Het kabinet heeft onlangs het wetsvoorstel “Wet bevordering samenwerking en rechtmatige zorg” (hierna aangeduid als “Wbsrz”) ter bestrijding van fraude in de zorg aan de Tweede Kamer ter behandeling aangeboden. Deze wet zou het mogelijk moeten maken om fraude in de zorg beter te kunnen detecteren.

Onderdeel van het wetsvoorstel is de oprichting van het ‘InformatieKnooppuntZorg” (hierna aangeduid als “IKZ”). Om mogelijke zorgfraude op te sporen kunnen (persoons)gegevens die zijn opgeslagen bij verschillende instanties worden samengebracht bij het IKZ. Op basis van de Wbsrz kunnen allerlei partijen/instellingen een melding doen bij het IKZ op het moment dat ze een vermoeden hebben van zorgfraude. Meldingen kunnen vervolgens worden gekoppeld aan data bij IKZ die afkomstig zijn van andere instanties. Het IKZ stuurt de door haar aangevulde, “verrijkte” gegevens daarna weer terug naar de deelnemende instanties.

Behalve de oprichting van het IKZ wordt met dit wetsvoorstel de inrichting van een zgn. “Waarschuwingsregister” voor zorgfraude geregeld. In dit Waarschuwingsregister kunnen namen van natuurlijke personen en rechtspersonen worden opgenomen als er een vermoeden van fraude bestaat. Bij het genereren van deze fraude-signalen gaat het feitelijk om black box profileringen van zorgverleners en zorginstellingen, waar de als potentieel frauderend-geregistreerden niet van op de hoogte worden gesteld en waar ze ook niet tegen op kunnen komen omdat niet duidelijk is op welke wijze fraudeprofielen tot stand komen. Door het delen van de gegenereerde fraude-signalen met verschillende partijen zijn de bepalingen over de bewaartermijn van de data die aanwezig/opgeslagen zijn in het Waarschuwingsregister in deze regelgeving slechts zinledige windowdressing.  

Het Platform Bescherming Burgerrechten- waar de KDVP èèn van de deelnemende partijen is - is ernstig gealarmeerd door deze ontwikkeling. In de uitspraak in de SyRI procedure dd 5-2-2020 die door een coalitie van partijen - onder wie de KDVP - was aangespannen tegen de overheid heeft de rechter niet voor niets o.a. gesteld dat een risicomelding in verband met een vermoeden van fraude een “aanmerkelijke impact” kan hebben op de belangen van degene(n) over wie een melding wordt gedaan. In de hierboven genoemde SyRI procedure tegen de overheid zijn eisende partijen in het gelijk gesteld waar het om het onrechtmatige karakter van het risicoprofileringsysteem SyRI gaat. Het wetsvoorstel Wbsrz is net zo’n risicoprofileringsysteem als het SyRI-systeem en dus bij uitstek bedoeld voor – in dit geval – het profileren van zorgverleners.

In het kader van een internetconsultatie over de concept-regels ten aanzien van de omgang met persoonsgegevens in het wetsvoorstel Wbsrz heeft het Platform aan het kabinet een reactie opgestuurd, waarin de zorgen over deze regelgeving worden verwoord.

Na de mislukking van het door VWS gesteunde project om uitwisseling van medische gegevens op basis van een meer gerichte, gespecificeerde en geïnformeerde toestemming mogelijk te maken, is in samenwerking met zorgverzekeraars een centraal systeem voor Online Toestemmingsvoorziening Mitz ontwikkeld. Met de introductie van deze online toestemmingsvoorziening wordt de beslissing over uitwisseling van medische gegevens van patiënten weggehaald uit de spreekkamer en onttrokken aan de zorgplicht van aan het beroepsgeheim gehouden zorgverleners. Daarmee vormt het voorgestelde online toestemmingssysteem Mitz een onacceptabele inbreuk op het medisch beroepsgeheim.

