De kans is klein dat een ‘HoNOS+-vragenlijst’ u iets zegt. De kans is aanzienlijk groter dat ook uw persoonsgegevens in deze vragenlijsten zijn verwerkt.

Tussen 1 juli 2022 en 1 juli 2023 waren namelijk alle zorgaanbieders binnen de ggz verplicht om deze vragenlijsten over hun patiënten in te vullen en te delen met de Nederlandse Zorgautoriteit (NZa). De lijsten bevatten de psychische klachten en problematiek van bijna 800.000 Nederlanders; medische persoonsgegevens dus.

De vragenlijsten verdelen de zorgvragen van patiënten in categorieën. Door een algoritme met de vragenlijsten te trainen kan deze de zorgvraag gaan voorspellen. De NZa heeft de bevoegdheid deze vragenlijsten te verwerken op grond van haar wettelijke taak van markttoezicht op de gezondheidszorg, vastgelegd in de Wet marktordening gezondheidszorg (Wmg) en de daarop gebaseerde Regeling GGZ & FZ (forensische zorg).

De verplichte aanlevering gold een jaar, zodat de NZa voldoende gegevens had om een algoritme te ontwikkelen.

In juli 2023 zijn enkele behandelaren, patiënten en belangenorganisaties een collectieve rechtszaak tegen de NZa begonnen, waarin begin 2025 uitspraak wordt verwacht. De eisers vinden dat de verwerking van de HoNOS+-vragenlijsten door de NZa een schending is van hun recht op privacy, omdat de NZa daarmee afbreuk doet aan de vertrouwelijkheid en veiligheid van de behandelrelatie en van de ggz in het algemeen....

....Met de gegevensverwerking doet de NZa afbreuk aan het patiëntenbelang, het medisch beroepsgeheim, maar ook aan het algemeen belang: patiënten zullen vertrouwen verliezen in hun behandelaar en in het ggz-systeem en daardoor mogelijk afzien van behandeling. Dit heeft zijn weerslag op de patiënt en op de volksgezondheid.

De NZa heeft bij de verwerking van de persoonsgegevens enkele waarborgen gegeven om de privacy te beschermen, maar hier is één en ander op af te dingen. Zo worden de vragenlijsten pseudoniem verwerkt. Pseudoniem betekent – anders dan anoniem – dat de persoonsgegevens indirect herleidbaar zijn tot een individu. Ter zitting vorig jaar heeft de NZa erkend dat zij alsnog gegevens aan een naam kunnen koppelen, een zogenoemde heridentificatie, zo blijkt uit een tussenvonnis van november 2023.

Bovendien bevat de eerdergenoemde regeling een opt-out die patiënt en zorgaanbieder kunnen ondertekenen om onder de gegevensverwerking uit te komen, maar de NZa brengt patiënten niet op de hoogte van deze mogelijkheid. Zorgaanbieders die dit wel doen en relatief veel van dergelijke privacyverklaringen indienen, worden hierover op de vingers getikt door de NZa. Dit ontmoedigingsbeleid wordt beschreven door Tom Grosfeld in zijn boek De spreekkamer is lek. Andere veiligheidsmaatregelen zoals opslag- en vernietigingstermijnen, beveiligingsprocedures en informatievoorzieningen zijn naar mijn weten niet in acht genomen.

Al met al leggen de geboden waarborgen onvoldoende gewicht in de schaal om op te wegen tegen het bijzonder zwaarwegend privacybelang van de ggz-patiënt. Bovendien is vooralsnog niet aangetoond door de NZa dat het middel geschikt is ten aanzien van het doel. Als we hier de grens niet stellen ter begrenzing van grootschalige gegevensverwerking door overheidsinstanties, waar dan wel?

Alles bij de bron; NRC