Bijna exact 2 jaar na de eerdere rechtszittingen over de Gedragscode en het DIS vonden op 15-2-2019 bij de rechtbank Midden-Nederland opnieuw zittingen plaats. Vanaf 2015 vraagt Burgerrechtenvereniging Vrijbit (www.vrijbit.nl) via juridische procedures tegen de Autoriteit Persoonsgegevens (AP) al aandacht voor de onrechtmatige verwerking van bijzondere persoonsgegevens, die een aantasting betekent van het recht op privacy van de burger. Stichting KDVPg is vanaf de start van deze procedures actief betrokken bij beide zaken.

In een KDVP nieuwsbericht (dd 4 april 2016) kunt u informatie vinden over de hoorzittingen welke op 15 maart 2016 bij de AP zijn gehouden naar aanleiding van de handhavingsverzoeken die Vrijbit in 2015 bij de AP heeft ingediend en waar de AP vervolgens afwijzend op heeft gereageerd. In reactie op de afwijzende beslissing van de AP ten aanzien van deze handhavingsverzoeken is Vrijbit in beroep gegaan en op 10-3-2017 heeft de rechtbank Midden-Nederland beide zaken voor de eerste keer behandeld, hetgeen op 11-7-2017 tot een “tussen-uitspraak” heeft geleid.

In haar tussen-uitspraak van 11-7-2017 heeft de rechtbank beslist om de Autoriteit Persoonsgegevens (AP) de gelegenheid te geven de “gebreken” in hun (onrechtmatige) verwerkingsprocedures aan te passen aan de uitspraken van de rechter. De AP kreeg toen 2 weken de tijd om te beslissen of ze van dit “aanbod” gebruik wilde maken en zo ja, dan moest er binnen 8 weken resultaat worden geboekt. De AP heeft vervolgens echter uitstel op uitstel gevraagd - en van de rechtbank gekregen - met als gevolg dat pas ruim anderhalf jaar na de tussen-uitspraak in 2017 nu op 15 februari 2019 zittingen hebben plaatsgevonden over deze beide zaken.

De voorzitster van Burgerrechtenvereniging Vrijbit (Mw. Wijnberg) en de voorzitter van de stichting KDVP (Ab van Eldijk) deden ook op 15-2-2019 als gemachtigden het woord namens de eisende partij.

De eerstgenoemde juridische procedure betreft het beroep tegen de Beslissing op Bezwaar van de AP om niet handhavend op te willen treden tegen de onrechtmatige verzameling, verwerking en doorlevering van medische diagnose- en behandelgegevens (DBC’s) in het DIS, die reeds plaatsvindt vanaf 2006. In 2006 had het CBP (nu AP) al aangegeven dat het DIS geen tot personen herleidbare gegevens mocht bevatten. Door koppeling van data uit het DIS met in andere bestanden beschikbare gegevens bleken deze data wel degelijk herleid te kunnen worden tot concrete “personen van vlees en bloed”. Dat heeft inmiddels ook de NZa - waar het DIS sinds mei 2015 onder ressorteert - zelf moeten erkennen. Hier kunt u de tussen-uitspraak vinden in het beroep (zaaknummer UTR 16/4199 WBP V93) over het feit dat jarenlang op onrechtmatige wijze gegevens door het DIS worden verwerkt. 

De tweede zaak gaat over de procedures voor de verwerking van medische persoonsgegevens zoals die zijn vastgelegd in de Gedragscode Zorgverzekeraars. De goedkeuring van die gedragscode door het CBP (nu AP) is in de uitspraak van de rechtbank Amsterdam op 13-11-2013 vernietigd, omdat de in de gedragscode beschreven verwerkingsprocedures geen juiste uitwerking vormden van wet (Wbp) en verdrag (EVRM). Tot op heden zijn er door gezamenlijke zorgverzekeraars geen aan het oordeel van de rechter aangepaste verwerkingsprocedures uitgewerkt die wèl een juiste uitwerking vormen van vereisten voortvloeiend uit wet en verdrag. Hier kunt u de tussen-uitspraak vinden in het beroep (zaaknummer UTR 16/3326 WBP V97) over het feit dat nog steeds op onrechtmatige wijze gegevens door zorgverzekeraars worden verwerkt ondanks het rechterlijk oordeel uit 2013. De oordelen in dit tussenvonnis van de rechtbank waren taakstellend voor de AP.