In het volgende artikel gaat (niet meer praktiserend) huisarts W.J. Jongejan in op de bedreiging voor het medisch beroepsgeheim als de online toestemmingvoorziening Mitz wordt ingevoerd:

https://www.zorgictzorgen.nl/online-toestemmingsvoorziening-gaat-uit-van-onjuiste-premisse-t-a-v-medisch-beroepsgeheim/#more-5324 

Het centrale systeem Mitz is daarnaast ook uiterst onveilig en onnodig inbreukmakend aangezien andere, veilige ict-oplossingen beschikbaar zijn waarbij de besluitvorming over de uitwisseling van behandelinformatie blijft berusten in de patiënt- zorgverlener relatie. Zeer informatief in dit verband is ook onderstaand artikel van W.J. Jongejan:

https://www.zorgictzorgen.nl/nuts-toont-genadeloos-mancos-in-mitz-als-beoogde-online-toestemmingsvoorziening/#more-5355

Vanaf 7 september tot en met maandag 5 oktober 2020 is er een open consultatieronde ingesteld die het mogelijk maakt om te reageren op het voorstel om online toestemmingsvoorziening Mitz te implementeren.

Stichting KDVP is uiterst bezorgd en verontrust vanwege de wijze waarop het Mitz-systeem voor informatievoorziening is opgezet. In de achterliggende weken hebben wij als KDVP de opzet van het Mitz-systeem besproken met zowel zorgverleners als met ict-experts en juristen. Hieronder kunt  u de reactie van onze stichting aan het Informatieberaad Zorg – samengevat in 4 kernbezwaren - lezen:

Volgens de KDVP zijn dit de belangrijkste praktische bezwaren tegen het Mitz-systeem:

1. dat het beheer van toestemming binnen dit systeem wordt onttrokken aan de zorgverlener die op grond van het medisch beroepsgeheim een eigen verantwoordelijkheid heeft om uitwisseling van medische persoonsgegevens vanuit het eigen patiëntdossier (bronsysteem) achterwege te laten waar het in strijd met de belangen van betrokkenen wordt geacht deze informatie te delen met een derde partij. Het voorgestelde systeem vormt daarmee een ongeoorloofde inbreuk op het medisch beroepsgeheim.
2. voor een verantwoorde en te verantwoorden uitwisseling van medische persoonsgegevens vanuit patiëntdossiers (brondossiers) van verantwoordelijke zorgverleners is voor het valideren van toestemming en data-uitwisseling in de eerste plaats authenticatie van de brondossierhouder vereist. Daarin wordt door het Mitz-systeem niet voorzien. Dit cruciale gebrek van Mitz is een gevolg van het feit dat dit systeem niet is opgebouwd vanuit de brondossiers bij verantwoordelijke zorgverleners gehouden aan het medisch beroepsgeheim, maar het systeem wil voorzien in een centrale faciliteit voor de uitwisseling van medische persoonsgegevens op basis van een juridisch niet valide generieke toestemming. Door de opbouw van Mitz en het ontbreken van een veilige en verantwoorde faciliteit voor authenticatie van brondossierhouders is sprake van een onveilig systeem dat niet de basis kan vormen voor een legitieme uitwisseling van medische persoonsgegevens.

3. met de ontwikkeling van dit Mitz-systeem is ten onrechte voorbijgegaan aan informatietechnische mogelijkheden om deugdelijke/sterk geauthenticeerde data-uitwisseling vanuit decentrale bronsystemen met geïdentificeerde ontvangers mogelijk te maken. Het Mitz-systeem  kan daarmee toetsing aan het subsidiariteitsvereiste niet doorstaan.
4. De rigiditeit van een centraal systeem als Mitz – in vergelijking met een decentrale netwerkstructuur opgebouwd vanuit brondossiers/brondossierhouders – maakt dat dit systeem niet toekomstbestendig is waar het niet dynamisch en daarmee zorg volgend is ingericht. In de praktijk wordt het dan ook aangemerkt als een innovatie remmend systeem.

Het is op basis van deze kernbezwaren dat de KDVP de invoering van Mitz zowel onrechtmatig als uiterst onwenselijk achten.

