De Autoriteit Persoonsgegevens bleef in verschillende gevoelige privacydossiers ten onrechte op haar handen zitten, zo oordeelde de rechter deze zomer. Het zou voor de toezichthouder een aanleiding moeten zijn om haar taakopvatting grondig te herzien en zich eindelijk te laten gelden als een alerte en kritische privacywaakhond die opkomt voor de rechten van burgers.
Het is deze zomer geen komkommertijd geweest bij onze nationale toezichthouder op de privacy. De Autoriteit Persoonsgegevens kreeg meerdere malen van de rechter te horen dat ze haar handhavende taak als waakhondinstantie niet voldoende heeft uitgevoerd. De toezichthouder is door de rechter bevolen om haar beslissing om in verschillende dossiers niet op te treden, te herzien. Van die nieuwe beslissingen zal veel afhangen, niet in de laatste plaats voor het imago van de toezichthouder zelf.
In dit artikel zullen twee zaken centraal staan, te weten de Gedragscode Zorgverzekeraars en de medische databank DIS (DBC Informatie Systeem). Aan het slot zullen een aantal andere dossiers kort worden uitgelicht.
Zorgverzekeraars werken al jarenlang volgens afgekeurde privacyprocedures
In november 2013 zette de rechtbank Amsterdam een streep door de goedkeuring die de Autoriteit Persoonsgegevens had gegeven aan de Gedragscode Zorgverzekeraars, als gevolg van een procedure die de Stichting KDVP had aangespannen. De gedragscode moest reguleren hoe zorgverzekeraars met medische gegevens van hun verzekerden dienden om te gaan. Medische gegevens mogen slechts voor strikt afgebakende doelen worden verwerkt. Informatie opgevraagd om zorgdeclaraties te controleren, mag bijvoorbeeld niet worden ingezet voor de beoordeling voor een aanvullende verzekering, contractonderhandelingen met zorgverleners of marketingdoeleinden.
In plaats van nauwkeurig te specificeren waarvoor patiëntgegevens wel en niet mogen worden verwerkt, creëerde de gedragscode door haar vage formulering juist ruimte om deze gegevens voor onrechtmatige doelen te verwerken. Volgens de rechter ontbrak het in de gedragscode aan waarborgen om het illegaal gebruik van persoonsgegevens tegen te gaan. De AP trok naar aanleiding van het vonnis haar goedkeuring in.
Dit betekende echter niet dat de onrechtmatige procedures die zorgverzekeraars al sinds 2010 hanteerden, werden aangepast. Minister Schippers wijzigde niet lang na de ingebruikname van de gedragscode namelijk de regelgeving, waardoor de gedragscode niet langer hoefde te worden beoordeeld door de AP. Zorgverzekeraars zelf vonden het evenmin nodig om een aangepaste gedragscode op te stellen. Toen Stichting KDVP de AP verzocht om handhavend op te treden tegen de huidige wijze van gegevensverwerking, weigerde deze in actie te komen. Vier jaar na het afkeuren van de gedragscode riep ook Burgerrechtenvereniging Vrijbit de AP op het matje bij de rechter, met succes.
De motivering om niet op te treden die de toezichthouder in haar verweer geeft, valt op sommige punten moeilijk te volgen. Zo was het feit dat de gedragscode die zorgverzekeraars op dit moment hanteerden was afgekeurd door de rechter, volgens de AP geen aanwijzing dat de wet op dit moment werd overtreden. Ze kon bovendien uit het vonnis uit 2013 niet opmaken dat de gedragscode in strijd zou zijn met privacywetgeving.
De rechtbank Midden-Nederland haalt echter de uitspraak van november 2013 aan en somt meerdere tekortkomingen in de gedragscode op die de rechtbank Amsterdam destijds al constateerde en die doorwerken in de procedures van zorgverzekeraars. Het vonnis waarin de gedragscode werd afgekeurd, had voor de AP aanleiding moeten zijn om te onderzoeken of de procedures van zorgverzekeraars inmiddels wel aan de wet voldeden. De AP nam echter aan dat de werkwijze in orde was, zonder duidelijk te maken waarop zij dat baseert.