Hier kunt u de slotbetogen over zowel de Gedragscode als het DIS vinden die door de eisende partij zijn gepresenteerd in de rechtszittingen op 15-2-2019.

Op 18-2-2019 is in reactie op de zittingen door niet-praktiserend huisarts W.J. Jongejan een artikel gepubliceerd getiteld: “Onbegrijpelijke gebeurtenis met geheime stukken in rechtszaak Vrijbit”.

De rechter heeft aangegeven zijn best te zullen doen om binnen 6 weken na 15-2 uitspraak te doen, maar gaf meteen al aan dat het vanwege de complexiteit van beide zaken heel goed mogelijk is dat de uitspraak later komt.

In 2018 is door een coalitie van partijen een bodemprocedure gestart tegen de Nederlandse staat over het Systeem Risico Indicatie (SyRI). De stichting KDVP is één van de officiële procespartijen in deze juridische procedure tegen de staat. SyRI vormt namelijk ook een bedreiging voor het medisch beroepsgeheim.

SyRI beoogt burgers te kunnen profileren door persoonsgegevens die bij de overheid in allerlei databanken aanwezig zijn te verzamelen en te koppelen. Dit kan ook bijzondere persoonsgegevens, zoals medische data, betreffen.

Met behulp van geheime - voor de burger onbekende - algoritmen vindt een risico-analyse van de verzamelde en gekoppelde gegevens plaats. Als uit deze analyse van data naar voren komt dat een burger een verhoogd risico voor vormen van fraude of overtredingen zou zijn, wordt hij/zij in het “Register Risicomelding” geplaatst. Burgers worden niet geïnformeerd over het feit dat ze in dit Register Risicomelding zijn geplaatst en kunnen ook niet achterhalen waarom ze daarin zijn opgenomen. De overheid houdt zich hier niet aan haar informatieplicht.

Het Systeem Risico Indicatie heeft gevolgen voor de relatie tussen burgers en overheid. Doordat de overheid informatie die bij verschillende overheidsinstanties over burgers ligt opgeslagen op niet-transparante wijze tegen onverdachte burgers gebruikt, wordt wantrouwen de basis van de verhouding tussen de overheid en haar onderdanen.

Over deze fundamentele maatschappelijke kwestie is door Ronald Huissen vanuit het Platform Bescherming Burgerrechten in het tijdschrift “Sociaal bestek” een uiterst lezenswaardig het artikel gepubliceerd met de titel: “De overheid zet de verhouding met haar burgers op scherp”.

Verwacht wordt dat in de loop van 2019 de eerste zitting zal plaatsvinden over de juridische procedure tegen het Systeem Risico Indicatie (SyRI). Vermoedelijk zal de zittingsdatum in de periode tussen mei en september vallen. Het is de verwachting dat de rechtbank binnen 6 maanden na de zitting uitspraak zal doen.

Naar aanleiding van het “winnen” van de Big Brother Award (BBA) 2018 zegt minister De Jonge van Volksgezondheid dat in de nieuwe “Wet bevorderen samenwerking en rechtmatige zorg” (Wbsrz) met geanonimiseerde gegevens moet worden gewerkt en dat aan patiënten expliciete toestemming moet worden gevraagd voor het verwerken van hun data.

Op 22 januari 2019 zijn in De Rode Hoed te Amsterdam voor de veertiende keer de Big Brother Awards door Bits of Freedom (www.bof.nl) uitgereikt. In een feestelijke show werden de “winnaars” van 2018 bekend gemaakt. Personen, bedrijven en/of overheden die zich in het afgelopen jaar bij uitstek schuldig hebben gemaakt aan inbreuken op de privacy werden ook dit jaar weer op ludieke wijze “te kijk gezet”.

Eén van de ”winnaars” was dit jaar minister Hugo de Jonge van Volksgezondheid. De “expertprijs” werd hem toegekend door een panel van deskundigen vanwege zijn wetsvoorstel (Wbsrz) dat het voor allerlei instanties mogelijk moet maken om medische gegevens te kunnen uitwisselen. Dit wetsvoorstel zou het ondermeer mogelijk moeten maken om zorgfraude beter op te sporen. Artsenfederatie KNMG vindt de nieuwe fraudewet een onnodige inbreuk op het beroepsgeheim omdat er met die wet op grootschalige wijze tot personen herleidbare medische data kunnen worden uitgewisseld. Volgens Bits of Freedom schendt dit voorstel op onacceptabele wijze de privacy van patiënten.