Geacht LVVP bestuur,

In uw Nieuwsbrief dd 12-3-2020 staat het volgende misleidende, want onjuiste bericht:

“Als een patiënt niet wil dat de hoofddiagnose bij de zorgverzekeraar terechtkomt, dan kan deze een privacyverklaring invullen en ondertekenen. Een format hiervoor vindt u als bijlage bij de regeling gespecialiseerde ggz 2020 (zie bijlage 5) en tevens op Mijn LVVP. In dat geval kunt u gebruikmaken van een zogenoemde dummycode. Met die code is het voor de verzekeraar niet mogelijk om de diagnose alsnog vanuit het dbc-tarief te herleiden. De declaratiecode bij gespecialiseerde ggz is 10B999 of 25B999. De prestatiecode is dan 101999999999 bij een initiële dbc of 202999999999 bij een vervolg-dbc”.

Dit summiere bericht over de aangepaste declaratieprocedure welke kan worden gebruikt bij afgifte van de NZa-privacyverklaring is helaas onvolledig en daarmee misleidend, dan wel leidend tot misverstanden. Het bericht suggereert namelijk ten onrechte dat de diagnose - bij gebruikmaking van de aangepaste declaratieprocedure - niet meer kan worden herleid uit het dbc-tarief, indien voor declaratiecode en prestatiecode dummycodes zijn ingevoerd. Omdat de NZa tarieven echter dbc-specifiek zijn, is herleiding van diagnose-informatie niet alleen mogelijk via diagnose informatie die besloten zit in declaratiecodes en prestatiecodes, maar ook via het gehanteerde dbc-tarief.

Een aangepaste digitale declaratieprocedure waarmee voorkomen kan worden dat bij declaratie diagnose-informatie wordt verstrekt is pas correct en effectief als de declaratie niet is gebaseerd op een dbc-specifiek tarief. In het LVVP-bericht over de aangepaste declaratieprocedure wordt echter niets gezegd over de wijze waarop een declaratie kan worden opgesteld zonder deze te baseren op een dbc-specifiek tarief.

Omdat zorgverzekeraars en zorgverleners contractueel gehouden zijn om gebruik te maken van digitale declaratieprocedures moet de aangepaste digitale declaratie-procedure die kan worden gebruikt bij afgifte van een privacyverklaring zo zijn ingericht dat de zorgverlener duidelijk wordt geïnformeerd over de wijze waarop kan worden gedeclareerd zonder daarbij uit te gaan van een dbc-specifiek tarief.

Voor zorgverleners is het van groot belang dat duidelijk is op welke wijze bij een aangepaste digitale declaratie-procedure effectief kan worden voorkomen dat via een dbc-specifiek tarief alsnog diagnose-informatie wordt verstrekt aan zorgverzekeraars en DIS. Het is namelijk aan zorgverleners om overeenkomstig de uitdrukkelijke wens van cliënten te voorkomen dat bij declaratie ten onrechte, want door de cliënt expliciet niet gewenste diagnose-informatie wordt doorgegeven. Mocht de cliënt achteraf ontdekken dat zijn privacy helemaal niet gewaarborgd is geweest, kan dat eventueel aanleiding zijn om een aanklacht tegen de betreffende psychotherapeut in te dienen. Naar ons oordeel is het een taak van de LVVP als beroeps- en belangenorganisatie om haar leden tegen een dergelijk ongewenst effect te beschermen. Het is aan de LVVP als beroepsorganisatie om namens haar leden aan te dringen op aanpassing van de digitale declaratieprocedure die moet worden gebruikt bij afgifte van een privacyverklaring, zodat zorgverleners effectief uitvoering kunnen geven aan de expliciete wens van cliënten om geen diagnose-informatie te verstrekken aan zorgverzekeraars en DIS.

