Vergroot contrast

AP: NZa mag diagnosegegevens uit DIS beperkt verstrekken

De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar het verstrekken van diagnosegegevens door de Nederlandse Zorgautoriteit (NZa) aan derde partijen. Na de aankondiging van dit onderzoek eind 2015 kondigde de NZa aan voorlopig te stoppen met het leveren van gegevens uit het Diagnose Informatie Systeem (DIS) aan derde partijen. Inmiddels heeft de AP geconcludeerd dat niet alle partijen aan wie de NZa de gegevens verstrekte, deze mogen ontvangen. De NZa heeft naar aanleiding hiervan aangegeven geen DIS-informatie meer aan de betreffende partijen te geven. Berichtgeving in de Volkskrant van vandaag over het delen van DIS-gegevens met derde partijen via een zogeheten informatiemakelaar heeft hierover vragen opgeroepen. De NZa heeft desgevraagd aan de AP verklaard op dit moment geen zorgdata via deze informatiemakelaar te delen. De AP heeft de NZa laten weten de ontwikkelingen nauwlettend te volgen en op te treden zodra zij aanwijzingen heeft dat DIS-gegevens in strijd met de privacywetgeving worden uitgewisseld.

Diagnose Informatie Systeem

Informatie over diagnoses van patiënten in de ziekenhuiszorg, geestelijke gezondheidszorg en forensische zorg komt terecht in het landelijke Diagnose Informatie Systeem (DIS). Zorgaanbieders zijn wettelijk verplicht informatie over wat zij aan zorg hebben geleverd en gedeclareerd, aan het DIS te verstrekken.

Het systeem wordt beheerd door de NZa. De informatie wordt  – na pseudonimisering – gedeeld met verschillende derde partijen. De AP oordeelt na onderzoek dat de DIS-gegevens inderdaad gedeeld mogen worden met verschillende in de wet genoemde partijen.

Maar de NZa mag de gegevens niet delen met de minister van Volksgezondheid, Welzijn en Sport (VWS) en het Centraal Planbureau (CPB). Hiervoor bestaat geen wettelijke grondslag, aldus de AP. De NZa heeft aangegeven geen gegevens uit het DIS-systeem meer te verstrekken aan de minister van VWS en het CPB.

DIS-gegevens niet anoniem

Al eerder stelde de AP vast dat het in het DIS gaat om (bijzondere) persoonsgegevens. Deze mogen alleen onder strikte voorwaarden worden verwerkt. Door de pseudonimisering zijn de gegevens van patiënten in het DIS weliswaar beperkt herleidbaar tot individuen, maar is er geen sprake van een onomkeerbare anonimisering. Daardoor zijn de regels van de Wet bescherming persoonsgegevens van toepassing.

Berichtgeving Volkskrant

Vandaag is een artikel in de Volkskrant gepubliceerd over het delen van zorgdata tussen verschillende partijen. Er zou een overeenkomst zijn gemaakt tussen 6 partijen die via een ‘informatiemakelaar’ gegevens kunnen opvragen uit onder meer de DIS-databank.

De AP heeft naar aanleiding hiervan vragen gesteld aan de NZa. De NZa heeft aan de AP verklaard op dit moment geen zorgdata via deze informatiemakelaar te delen. De AP heeft de NZa laten weten de ontwikkelingen nauwlettend te volgen en op te treden zodra zij aanwijzingen heeft dat DIS-gegevens in strijd met de privacywetgeving worden uitgewisseld.

Autoriteit Persoonsgegevens

Met ingang van 1 januari 2016 heeft het College bescherming persoonsgegevens (CBP) een nieuwe naam: Autoriteit Persoonsgegevens (AP). Deze naamswijziging hangt samen met de uitbreiding van de boetebevoegdheden van de toezichthouder en de meldplicht datalekken per 1 januari 2016.

Gerelateerd nieuws

Publicaties