Door allereerst als privacytoezichthouder een gedragscode goed te keuren die in strijd is met de wet, en vervolgens niet in actie te komen op basis van het rechterlijk vonnis waarin dat wordt geconstateerd, is de AP er mede debet aan dat zorgverzekeraars al zeven jaar lang procedures hanteren die onvoldoende waarborgen tegen misbruik bevatten. Het is zorgwekkend dat de AP als toezichthouder op en handhaver van de Wet Bescherming Persoonsgegevens de implicaties van een rechterlijk oordeel dat zich op deze wet baseert, blijkbaar niet op waarde schat.
De aanvankelijke termijn van 8 weken die de AP kreeg om de verwerkingsprocedures van zorgverzekeraars in lijn te brengen met privacywetgeving, is op verzoek van de toezichthouder verlengd tot 27 weken. Begin januari 2018 dient de AP verslag uit te brengen van de herstelwerkzaamheden, waarna de rechter een definitief oordeel zal vellen.
Smalle taakopvatting
De beperkte rol van de AP wordt geregeld toegeschreven aan de ondermaatse capaciteit bij de organisatie, niet in de laatste plaats door de AP zelf. Weliswaar is de toezichthouder qua personeel onderbezet, maar dat kan geen verklaring vormen voor het niet op haar strepen staan wanneer ze haar capaciteit wél inzet. Dat bleek namelijk het geval in de tussenuitspraak in het dossier DIS (DBC Informatie Systeem), waarover op deze site eerder is gepubliceerd. Wanneer de privacywaakhond in dit dossier wél besluit haar handhavende bevoegdheden in te zetten, bijt ze niet door.
Al sinds de oprichting in 2006 is er felle kritiek op het DIS, een landelijke database met medische persoonsgegevens van alle Nederlandse burgers die een zorgbehandeling ondergaan. De medische gegevens in het DIS worden verplicht aangeleverd door zorgverleners en deels versleuteld (‘gepseudonimiseerd’) in het DIS opgeslagen. Door deze versleuteling golden de data tot voor kort juridisch niet als persoonsgegevens, waardoor ze konden worden verstrekt aan tal van partijen alsof ze anoniem waren.
Al sinds de oprichting van de database stellen tegenstanders dat pseudonimisering geen afdoende bescherming biedt. De aanwijzingen daarvoor stapelden zich de afgelopen jaren op. In Groot-Britannië bleek in februari 2014 dat gepseudonimiseerde gegevens eenmaal gekoppeld met andere databases, eenvoudig herleidbaar zijn naar individuele personen – wat er toe leidde dat de medische dossiers van tientallen miljoenen Britten inzichtelijk werden voor verzekeraars. In datzelfde jaar bestempelden in een geruchtmakende Zembla documentaire hoogleraar Psychiatrie Jim van Os en hoogleraar Gezondheidsrecht Martin Buijsen de versleutelmethode van het DIS als een wassen neus. Ook de AP zelf gaf in die uitzending aan dat er sprake was van “voortschrijdend inzicht” over de herleidbaarheid van DIS-gegevens.
De NZa (Nederlandse Zorgautoriteit), de wettelijke beheerder van het DIS, bleef volhouden dat de gegevens in het DIS onherleidbaar waren – tot de Open Society Foundation in 2015 via de rechter een inzageverzoek deed bij het DIS om zicht te krijgen op tariefverschillen in de zorg. De NZa weigerde dit, omdat data uit het DIS volgens de beheerder, jawel, te herleiden zouden zijn naar individuele patiënten.
Ondanks alle aanwijzingen duurde het tot november 2015 tot de AP in actie kwam en een onderzoek naar het DIS instelde. Wat dit nog opmerkelijker maakt, is dat diezelfde AP al ruim een jaar daarvoor in Europees verband had vastgesteld dat gepseudonimiseerde gegevens vanwege hun herleidbaarheid moesten worden aangemerkt als persoonsgegevens. In de tien jaar dat het DIS bestaat, lijkt een grijs circuit te zijn ontstaan van ontoereikend versleutelde medische gegevens die vanuit het DIS aan tal van organisaties zijn verstrekt: een potentiële privacyramp waarmee de medische gegevens van vrijwel alle Nederlanders in de afgelopen tien jaar zijn gemoeid.
Toen de AP echter in mei 2016 haar onderzoeksrapport over het DIS uitbracht, liet dat vrijwel alle vragen omtrent de jarenlange uitlevering van DIS-data onbeantwoord.