Het is onbegrijpelijk en verwijtbaar onzorgvuldig dat door NZa en/of ZN bij de aangepaste digitale declaratieprocedure nog steeds geen duidelijke toelichting is geformuleerd waarin concreet staat beschreven hoe zorgverleners digitaal kunnen declareren zonder dat bij afgifte van een privacyverklaring tot de diagnose herleidbare informatie wordt aangeleverd bij zorgverzekeraars en DIS. Dit is een ernstige en voor zorgverleners gevaarlijke tekortkoming die op eenvoudige wijze voorkomen had kunnen worden. Zo had de NZa er bij de jaarlijkse vaststelling van dbc-tarieven allang voor kunnen zorgen dat tarieven niet langer DBC specifiek worden gemaakt op basis van minimale tariefvariaties. We kunnen niet anders concluderen dat de NZa dit bewust niet heeft willen doen.

De stichting KDVP is nog steeds van mening dat het de verantwoordelijkheid van zorgverzekeraars en NZa – als toezichthouder – is en blijft om een duidelijke procedure (inclusief toelichting bij gebruikte digitale schermen) uit te werken waarmee het voor alle hulpverleners (en daarmee ook voor hun cliënten) duidelijk is op welke wijze bij afgifte van een privacyverklaring digitaal kan worden gedeclareerd zonder dat de diagnose kan worden herleid uit het DBC tarief.

Wij dringen erop aan – en zullen dat ook via onze website kenbaar maken – dat de LVVP stelling neemt in deze kwestie.

Nu ZN/NZa weigerachtig zijn en blijven om een duidelijke, eenduidige en in de praktijk makkelijk te hanteren regeling te maken waarmee digitaal kan worden gedeclareerd bij afgifte van een privacyverklaring is door zorgverleners zelf voorlopig een privacy proof tarievenlijst opgesteld. In deze lijst hebben meerdere diagnoses hetzelfde tarief waardoor het niet mogelijk is om eenduidige diagnose-informatie te herleiden uit het gehanteerde aangepaste tarief. De KDVP ziet deze mogelijkheid als een tijdelijke noodoplossing om er voor te zorgen dat cliënten en hulpverleners niet de dupe zijn van het ontbreken van een correct uitgewerkte digitale declaratieprocedure. 

De privacyproof tarievenlijsten voor de G GGZ en B GGZ zijn te vinden op de site van de “Contractvrije Psycholoog” (Privacy Proof Tarieven) en op de site van de stichting KDVP onder de Nieuwsberichten 2019 (Opt-outregeling en Privacy Proof Tarieven).

Het is overigens problematisch dat het summiere, bovenstaande LVVP bericht onvolledig is waar niet wordt vermeld dat bij gebruik van de NZa privacyverklaring (via de opt-outregeling) ook geen diagnose-informatie bij het DIS mag worden aangeleverd. (In het verlengde van eerdere procedures is het verstrekken van zogenaamde MDS informatie per 15-4-2019 beperkt tot de hoofddiagnose op As I.  Ingeval van de privacyverklaring mag uiteraard helemaal geen diagnose-informatie worden verstrekt aan het DIS).

Wij hopen dat de LVVP als belangenorganisatie voor integere zorgverlening door haar leden alsnog stappen onderneemt om aan te dringen op een nadere uitwerking en aanpassing van een aangepaste digitale declaratieprocedure, zodat zorgverleners bij afgifte van een privacyverklaring effectief uitvoering kunnen geven aan de wens van cliënten dat er geen diagnose-informatie bij zorgverzekeraars en DIS terecht komt. In afwachting van de noodzakelijke aanpassing van de digitale declaratieprocedure is het voor uw leden van belang de onvolledige en daarmee evenzeer misleidende informatie in uw (summiere) bericht over deze zaak te corrigeren.

KDVP is bezorgd over het voornemen van de overheid om een “corona- app” in te voeren zonder voldoende toetsing van nut en noodzaak,  terwijl de “corona-app” zowel nu als in de toekomst een grote inbreuk vormt op de privacy van burgers in een democratische rechtstaat

Minister de Jonge onderzoekt de mogelijkheid van het gebruik van een app op de smartphone die een signaal kan afgeven wanneer men in de buurt is geweest van iemand die besmet is met het coronavirus. Deze “corona-app” zou de verspreiding van het virus moeten helpen indammen als tegelijkertijd de lock-down geleidelijk wordt teruggedraaid. Uit allerlei recente nieuwsberichten blijkt dat de overheid inmiddels druk bezig is om een app te (laten) ontwerpen die ingezet kan worden in de strijd tegen het corona virus.

