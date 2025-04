De Nederlandse Zorgautoriteit (NZa) mocht in 2023 gegevens van cliënten in de geestelijke gezondheidszorg opvragen en verwerken, zo heeft de Rechtbank Midden-Nederland vandaag geoordeeld. Psychiaters en psychologen zijn door de NZa verplicht om privacygevoelige vragenlijsten over hun cliënten aan de Zorgautoriteit aan te leveren. Drie belangenorganisaties zijn het hier niet mee eens en spanden namens alle cliënten en behandelaars in de GGZ een massaclaim aan.

De vragenlijsten die behandelaren moeten verstrekken beslaan een brede verzameling sociale en mentale problemen, die de behandelaar een score moet geven. Behandelaren die de vragenlijsten niet aanleveren riskeren een dwangsom van de NZa. Vertrouwen in de GGZ, een coalitie van cliënten en behandelaren in de GGZ, Platform Burgerrechten, Stichting KDVP en LOC Waardevolle Zorg, stellen dat dit een onacceptabele inbreuk op de vertrouwelijkheid en kwaliteit van de geestelijke gezondheidszorg is.

"De vragenlijsten geven een diep indringend beeld van de problemen van GGZ-cliënten. Zij kunnen niet langer vrijuit spreken met hun therapeut als deze informatie niet binnen de muren van de spreekkamer blijft. Het vertrouwen tussen cliënt en behandelaar als basis voor een goede behandelrelatie wordt hiermee ondermijnd", aldus Vertrouwen in de GGZ. Met de scorelijsten bouwt de NZa aan een algoritme dat per cliënt moet voorspellen hoeveel zorg deze nodig heeft.

Volgens de actiegroep is er geen wetenschappelijke onderbouwing voor een dergelijk gebruik van deze vragenlijsten. Verder stelt Vertrouwen in de GGZ dat met het opeisen en gebruiken van de data inbreuk wordt gemaakt op de wetgeving over het medisch beroepsgeheim, de Algemene verordening gegevensbescherming (AVG) en het Europees Verdrag voor de Rechten van de Mens.

Rechter wijst vorderingen af

De partijen eisen dat de rechtbank vaststelt dat de NZa in strijd met het recht heeft gehandeld door de gegevens op te vragen en te verwerken. Ook willen zij dat het de NZa wordt verboden om de gegevens in de toekomst op te vragen en te verwerken én dat de zorgautoriteit de bestaande gegevens vernietigt. De rechtbank heeft de vorderingen van de partijen afgewezen.

"Het opvragen van de HoNOS+-gegevens en het verwerken van die gegevens is niet in strijd met het recht en daarom ook niet onrechtmatig tegenover cliënten in de GGZ en beroepsbeoefenaren", aldus de rechtbank. Die stelt dat de gegevens anoniem zijn. Zo staan er volgens de rechter geen identificeerbare gegevens op die betrekking hebben op cliënten, zoals namen, adresgegevens en burgerservicenummers. "De ingevulde vragenlijsten bevatten alleen aangekruiste scores als antwoorden op de vragen. De NZa kan de HoNOS+-gegevens daarom niet direct herleiden tot een individu", stelt de rechtbank in het vonnis.

'Indirect herleidbare persoonsgegevens'

De zorgautoriteit liet eerder weten dat het in staat is om de data naar de individuele patiënt te herleiden, maar dit niet zal doen. De rechter keek of HoNOS+-gegevens indirect herleidbare persoonsgegevens zijn. Bijvoorbeeld door informatie van vragenlijsten aan declaratiedata te koppelen. Zelfs als de gegevens worden gekoppeld is het volgens de rechtbank voor de NZa redelijkerwijs niet mogelijk om de gegevens te herleiden tot individuen.

"Doordat de declaratiedata door hashing zijn gepseudonimiseerd, zijn ze versleuteld. De NZa kan deze gegevens niet ‘ontsleutelen’. Zij beschikt namelijk niet over de sleutel om de hashing, en daarmee de pseudonimisering, ongedaan te maken. Ook heeft zij – zoals de NZa heeft aangevoerd - niet de benodigde quantumcomputer om deze hashing te 'kraken', omdat die computer simpelweg nog niet bestaat. Het is daarom voor haar technisch gezien niet mogelijk om de versleuteling terug te draaien. De NZa kan dus niet zelfstandig de HoNOS+-gegevens indirect herleiden tot individuen", zo stelt het vonnis.

De rechter voegde toe dat in theorie de mogelijkheid bestaat voor de NZa om de ontvangen gegevens indirect te herleiden tot individuen als zij verdere gegevens opvraagt bij de zorgverzekeraar. "Dat is pas mogelijk als de antwoorden op een HoNOS+-vragenlijst dermate uniek zijn dat die kunnen worden gekoppeld aan declaratiegegevens die in diezelfde mate uniek zijn. Die kans is zodanig klein, aangezien er vijf mogelijke antwoorden kunnen worden gegeven op de negentien verschillende vragen op de HoNOS-lijst, dat de rechtbank dat onvoldoende vindt."

De rechter stelt, doordat er geen sprake is van direct of indirect herleidbare persoonsgegevens, de AVG niet van toepassing is bij het opvragen en verwerken van de gegevens. "De rechtbank heeft begrip heeft voor cliënten die een onveilig gevoel ervaren doordat er vragenlijsten over hun mentale gesteldheid zijn ingevuld en gedeeld met de NZa. Maar, omdat de gegevens anoniem zijn, loopt de privacy van de cliënten geen gevaar."

Medisch beroepsgeheim niet geschonden

Tot slot is de rechtbank van oordeel dat de behandelaren hun medisch beroepsgeheim niet schenden door de gegevens te delen. Behandelaren hebben namelijk de wettelijke verplichting om deze gegevens met de NZa te delen. De behandelaar mag zijn medisch beroepsgeheim daardoor doorbreken, ook zonder toestemming van de cliënt. Het wordt de NZa op dit moment niet verboden om in de toekomst de gegevens op te vragen. Daarvoor bestaat op dit moment geen wettelijke regeling waardoor de rechtbank hierover niet kan oordelen.

Daarnaast hoeft de NZa de bestaande gegevens niet te vernietigen. De toezichthouder heeft echter laten weten dat zij de verzamelde gegevens al heeft vernietigd. De NZa heeft ook al de opdracht gegeven om de laatste back-ups te vernietigen. Dit zal op 12 mei en op 12 juni dit jaar worden gedaan. "Het is vanwege technische redenen voor de beveiliging niet mogelijk om de back-ups eerder te verwijderen", aldus de rechter.