Topje van de ijsberg
In plaats van te onderzoeken waar de uitgeleverde DIS-gegevens van de afgelopen tien jaar terecht zijn gekomen, richtte de toezichthouder zich alleen op leveringen die plaatsvonden na november 2015 – de maand waarin de AP officieel haar standpunt herzag over de herleidbaarheid van gepseudonimiseerde data én haar onderzoek naar het DIS startte. Ook de NZa besloot naar aanleiding van het gewijzigde standpunt te stoppen met het leveren aan een groot aantal partijen die sinds 2006 gegevens uit het DIS kregen.
De AP onderzocht daarmee slechts het topje van de ijsberg. De reden die ze hiervoor gaf, was dat de NZa sinds november 2015 stopte met uitleveren van DIS-data aan bijna alle partijen die de voorgaande jaren data ontvingen. Er was niet langer sprake van een overtreding, dus hoefde de AP naar eigen zeggen ook niet in actie te komen. Burgerrechtenvereniging Vrijbit diende een handhavingsverzoek in bij de AP om de toezichthouder alsnog op te laten treden tegen de jarenlange uitlevering van medische persoonsgegevens uit het DIS. Ze kreeg daarin grotendeels gelijk van de rechter: De AP had veel meer moeten onderzoeken aan het DIS.
Het feit dat het standpunt van de AP over gepseudonimiseerde gegevens pas in november 2015 veranderde, betekent volgens de rechter niet dat de leveringen in de jaren ervoor geen persoonsgegevens waren. Met terugwerkende kracht blijken dit alsnog persoonsgegevens te zijn, wat de jarenlange uitlevering ervan eveneens illegaal maakt. Op de zitting bleken er tal van organisaties te zijn die sinds het bestaan van het DIS ook dataleveringen hadden ontvangen, maar waarover het AP rapport niet rept omdat deze leveringen sinds november 2015 zijn gestaakt.
Van deze partijen moet de AP nu alsnog gaan onderzoeken of ze sinds het bestaan van het DIS gegevens kregen, hoe gedetailleerd deze waren en of het wel legaal was om zulke persoonlijke gegevens aan deze partijen te verstrekken. Beheerder NZa moet dit vervolgens verantwoorden tegenover de AP. Volgens Vrijbit hadden vrijwel alle partijen die in de afgelopen jaren gegevens uit het DIS ontvingen, hun taken evengoed met geanonimiseerde gegevens kunnen uitvoeren. Het DIS is “het grootste datalek van Nederland” en er zou volgens de burgerrechtenvereniging een grootschalig onderzoek moeten plaatsvinden naar waar de gegevens in de afgelopen tien jaar terecht zijn gekomen.
Het belang om te achterhalen waar, en op welk detailniveau de medische gegevens uit het DIS in de voorbije tien jaar zijn beland, kan haast niet groter zijn. Ook de AP (toen nog CBP) zag dit al in bij de oprichting van de database in 2006 toen ze aan het ministerie van Volksgezondheid schreef dat het DIS “zowel qua omvang, dekking als inhoud een van de meest risicovolle verwerkingen binnen Nederland” is. Indien de gegevens alsnog herleidbaar bleken, zou dat betekenen dat het DIS en de dataleveringen illegaal waren. “Het blijven voldoen aan de gestelde voorwaarden vereist dus een continue inspanning”, schreef de AP toen.
Het zijn achteraf bezien wrange woorden, omdat uitgerekend de AP zelf zich nauwelijks heeft ingespannen om zich in dit dossier te laten gelden. Het is in de eerste plaats zorgwekkend dat de AP zo lang wacht met het nader onderzoeken van de leveringen uit het DIS, nadat zoveel aanwijzingen zich aandienden over de herleidbaarheid van de data. Maar vervolgens blijkt uit het onderzoek dat de toezichthouder ten langen leste instelt, dat ze óf niet inziet wat de omvang en de gevolgen van dit datalek kunnen zijn, of weigert naar deze kennis te handelen. Beide mogelijkheden vallen ernstig te noemen.
Het gaat in de kern immers om niets minder dan de bescherming van de meest intieme gegevens over iemands lichamelijke en geestelijke gesteldheid, oftewel de vertrouwelijkheid in de zorg. De AP zou zich, zeker op basis van wat ze ruim tien jaar geleden stelde over de behandelgegevens in het DIS, hiervan terdege bewust moeten zijn. Het tegendeel blijkt uit de vonnissen die ze onlangs te horen kreeg. Het is cruciaal dat de toezichthouder naar aanleiding daarvan eindelijk de onderste steen boven zal halen. Ze heeft daarvoor, evenals in de zaak over de Gedragscode Zorgverzekeraars, 27 weken uitstel gekregen van de rechter.