Volgens een coalitie van maatschappelijke organisaties waar ook het Platform Bescherming Burgerrechten (de KDVP is daar bij aangesloten) deel van uitmaakt  lijkt de overheid zich bij de keuze vooral te laten leiden door technologische aspecten van een te ontwikkelen app en wordt er onvoldoende nagedacht over de noodzaak en nut/effectiviteit van een dergelijke app. De KDVP vreest dat er bij de overhaaste besluitvorming over een “corona app” door de overheid niet kritisch wordt nagedacht over het problematische karakter van een tracing app in een democratische rechtsstaat.

Hier kunt U het persbericht – getiteld “Burgerrechtenorganisaties slaan alarm over werkwijze Ministerie Volksgezondheid” - van 17-4 lezen dat door Bits of Freedom en het Platform Burgerrechten is gepubliceerd:

www.platformburgerrechten.nl/2020/04/17/burgerrechtenorganisaties-slaan-alarm-over-werkwijze-ministerie-volksgezondheid

Via onderstaande link is een live interview te beluisteren met filosoof en schrijver Maxim Februari over de inzet van de “corona app”. Dat interview werd bij de Balie te Amsterdam op 17 april afgenomen: www.youtu.be/hgfV3arZxqU

Met het wetsvoorstel “Contractering Zorg” hoopt het Ministerie van VWS vòòr het zomerreces de vergoeding van patiënten die naar niet-gecontracteerde zorgverleners gaan via een Algemene Maatregel van Bestuur te kunnen maximeren. In de praktijk betekent dit een afschaffing van de vrije artsenkeuze. Tevens komt er nog meer macht aan de kant van de zorgverzekeraars te liggen.

Waar het gaat om de borging van de vrije artsenkeuze heeft de KDVP ook eerder al samengewerkt met partijen die opkwamen voor het behoud van de vrije artsenkeuze. Ook nu blijft de KDVP in overleg met partijen om te zien op welke wijze in coalitieverband kan worden opgekomen tegen maatregelen die een inbreuk vormen op de vrije artsenkeuze.

Onze stichting KDVP ondersteunt dan ook het voornemen van de Stichting Handhaving Vrije Artsenkeuze tot het starten van een Kort Geding procedure in de hoop dit wetsvoorstel van tafel te krijgen. Donaties ter financiering van het kort geding kunnen worden gestort op rekening NL42RABO0181661578 t.n.v. “Stichting Handhaving Vrije Artsenkeuze” te Zeist.

Hier kunt u de brief lezen die door de stichting “Handhaving Vrije Artsenkeuze” naar de Eerste Kamer is gestuurd in verband met de behandeling van dit wetsvoorstel “Contractering Zorg” waarbij de vrije artsenkeuze voor de tweede keer op de tocht komt te staan.

De rechtbank Amsterdam heeft de Stichting KDVP laten weten dat de geplande rechtszitting over de Gedragscode Zorgverzekeraars die op 31 maart a.s. zou plaatsvinden, vanwege de coronacrisis is uitgesteld tot een nader te bepalen datum. Helaas betekent dat opnieuw vertraging in een juridische procedure over het in strijd met wet en verdrag verwerken van medische persoonsgegevens door zorgverzekeraars.

De door de KDVP tegen de Autoriteit Persoonsgegevens (AP) aangespannen juridische procedure over verwerking en gebruik van medische persoonsgegevens door zorgverzekeraars ging oorspronkelijk over het feit dat procedures en bedrijfsprocessen voor de verwerking van medische persoonsgegevens – zoals die werden vastgelegd in de Gedragscode Zorgverzekeraars – nog steeds niet zijn aangepast en bijgesteld op basis van de rechterlijke uitspraak op 13-11-2013. De rechtbank Amsterdam had in november 2013 de goedkeuring van die Gedragscode door het College Bescherming Persoonsgegevens (sinds 1-1-2016 AP) vernietigd, omdat de in de Gedragscode Zorgverzekeraars beschreven procedures en bedrijfsprocessen geen juiste uitwerking vormden van Wbp (Wet bescherming persoonsgegevens) en EVRM (Europees Verdrag voor de Rechten van de Mens). Volgens de rechtbank Amsterdam heeft het CBP bij de goedkeuring van de gedragscode op 13 december 2011 de in deze gedragscode vastgelegde verwerkingsprocedures onvoldoende dan wel onjuist getoetst aan vereisten voor de bescherming van privacyrechten van patiënten/cliënten zoals vastgelegd in wet en verdrag.

