Tech

AP: NZa deelde zorgdata onrechtmatig met andere partijen

De Nederlandse Zorgautoriteit (NZa) heeft in het verleden diagnosegegevens verstrekt aan partijen die deze eigenlijk niet mochten ontvangen. Het gaat om het ministerie van VWS en het Centraal Planbureau. Dat is wettelijk niet toegestaan. Toen de Autoriteit Persoonsgegevens (AP) eind 2015 een onderzoek aankondigde, stopte de NZa hiermee. Dit verklaart de AP naar aanleiding van het bericht in de Volkskrant over het delen van zorgdata.

De Volkskrant schrijft dinsdag dat sinds 1 januari medische data van Nederlanders intensiever te worden gekoppeld en geanalyseerd en dat de Tweede  Kamer hiervan niet op de hoogte is gebracht. Er zou een overeenkomst zijn gemaakt tussen zes partijen (VWS, Zorgverzekeraars Nederland, Vektis, NZa, IGZ en Zorginstituut Nederland) die via een 'informatiemakelaar' gegevens kunnen opvragen uit onder meer de DIS-databank.

DIS

Informatie over diagnoses van patiënten in de ziekenhuiszorg, geestelijke gezondheidszorg en forensische zorg komt terecht in het landelijke Diagnose Informatie Systeem (DIS). Zorgaanbieders zijn wettelijk verplicht informatie over wat zij aan zorg hebben geleverd en gedeclareerd, aan het DIS te verstrekken.

Patiëntgegevens uit het registratiesysteem DIS mogen – na pseudonimisering – gedeeld worden met verschillende in de wet genoemde partijen. De minister van Volksgezondheid en het CPB behoren hier niet toe. De NZa heeft aangegeven geen informatie meer te delen met deze partijen, aldus de privacywaakhond AP.

Al eerder stelde de AP vast dat het in het DIS gaat om (bijzondere) persoonsgegevens. Deze mogen alleen onder strikte voorwaarden worden verwerkt. Door de pseudonimisering zijn de gegevens van patiënten in het DIS weliswaar beperkt herleidbaar tot individuen, maar is er geen sprake van een onomkeerbare anonimisering. Daardoor zijn de regels van de Wet bescherming persoonsgegevens van toepassing.

Informatiemakelaar is er nog niet

Ook de NZa heeft gereageerd om de berichtgeving in de Volkskrant. Volgens de zorgwaakhond klopt het artikel niet. "De suggestie dat alle zorgdata tussen alle partijen gedeeld kunnen worden is onjuist. (..)  Van delen met commerciële partijen is al helemaal geen sprake", laat de NZa weten.

Gemaakte afspraken over het delen van medische gegevens gaan over aanvragen die afzonderlijke partijen bij Vektis indienen, stelt de NZa. "Die gegevens worden niet gecombineerd door een 'informatiemakelaar' en worden alleen verstrekt wanneer sprake is van een wettelijke grondslag", aldus de zorgwaakhond over dit convenant 'memorandum van overeenstemming over informatievoorziening in de zorg'.

"De 'informatiemakelaar' is een zogenoemde 'trusted third party', zonder enig belang" vervolgt de NZa. "Deze informatiemakelaar is er overigens nog niet; we kijken met alle partijen zorgvuldig hoe we dit proces kunnen inrichten, binnen de kaders van de wet."

1 Reacties

om een reactie achter te laten

Wim Jongejan

2 juni 2016

In het memorandum staat dat de betrokken zes partijen afgesproken hebben te gaan werken aan een gezamenlijke informatiemakelaar ten behoeve van informatiedeling. Ook staat vermeld dat de partijen hierdoor structureel toegang krijgen tot de informatie die ze nodig hebben voor de uitvoering van hun wettelijke taken. Het wonderlijke van de reactie van de NZa is dat wat men beweert niet in het memorandum staat. Daarin wordt Vektis niet als de spin in het web gepositioneerd. Er staat alleen dat er klein begonnen wordt en dat Vektis per 1 januari 2016 een informatieset beschikbaar stelt. Het feit dat er nog geen informatiemakelaar is doet niets af aan de betekenis van het bekend worden van het memorandum. Het is zelfs bijzonder kwalijk te noemen dat als er onderling een zorgmakelaar is afgesproken die er (nog) niet blijkt te zijn, terwijl het uitwisselen volgens het memorandum vanaf 1 januari 2016 al zou plaatsvinden. Zie ook: http://www.zorgictzorgen.nl/vws-faciliteert-onaanvaardbare-function-creep-zorgdata/

Top