Waak- of geleidehond?
Het is nu aan de AP om echt maatregelen te nemen die erop gericht zijn de burger te beschermen, in plaats van de procedures en praktijken van de NZa of zorgverzekeraars te gedogen. Vooralsnog lijkt er in deze dossiers sprake te zijn van grote terughoudendheid bij de toezichthouder, met als gevolg dat partijen die op grote schaal persoonsgegevens verwerken het niet zo nauw hoeven te nemen met de rechten van burgers – in dit geval patiënten.
Toen in augustus dit jaar de Nederlande Voedsel- en Warenautoriteit onder vuur kwam te liggen vanwege het tekortschietende toezicht op de veiligheid van eieren, deed Pieter van Vollenhoven, voorzitter van de Stichting Maatschappij en Veiligheid, een weinig malse constatering in het AD: “Bij bedrijven staat het economisch belang al snel voorop. De NVWA zou moeten opkomen voor het publieke belang, de voedselveiligheid. Helaas is de inspectie in de praktijk geen voedselwaakhond, maar een verlengstuk van het economisch beleid.” Deze analyse is spijtig genoeg ook geldig voor de werkwijze van de Autoriteit Persoonsgegevens in de twee bovenstaande zaken. Het economisch belang, in dit geval de bedrijfsvoering van zorgverzekeraars en de Big Data doelstellingen van het DIS, heeft in deze zaken geprevaleerd ten koste van de belangen van burgers.
Door volhardendheid van individuele burgers en NGO’s belanden op dit moment deze én andere zaken (zie slot) waarin de AP aanvankelijk compromissen sloot ten koste van de privacy, terug op haar bordje. De weigerachtige houding van de AP schaadt zo allereerst de rechten van Nederlandse burgers die de AP juist dient te beschermen, maar evenzeer het imago van de privacywaakhond zelf, die op deze manier eerder een geleidefunctie lijkt te hebben – voor de verkeerde partijen.
Veel hangt af van de beslissing die de Autoriteit Persoonsgegevens nu gaat nemen in deze dossiers. De keus is grofweg óf doorpakken, de onderste steen boven halen en de verantwoordelijke instanties tot de orde roepen of deze dossiers verder laten voortetteren, wat in feite neerkomt op het verzaken van haar verantwoordelijkheid als toezichthouder in een maatschappelijk domein waarvan we nog maar net beginnen te begrijpen hoe groot de invloed hiervan op ons dagelijks leven zal zijn. De AP zou hierin juist een assertieve, leidende rol moeten aannemen in plaats van achter de feiten dan wel rechterlijke vonnissen aan te lopen.
De vraag is of de AP bij machte is om zich in deze en andere dossiers te herpakken en werkelijk een toezichthouder te zijn die de belangen van burgers als principieel uitgangspunt neemt. Niet alleen haar geloofwaardigheid als waakhondinstantie, maar ook de fundamentele rechten van Nederlanders zijn met zo’n opstelling stukken beter gediend.
Wordt vervolgd: Drie andere ‘boemerang’ dossiers van de AP
In de onderstaande drie dossiers speelde de AP een belangrijke rol in het goedkeuren of gedogen van privacyschendende praktijken, maar is het laatste woord nog niet gesproken:
De gemeente Arnhem wil een gepersonaliseerd afvalsysteem invoeren om burgers een afvalheffing naar verbruik te bieden, maar verplicht al jaren voordat het systeem er is dat burgers een persoonlijk pasje gebruiken om de container te openen. De persoonsgegevens van burgers worden hiermee verzameld zonder doel, laat staan een legaal doel. Bovendien, zo oordeelde de Raad van State in een zaak aangespannen door Arnhemmer Michiel Jonker, heeft de gemeente nooit een formeel besluit genomen om de persoonsgegevens te verzamelen. Daarmee is het een onrechtmatige praktijk. Arnhem ging echter door met de verplichte afvalpas, en Jonker vroeg de AP om in te grijpen. De toezichthouder weigerde dat en gedoogde tot de invoering van het nieuwe afvalsysteem het verplichte gebruik van de pas. In de rechtszaal bleek echter dat de AP dit niet had mogen doen. Nadat de AP gemeente Arnhem alsnog een last op dwangsom oplegde, heeft de gemeente alle vuilcontainers open gezet. Daarmee is de kous echter nog niet af. De rechtszaak van Jonker heeft namelijk nog een hogere inzet, namelijk het afdwingen van een privacyvriendelijk alternatief systeem, waarbij met anonieme passen kan worden gewerkt. De gemeente is nog steeds van plan om persoonsgegevens te gaan gebruiken na de invoering van het nieuwe afvalsysteem. Jonker, gesteund door Privacy First, is van mening dat de AP ook hiervoor een stokje zou moeten steken; er zijn immers alternatieven mogelijk waarbij geen persoonsgegevens worden gebruikt, zoals een anoniem pre-paid systeem. Wordt vervolgd.