Omdat er door de AP vervolgens niets werd ondernomen om de verwerking van medische persoonsgegevens door zorgverzekeraars alsnog te doen aanpassen aan de door de rechter geconstateerde bezwaren heeft de KDVP een handhavingverzoek ingediend bij de AP teneinde deze toezichthouder er toe te brengen handhavend op te treden tegen verwerkingsprocedures bij zorgverzekeraars die naar het oordeel van de rechter geen juiste uitwerking vormden van wet en verdrag. Aangezien de AP ook hierna in gebreke bleef om handhavend op te treden tegen de zorgverzekeraars is de KDVP een beroepsprocedure gestart om alsnog adequaat handhavend optreden van de kant van de AP af te dwingen. In de zitting op 18 juli 2017 over dit beroep tegen de AP is door de rechter voorgesteld een mediation procedure te starten om zo samen met de AP, NZA (Nederlandse Zorgautoriteit) en ZN (Zorgverzekeraars Nederland) te kunnen komen tot aanpassingen zoals gevergd door de rechterlijke uitspraak. Tijdens de mediation bleek helaas herhaaldelijk dat de andere partijen niet bereid waren tot een constructieve samenwerking. Ondanks aandringen van onze kant is na een half jaar noch door de AP noch door één van de andere partijen een inhoudelijk voorstel gedaan voor aanpassing van de gewraakte werkwijzen van zorgverzekeraars. De KDVP heeft vervolgens besloten de mediation procedure te staken en de kwestie opnieuw bij de rechter neer te leggen.

Inmiddels zijn er jaren verstreken sinds de rechterlijke uitspraak van 2013 en vormt de verwerking van medische persoonsgegevens bij zorgverzekeraars nog steeds geen juiste uitwerking van wet en verdrag. Wel hebben zorgverzekeraars de Minister van VWS laten weten dat zij bezig zijn een nieuwe Gedragscode Zorgverzekeraars op te stellen die ter goedkeuring zal worden voorgelegd aan de AP.

Het is spijtig te moeten constateren dat de KDVP als belanghebbende partij in deze kwestie tot nu toe in het geheel niet is geïnformeerd over deze ontwikkeling, zoals dat feitelijk wél de bedoeling was toen in 2017 op voorstel van de rechtbank een mediation procedure werd gestart in de hoop de gewraakte werkwijzen van zorgverzekeraars aan te passen aan het oordeel van de rechter. Het is wel heel ongelukkig dat er nu opnieuw vertraging optreedt in deze al jarenlang slepende juridische procedure.

Helaas is door gezamenlijke partijen NZa en ZN nog steeds geen officiële, effectieve en in de praktijk makkelijk te hanteren regeling uitgewerkt, waarmee zorgverleners digitaal kunnen declareren zonder dat bij afgifte van een privacyverklaring het toepasselijke DBC tarief alsnog wordt verstrekt aan de zorgverzekeraar. De KDVP is nog steeds van mening dat het de verantwoordelijkheid van zorgverzekeraars en NZa is en blijft om voor het gebruik van de opt-outregeling een officiële, eenduidige regeling te maken, zodat voor alle hulpverleners duidelijk is op welke wijze digitaal kan worden gedeclareerd zonder dat de diagnose kan worden herleid uit het toepasselijke DBC tarief. Via juridische procedures heeft de KDVP hier bij herhaling op gewezen.

