De Nederlandse Zorgautoriteit (NZa) verzamelt sinds 1 juli gegevens over honderdduizenden ggz-patiënten, zonder dat die hiervoor toestemming hebben gegeven. Psychiaters, psychologen en andere zorgverleners zijn verplicht om deze informatie aan te leveren. De NZa stelt dat de informatie gedepersonaliseerd is en niet te herleiden tot individuele patiënten, maar dat het over aanvullende informatie beschikt om dit wel te doen. "De NZa zal deze koppeling niet uitvoeren", aldus de Zorgautoriteit. Eerder stelde de Spaanse privacytoezichthouder dat pseudonimisering geen anonimisering is.

De NZa ontvangt informatie over gedeclareerde zorgprestaties inclusief de informatie die bij de declaratie op de factuur moet worden vermeld zoals het gekozen zorgvraagtype en de DSM-diagnosehoofdgroep. Daarnaast bevat de informatie een gepseudonimiseerd Burgerservicenummer (BSN). Daarnaast ontvangt NZa in een aparte informatiestroom gegevens over de zorgvraagtypering, waaronder de antwoorden op de HONOS+-vragen, het geadviseerde zorgvraagtype en het gekozen zorgvraagtype.

Een vaak aangegeven probleem met pseudonimisering is dat door het aanvullen van de gepseudonimiseerde informatie met andere gegevens identificatie van personen toch weer mogelijk is. Ook bij de NZa is dat het geval. Dankzij een aantal "identieke informatie-elementen" in de twee informatiestromen die de Zorgautoriteit ontvangt kan het patiënten identificeren. "De NZa zal deze koppeling niet uitvoeren", aldus de Zorgautoriteit.

Critici van de dataverzameling spreken van een doorbreking van het medisch beroepsgeheim. "Het gaat om het massaal doorbreken van het medisch beroepsgeheim. Dat waarborgt datgene wat in vertrouwen tussen beide is uitgewisseld. Door het zonder toestemming opsturen van gepseudonimiseerde HONOS+-lijsten richting NZa wordt het medisch beroepsgeheim doorbroken. Immers, pseudonimiseren vertraagt slechts het tot persoon herleiden van data en sluit het niet uit", zegt W.J. Jongejan ZorgIctZorgen.

Ook Jongejan wijst naar de mogelijkheid van de Zorgautoriteit om personen toch te identificeren. "De NZa zegt die koppeling niet te willen doen en heeft door wat trucjes de mogelijkheid kleiner gemaakt, maar de mogelijkheid is er wel."...

....Volgens Cobie Groenendijk, van privacygroep Stop de benchmark met ROM, kan de NZa de gedetailleerde patiëntgegevens opvragen op basis van een ministeriële regeling, die een beroep doet op een uitzonderingsgrond van de AVG.

"In feite wordt met een simpel briefje van de minister de AVG en de Europese richtlijnen voor privacy én het parlement omzeild. Burgers moeten ondertussen wel hun meest persoonlijke gegevens verstrekken", zo laat ze tegenover Trouw weten. De NZa zegt dat het de regeling tot twee keer voorgelegd heeft aan de Autoriteit Persoonsgegevens en dat die hierover geen opmerkingen had (pdf).

De NZa zegt inmiddels op de eigen website de onrust die is ontstaan over de waarborging van de privacy van patiënten in de geestelijke gezondheidszorg te betreuren. 

Alles bij de bron; Security