in reactie op de uitspraak onderstaand artikel verschenen:
https://www.theguardian.com/technology/2020/feb/05/welfare-surveillance-system-violates-human-rights-dutch-court-rules

Op 29 oktober 2019 vond bij de rechtbank Den Haag onder grote belangstelling de rechtszitting plaats over de aanklacht die door een maatschappelijke coalitie van 8 partijen was aangespannen tegen de Nederlandse staat betreffende de inzet van het Systeem Risico Indicatie (SyRI). De coalitie van partijen bestaat uit Platform Bescherming Burgerrechten, Stichting KDVP, Privacy First, Nederlands Juristencomité voor de Mensenrechten, Landelijke Cliëntenraad, vakbond FN, evenals de auteurs Maxim Februari en Tommy Wieringa.

In het kader van het opsporen van fraude verschaft SyRI de overheid een onbeperkte bevoegdheid om zonder concrete verdenking op grote schaal persoonsgegevens van onverdachte burgers – waaronder ook gegevens uit de zorg – op te eisen en deze data op geheime en oncontroleerbare wijze te koppelen en analyseren om zodoende een risicoprofiel van deze burgers te kunnen opstellen. De coalitie van partijen is van mening dat deze ontwikkeling een onaanvaardbare bedreiging vormt voor onze democratische rechtsstaat en heeft in de rechtszitting gepleit voor het buiten werking stellen van SyRI.

De rechtbank doet op woensdag, 5-2, mondeling uitspraak in deze procedure.

Adres rechtbank: Prins Clauslaan 60, 2595 AJ Den Haag

Aanvang zitting: 10:00 uur