Binnen afzienbare tijd zal het hele stelsel worden gewijzigd en zal de DBC structuur worden losgelaten. Zolang dat echter nog niet het geval is, willen wij ook dit jaar verwijzen naar een privacyproof tarievenlijst 2020 met niet eenduidig herleidbare tarieven, zoals deze door een collega aan ons is toegestuurd.

Hier kunt U de lijst met privacyproof tarieven vinden voor 2020:

Privacy Proof Tarieven GGGZ 2020

De lijst met privacyproof tarieven voor 2019 vind U in een eerder nieuwsbericht.

De rechtbank Den Haag heeft op 5 februari jl. uitspraak gedaan in de SyRI (Systeem Risico Indicatie) procedure. Een coalitie van 8 maatschappelijke partijen had ervoor gepleit om het gebruik van het SyRI risicoprofileringssysteem te stoppen, aangezien dit systeem onvoldoende waarborgen bevat om het recht op privacy van burgers te garanderen. Zie voor meer informatie over deze procedure het nieuwsbericht van 2 april 2018 en tevens de nieuwsberichten van 2 februari 2020 en 7 februari 2020.

De rechtbank heeft in haar uitspraak geoordeeld dat de wetgeving die de inzet van SyRI regelt in strijd is met hoger recht. De rechtbank heeft het oogmerk van SyRI – het opsporen en bestrijden van fraude – afgezet tegen de inbreuk die SyRI maakt op het privéleven van burgers en is tot de conclusie gekomen dat hier geen sprake is van een “fair balance” die het EVRM wel vergt om te kunnen spreken van een gerechtvaardigde inbreuk op de privacy. Het op grote schaal koppelen van persoonsgegevens – waaronder ook gegevens uit de zorg – wordt door de rechter in strijd geacht met het fundamentele recht op bescherming van de persoonlijke levenssfeer. De rechter oordeelde dat SyRI noch transparant, noch controleerbaar is. De inbreuk op het privéleven is voor burgers niet te voorzien en burgers kunnen zich vervolgens ook niet verweren. Dat geldt niet alleen voor de burgers die door SyRI als een verhoogd risico worden aangemerkt, maar voor iedereen van wie de gegevens door SyRI worden geanalyseerd.

De rechter heeft zich in de SyRI procedure uitgesproken over het SyRI risicoprofileringssysteem, maar er bestaan tal van dergelijke systemen, waarbij met behulp van algoritmes beslissingen over mensen worden genomen, die voor degenen die het treft niet inzichtelijk zijn, omdat onbekend is voor betrokkenen welke data zijn vergaard en gekoppeld en op basis van welke data beslissingen worden genomen.

In een op 6 maart jl. verschenen artikel van de NRC - https://www.nrc.nl/nieuws/2020/03/06/schimmige-algoritmes-bij-uwv-en-syri-zijn-topje-van-de-ijsberg-a3992851 - over de risico’s van profileringsystemen waarbij via algoritmes risicoprofielen van burgers worden opgesteld, wordt voor het volgende gepleit:

“Alle overheden en bedrijven die algoritmische systemen gebruiken om mensen automatisch in categorieën in te delen, zouden goed naar de SyRI-uitspraak moeten kijken. Het systeem diende volgens de rechtbank weliswaar een legitiem doel: de bestrijding van fraude is „cruciaal” voor het draagvlak voor het stelsel van sociale zekerheid in Nederland. Maar de rechters vonden dat oncontroleerbaar is hoe de algoritmes van SyRI onder de motorkap werken. De kern van de uitspraak is dat er in dat geval te weinig waarborgen zijn voor burgers: zij kunnen niet uitzoeken of hun gegevens wel juist zijn verwerkt en weten niet waartegen ze precies bezwaar moeten maken”.

Het is nu aan de overheid om orde op zaken te stellen en werkwijzen die niet voldoen aan de door de rechter in de uitspraak geformuleerde voorwaarden stop te zetten. En het is aan de Autoriteit Persoonsgegevens om er op toe te zien dat dit ook daadwerkelijk gebeurt.

In de uitspraak van 5 februari j.l. heeft rechtbank Den Haag geoordeeld dat het Systeem Risico Indicatie (SyRI) in strijd is met het Europees Verdrag voor de Rechten van de Mens. Volgens de rechter bevat SyRI onvoldoende waarborgen om de privacy van burgers te beschermen.