Nadat de Eerste Kamer in 2011 unaniem het Elektronisch Patiëntendossier had afgeschoten, besluiten zorgverzekeraars en zorgkoepels het systeem privaat door te zetten. De werking van het systeem verandert niet, wel dienen patiënten voortaan vooraf toestemming te geven en wordt het systeem voorlopig geregionaliseerd. Hiermee verdwijnt slechts een klein deel van de fundamentele bezwaren tegen het systeem die door de Eerste Kamer werden geformuleerd. Toch keurt de AP het doorstartmodel eind 2011 goed, zodat het systeem, gefinancierd door zorgverzekeraars en gepusht door zorgkoepels, alsnog kan worden uitgerold en zo de enige optie lijkt te worden voor Nederlandse patiënten. Op dit moment voert VPHuisartsen een rechtszaak tegen het systeem, waarbij de verdediging zich onder meer beroept op het goedkeurende advies van de AP.
De AP ontdekte eind 2014 in een steekproef dat bij 8 van de 149 onderzochte registraties niet kon worden aangetoond dat er geïnformeerd toestemming was verleend, maar concludeerde tegelijkertijd dat beheerder VZVZ voldoende maatregelen had genomen om dit voortaan te voorkomen. Ook na dit onderzoek is er echter sprake van patiënten die ten onrechte staan geregistreerd in het private EPD, omdat de toestemming voor deelname aan het systeem uiterst vaag is geregeld. De gegeven toestemmingen worden niet geverifiëerd, waardoor iemand ongewenst en zonder zijn medeweten door een zorgverlener kan worden aangemeld, en diens gegevens zonder voorafgaande toestemming kunnen worden geraadpleegd door iedere zorgverlener aangesloten op het systeem. Burgerrechtenvereniging Vrijbit heeft de AP inmiddels een handhavingsverzoek gestuurd, evenals een aantal burgers die met een ongewenste registratie werden geconfronteerd. Wordt vervolgd.
Sinds de afschaffing van papieren treinkaartjes en de invoering van de OV-chipkaart in 2014, is het voor treinreizigers met een voordeelurenabonnement onmogelijk geworden om anoniem te reizen. Weliswaar werden er anonieme OV-chipkaarten ingevoerd, maar om in aanmerking voor korting te komen moet men een abonnement op naam afsluiten. Abonnementhouders dienen in te checken met hun persoonlijke chipkaart, waarbij hun reisgegevens door de NS worden opgeslagen, gebruikt voor marketingdoeleinden en onder meer worden gedeeld met Trans Link Systems, waarvan onlangs nog bleek dat deze reisgegevens doorspeelde aan de Dienst Uitvoering Onderwijs. Kortom, wil je als voordeelurenabonnementhouder anoniem treinen, dan zul je voor het volle tarief een anoniem kaartje moeten aanschaffen. De Autoriteit Persoonsgegevens ging bij de invoering van de OV-chipkaart akkoord met deze gang van zaken, maar dat geldt niet voor Michiel Jonker. Gesteund door Privacy First en Maatschappij voor Beter OV spande hij een rechtszaak aan die hij voor een belangrijk deel won. De rechter oordeelde dat de AP alsnog een onderzoek moest instellen, maar dwong de toezichthouder nog niet tot handhaving. Zowel Jonker als de AP gingen in hoger beroep, waarvan op 4 september jl. de zitting plaatsvond. Wordt vervolgd.