Helaas heeft de minister aangegeven op 22 januari niet aanwezig te kunnen zijn om de prijs in ontvangst te nemen. Via zijn woordvoerder liet de minister echter het volgende weten:

“Geld voor de zorg, moet besteed worden aan de zorg en aan niks anders. Jaarlijks kosten onrechtmatigheden en fraude met zorggeld de samenleving miljoenen euro’s. Dat is geld dat wordt opgebracht door ons allemaal. Daarom is er een wetsvoorstel in de maak dat ervoor zorgt dat toezichthouders, opsporingsdiensten en handhavende partijen hun kennis beter kunnen delen. Fraudeurs lopen zo eerder tegen de lamp. Maar dat betekent niet dat het medisch beroepsgeheim doorbroken wordt. Er wordt namelijk vastgelegd dat er met geanonimiseerde gegevens gewerkt moet worden, tenzij de patiënt zelf toestemming geeft om zijn gegevens te gebruiken. Privacy blijft dus beschermd. Want patiënt en arts moeten in vertrouwen informatie met elkaar kunnen delen. Met deze nieuwe wet kan er wel eerder en harder ingegrepen worden bij vermoedens van zorgfraude”.

Het is opmerkelijk dat de minister in bovengenoemde reactie nu alsnog te kennen geeft dat met geanonimiseerde - niet tot personen herleidbare -  gegevens zal worden gewerkt en dat de patient zelf toestemming moet geven om behandeldata in brondossiers van zorgverleners te doen gebruiken door derden.

Dit standpunt van de minister betekent dat het wetsvoorstel Wbsrz niet kan worden ingevoerd en dat ook andere systemen voor de uitwisseling van tot personen herleidbare medische gegevens in de zorg moeten worden getoetst aan deze criteria wil het medisch beroepsgeheim behouden blijven.

Gelukkig zijn er inmiddels informatiesystemen voor de zorg ontwikkeld die geen inbreuk vormen op het medisch beroepsgeheim. Verwacht mag worden dat de minister deze serieus zal gaan betrekken bij de invoering en ontwikkeling van veilige systemen voor toegang en gebruik van medische data die geen inbreuk vormen op het medisch beroepsgeheim.

Op 25 september 2018 heeft de rechtbank Amsterdam uitspraak gedaan in de juridische procedure die onze stichting had aangespannen tegen de Autoriteit Persoonsgegevens.

De KDVP voert deze procedure omdat de AP nog steeds niet handhavend is opgetreden tegen het uitblijven van een aangepaste, digitale declaratieprocedure waarmee effectief kan worden voorkomen dat diagnose-informatie via het gehanteerde DBC tarief terecht komt bij de zorgverzekeraar en bij het Diagnose Informatie Systeem (DIS).

Het gaat hier om het daadwerkelijk gebruik van de opt-outregeling. De opt-outregeling moet het mogelijk maken om digitaal te kunnen declareren zonder vermelding van diagnose- en behandelinformatie en zonder dat uit het DBC-tarief alsnog de diagnose is af te leiden. Ondanks eerdere acties en een mediationtraject is er nog steeds geen effectieve, officiële regeling, waarmee in de praktijk van de hulpverlening bij afgifte van een privacyverklaring op een duidelijke en betrouwbare manier digitaal en toch “privacyproof” kan worden gedeclareerd.

De rechtbank Amsterdam heeft ons beroep afgewezen. De KDVP is echter van oordeel dat deze rechterlijke uitspraak onvoldoende gemotiveerd is. Ons inziens heeft de rechtbank ten onrechte de niet- afdoende, afwijzende beslissing van de AP overgenomen. Dit besluit van de AP is niet gebaseerd op eigen onafhankelijk onderzoek, maar wordt vooral onderbouwd door te verwijzen naar conclusies uit een rapport van de NZa dat echter helemaal geen betrekking had op onze bezwaren tegen de bestaande digitale declaratieprocedure die gehanteerd zou moeten worden bij afgifte van een privacyverklaring.  

Bovengenoemde overwegingen heeft de KDVP doen besluiten om op 15-11-2018 bij de Raad van State Hoger Beroep tegen de uitspraak van de rechtbank Amsterdam in te stellen om deze uitspraak – en daarmee óók de misleidende , niet affectieve digitale declaratieprocedure te gebruiken bij afgifte van een privacyverklaring – opnieuw te laten toetsen.