Op 5-2-2020 heeft de rechtbank Den Haag uitspraak gedaan over het Systeem Risico Indicatie (SyRI) in een procedure die door een coalitie van maatschappelijke organisaties is aangespannen in 2018.  Deze coalitie van partijen heeft er tijdens de zitting op 29 oktober 2019 voor gepleit om het gebruik van SyRI te stoppen, aangezien dit risicoprofileringssysteem onvoldoende waarborgen bevat om het recht op privacy van burgers te garanderen. Zie voor meer informatie over deze procedure het nieuwsbericht van 2 april 2018 op deze site.

De rechtbank heeft in haar uitspraak geoordeeld dat de wetgeving die de inzet van SyRI regelt in strijd is met hoger recht. Deze SyRI wetgeving acht de rechter in strijd met de vereisten zoals vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens, die het recht op respect voor het privéleven moeten waarborgen. De rechtbank heeft het oogmerk van SyRI – het opsporen en bestrijden van fraude – afgezet tegen de inbreuk die SyRI maakt op het privéleven van burgers en is tot de conclusie gekomen dat hier geen sprake is van een “fair balance” die het EVRM echter wel vergt om te kunnen spreken van een gerechtvaardigde inbreuk op de privacy. Het op grote schaal koppelen van persoonsgegevens – waaronder ook gegevens uit de zorg – wordt door de rechter in strijd geacht met het fundamentele recht op bescherming van de persoonlijke levenssfeer. 

Hier kunt u het persbericht lezen dat naar aanleiding van deze uitspraak is opgesteld door de coalitie van partijen die de juridische procedure in 2018 heeft aangespannen.

In reactie op de uitspraak heeft staatssecretaris van Ark van Sociale Zaken en Werkgelegenheid diezelfde dag publiekelijk aangegeven dat het systeem SyRI niet meer zal worden ingezet. Het is te hopen dat deze uitspraak in de toekomst zal doorwerken in beleid en wetgeving met betrekking tot verwerking en gebruik van bijzondere persoonsgegevens in Nederland. Omdat in deze zaak voor het eerst middels non-gouvernementele organisaties door burgers wordt opgekomen tegen het profileren van burgers via het op grote schaal verzamelen, koppelen en analyseren van persoonsgegevens is deze uitspraak ook internationaal van groot belang. In The Guardian is in reactie op de uitspraak onderstaand artikel verschenen:
https://www.theguardian.com/technology/2020/feb/05/welfare-surveillance-system-violates-human-rights-dutch-court-rules

Op 29 oktober 2019 vond bij de rechtbank Den Haag onder grote belangstelling de rechtszitting plaats over de aanklacht die door een maatschappelijke coalitie van 8 partijen was aangespannen tegen de Nederlandse staat betreffende de inzet van het Systeem Risico Indicatie (SyRI). De coalitie van partijen bestaat uit Platform Bescherming Burgerrechten, Stichting KDVP, Privacy First, Nederlands Juristencomité voor de Mensenrechten, Landelijke Cliëntenraad, vakbond FN, evenals de auteurs Maxim Februari en Tommy Wieringa.

In het kader van het opsporen van fraude verschaft SyRI de overheid een onbeperkte bevoegdheid om zonder concrete verdenking op grote schaal persoonsgegevens van onverdachte burgers – waaronder ook gegevens uit de zorg – op te eisen en deze data op geheime en oncontroleerbare wijze te koppelen en analyseren om zodoende een risicoprofiel van deze burgers te kunnen opstellen. De coalitie van partijen is van mening dat deze ontwikkeling een onaanvaardbare bedreiging vormt voor onze democratische rechtsstaat en heeft in de rechtszitting gepleit voor het buiten werking stellen van SyRI.

De rechtbank doet op woensdag, 5-2, mondeling uitspraak in deze procedure.

Adres rechtbank: Prins Clauslaan 60, 2595 AJ Den Haag

Aanvang zitting: 10:00 uur