020 530 0160

Onderzoek AP over gebruik gezondheidsgegevens voor kwaliteitsonderzoek GGZ

Gepubliceerd op 31 december 2019 categorieën ,

De Autoriteit Persoonsgegevens (AP) heeft de Alliantie kwaliteit in de geestelijke gezondheidszorg (Akwa GGZ) een berisping gegeven voor het verwerken van persoonsgegevens over de gezondheid.

Akwa GGZ heeft sinds begin 2019 een set met onvoldoende geanonimiseerde gezondheidsgegevens overgenomen van Stichting Benchmark GGZ (SBG). SBG en Akwa GGZ doen kwaliteitsonderzoek in de geestelijke gezondheidszorg (GGZ). Patiënten vullen op verzoek van de zorginstelling een vragenlijst in, zodat GGZ-aanbieders gebenchmarkt kunnen worden op behandeleffect en klanttevredenheid. Deze zogenaamde. Routine Outcome Monitoring (ROM) data gingen via Zorg TTP na pseudonimisering naar SBG.

De AP heeft naar aanleiding van een handhavingsverzoek van een betrokkene onderzoek gedaan naar de werkwijze van SBG en heeft deze getoetst aan de Algemene verordening gegevensbescherming (AVG). De betrokkene stelde dat SBG haar medische gegevens verwerkt zonder haar toestemming. De twee onderwerpen die in het onderzoek centraal staan, hebben betrekking op de vraag of ROM-gegevens kunnen worden aangemerkt als persoonsgegevens in de zin van de AVG en, zo ja, op welke grondslag deze bijzondere persoonsgegevens kunnen worden verwerkt.

Tijdens het onderzoek werd bekend dat SBG haar activiteiten zou gaan staken en een groot deel van haar activiteiten en de door haar verzamelde en bewerkte gegevens zou overdragen aan Akwa GGZ. Dit was voor de AP aanleiding ook onderzoek te verrichten naar de gegevens die door SBG nog zouden worden bewaard en aan Akwa GGZ zouden worden overgedragen.

Zijn ROM-gegevens persoonsgegevens?

Nadat patiënten in de GGZ aan hun GGZ-aanbieders persoonsgegevens, al dan niet via ingevulde vragenlijsten, verstrekken, vindt er een eerste pseudonimiseringsstap plaats in de Privacy- en Verzend Module (PVM) van SBG op locatie bij de GGZ-aanbieder. In de PVM worden  vervolgens vier van de 29 ingevoerde gegevenscategorieën gehasht, waardoor voor deze vier gegevens een pseudoniem ontstaat.

Hierdoor vindt een splitsing plaats van het door de zorgaanbieder geleverde bestand in een pseudoniemendeel, ook wel sleuteldeel genoemd, en een deel met inhoudelijke data, ook wel datadeel genoemd. Het sleuteldeel en datadeel worden beide zodanig versleuteld dat alleen het sleuteldeel inzichtelijk is voor ZorgTTP. Het datadeel met inhoudelijk data wordt versleuteld zodat dit niet toegankelijk is voor ZorgTTP. SBG kan het datadeel wel ontsleutelen en dus inzien.

Na deze verwerkingen in de PVM vindt de gegevensoverdacht naar ZorgTTP plaats, waar ZorgTTP een tweede pseudonimiseringsslag uitvoert. ZorgTTP houdt de gebruikte sleutel voor zichzelf en deelt deze nooit met SBG. ZorgTTP bewaart de sleutel en kan de versleutelde waardes weer ontsleutelen tot pseudoniemen (de hashes afkomstig van de zorgaanbieder).

De pseudonimiseringsmethode die SBG gebruikt ziet op een combinatie van een hashfunctie en encryptie met een geheime sleutel. Een hashfunctie heeft “voor een invoer van willekeurige omvang (één enkel attribuut of een verzameling van attributen) een uitvoer met vaste grootte, en kan niet worden teruggedraaid.” Bij encryptie met een geheime sleutel “kan degene die de sleutel bezit elke betrokkene eenvoudig opnieuw identificeren door de dataset te decoderen”.

Echter, de uitkomsten van dit pseudonimiseringsproces zijn per uniek BSN, koppelnummer, DBC Trajectnummer en Zorgtrajectnummer altijd hetzelfde. Dus: iedere invoer levert altijd exact dezelfde uitvoer. Dit zorgt ervoor dat door de tijd heen nieuwe informatie toegevoegd kan worden aan de al bekende informatie bij SBG. Voor het opstellen van de SBG Benchmarkrapportages is dit volgens SBG ook nodig om patiënten door de tijd heen te volgen en informatie af te leiden over het succes van een behandeling bij een bepaalde behandelaar. Hierdoor is het nodig om nieuwe informatie te koppelen aan al bij SBG bekende informatie over die individu.

De AP komt tot de conclusie dat de dataset van SBG in zoverre gedetailleerd is dat er op één of meerdere attributen, gepseudonimiseerd of niet, een selectie kan plaatsvinden zodanig dat er één individu uit de dataset gelicht kan worden. Hierdoor kan geen sprake zijn van een anonieme dataset.

Kan SBG zich beroepen op een wettelijke uitzondering op het verbod van verwerking van persoonsgegevens betreffende de gezondheid?

Op grond van de AVG is de verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens, verboden. Dit verbod is niet van toepassing indien SBG zich kan beroepen op een wettelijke uitzonderingsgrond (artikel 9 AVG jo. artikel 22 tot en met 30 Uitvoeringswet AVG).

SBG kan ten eerste geen beroep doen op de wettelijke uitzonderingsgrond voor wetenschappelijk of historisch onderzoek of statistische doeleinden omdat het mogelijk om was uitdrukkelijk toestemming te vragen aan de betrokkenen, hetgeen SBG heeft nagelaten. Toestemming had bijvoorbeeld gevraagd kunnen worden aan de betrokkenen bij het invullen van de vragenlijsten. Ook op de overige wettelijke uitzonderingsgronden inzake gegevens over gezondheid (artikel 30 Uitvoeringswet AVG) kan SBG geen beroep doen. SBG valt namelijk niet onder de genoemde normadressaten, waaronder werkgevers, scholen, verzekeraars en hulpverleners.

De AP komt aldus tot de conclusie dat SBG zich niet kan beroepen op één van de wettelijke uitzonderingsgronden die het verbod om gegevens over gezondheid te verwerken zou kunnen opheffen. Dit heeft tot gevolg dat het voor SBG verboden is om de dataset met daarin persoonsgegevens over de gezondheid te verwerken.

Slot

SBG bestaat niet meer en heeft de onvoldoende geanonimiseerde data overdragen aan Akwa GGZ. Dit is een verwerking van persoonsgegevens die zonder wettelijke uitzonderingsgrond ook verboden is. Omdat SBG inmiddels niet meer bestaat als rechtspersoon, legt de AP alleen een handhavende maatregel op aan Akwa GGZ. Dat is in dit geval een berisping omdat Akwa GGZ de dataset in quarantaine heeft geplaatst en daarna heeft vernietigd.

Op haar website schrijft Akwa GGZ dat de uitspraak geen consequenties heeft voor de huidige werkwijze van Akwa GGZ: “Wij werken uitsluitend nog met gepseudonimiseerde gegevens waarvoor de patiënt uitdrukkelijk toestemming heeft gegeven.”

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

publicaties

Gerelateerde artikelen