Sinds 1 juli 2023 legt de Nederlandse Zorgautoriteit (NZa) een database aan met gegevens van ongeveer 800.000 mensen die in de periode van 1 juli 2022 tot 1 juli 2023 ggz-hulp ontvingen. Vaak zonder dat cliënten dit weten, zo bleek al in een eerdere uitzending van Argos. Mensen die dit betreft en daar bezwaar tegen hebben, zouden door middel van een privacyverklaring de deling kunnen voorkomen. Belangenvereniging MIND waarschuwt er voor dat een privacyverklaring achteraf indienen er niet toe leidt dat gegevens ook daadwerkelijk worden verwijderd. 'Opnieuw wordt hiermee het vertrouwen in de overheid geschaad.'

Psychologen en psychiaters zijn verplicht informatie uit de gesprekken te gebruiken om een vragenlijst in te vullen die gaat over samen zo’n 800.000 mensen die zorg ontvangen. Is er sprake van opzettelijke zelfverwonding (suïcidepogingen, gedachten over suïcide, automutilatie) of problematisch alcohol- of drugsgebruik? Zijn er seksuele problemen? Deze antwoorden op de HoNOS+-vragenlijst gaan naar de Nederlandse Zorgautoriteit (NZa). Bij de totstandkoming van deze maatregel zijn ook al grote fouten gemaakt, zo bleek eerder al uit onderzoek van Argos. 

Mailwisseling 
Het delen van de gegevens gebeurde vaak zonder dat mensen hiervan op de hoogte waren. Cliënten die daar wel kennis van namen, konden vanaf juni dit jaar een privacyverklaring tekenen. Toch zorgt dit er niet voor dat de gegevens niet verwerkt worden, zo stelt MIND na eigen onderzoek. 

In een mailwisseling tussen MIND en de NZa, die is ingezien door Argos, is duidelijk geworden dat mensen ook achteraf niet meer kunnen voorkomen dat hun gegevens worden gedeeld. Zodra de gegevens zijn opgestuurd door de behandelaar, zijn deze niet meer uit de dataset te halen. 

Ook speelt mee dat clienten niet op tijd geinformeerd zijn over het voornemen deze gegevens te delen. MIND: “De privacy van mensen had alleen beschermd kunnen worden als zij voor de gegevensdeling goed voorgelicht waren en vooraf de privacyverklaring tekenden.”  

Nu blijkt dat deze privacyverklaring er niet voor zorgt dat de gegevens ook daadwerkelijk verwijderd worden, roept de belangenvereniging op te stoppen met het verzamelen van deze gegevens. ”Opnieuw wordt hiermee het vertrouwen in de overheid geschaad.  Wij vinden dit een zeer ernstige zaak en gaan hierover in gesprek met de NZa.” 

Mensen die zorg nodig hebben en tijdens die zorg persoonlijke gegevens delen, moeten volgens de belangenvereniging de absolute garantie krijgen dat vertrouwelijk met hun gegevens wordt omgegaan. “Dit voorbeeld geeft aan hoe het niet moet. Dit schaadt het vertrouwen in de ggz en in het ergste geval kan dit leiden tot zorgmijding. MIND pleit ervoor om bij toekomstige gegevensverzamelingen binnen de ggz, vooraf toestemming aan burgers te vragen.” 

Reactie Nederlandse Zorgautoriteit (NZa)
Argos heeft de Zorgautoriteit de bevindingen van MIND voorgelegd. Ze reageerde schriftelijk. De NZa zegt zich niet te herkennen in de uitlatingen van MIND, want “om te beginnen heeft de NZa geen voorafgaande toestemming van patiënten nodig om gegevens te verwerken.” De Nza zegt dat mensen inderdaad bezwaar kunnen maken maar “dan worden de specifieke belangen van de betrokkenen tegen elkaar afgewogen.

Voor de NZa zijn die belangen het beschikken over gegevens om, onder andere, wachttijden terug te dringen.” Daarbij is het volgens hen juist privacygevoelig om gegevens te verwijderen want “zelfs als mensen bezwaar maken kunnen wij de gegevens alleen verwijderen als wij de gegevens van de betreffende persoon kunnen achterhalen. In het geval van de HoNOS+-gegevens kunnen wij dat simpelweg niet zonder aanvullende identificerende gegevens te ontvangen omdat de gegevens gepseudonimiseerd zijn.” 

Volgens hen wordt dat te weinig benoemd in de discussie over mogelijke privacy gevoeligheid. 

"De NZa herkent zich niet in de uitlatingen van MIND. Om te beginnen heeft de NZa geen voorafgaande toestemming van patiënten nodig om gegevens te verwerken. Iedereen kan een verzoek bij de NZa indienen om gebruik te maken van hun rechten op basis van de Algemene verordening gegevensbescherming (AVG). Een van deze rechten is het recht op het wissen van gegevens. Dit is geen absoluut recht, er bestaat een uitzondering voor het beheer van het zorgstelsel. Dit houdt in dat het verwijderrecht niet van toepassing is op onder andere de gegevens uit de HoNOS+ scorelijst.

Mensen kunnen wel bezwaar maken. Dan worden de specifieke belangen van de betrokkenen tegen elkaar afgewogen. Voor de NZa zijn die belangen het beschikken over gegevens om, onder andere, wachttijden terug te dringen. Zelfs als mensen bezwaar maken kunnen wij de gegevens alleen verwijderen als wij de gegevens van de betreffende persoon kunnen achterhalen. In het geval van de HoNOS+-gegevens kunnen wij dat simpelweg niet zonder aanvullende identificerende gegevens te ontvangen omdat de gegevens gepseudonimiseerd zijn.

We vinden het jammer dat dit simpele feit in de discussie over mogelijke privacygevoeligheid stelselmatig naar de achtergrond wordt geschoven. Aanvullende identificerende gegevens hebben wij ten eerste nodig om er zeker van te zijn dat wij geen informatie verstrekken aan de verkeerde persoon. En ten tweede omdat wij die aanvullende gegevens nodig hebben om alsnog de gegevens van de persoon herkennen. In onze ogen betekent juist deze vraag om aanvullende gegevens een ongewenste inbreuk op de privacy van de persoon."

Argos legde de casus en de reactie van de NZa voor aan data-ethicus Piek Knijff. Zij noemt de gang van zaken grensoverschrijdend. “Ik heb de indruk dat dat de NZa, hier een aantal dingen door elkaar haalt, en het belangrijkste dat er voor mij uit spreekt is dat de autonomie van patiënten niet heel erg belangrijk wordt gevonden.”  Volgens haar spreekt dat uit de woorden van de NZa is dat als mensen bezwaar maken, dat er dan door de NZa verschillende belangen tegen elkaar worden afgewogen. “De patient is degene die bezwaar kan maken en die dus zelf die belangenafweging mag maken om die gegevens prijs te geven zodat diegene uit het systeem kan worden gehaald. En dit is in mijn beleving kenmerkend voor deze casus dat er over patiënten wordt beslist in plaats van met.” 

Om zicht te krijgen om hoeveel mensen dit gaat en wat de impact ervan op hen is, heeft MIND op haar site een meldpunt ingericht. Mensen waarvan de gegevens zijn gedeeld en die achteraf een privacyverklaring indienden, kunnen hierop te kennen geven dat hen dit betreft en wat dit met hen doet. Mensen met vragen over de gegevensdeling kunnen ook contact opnemen met het Nationaal Zorgnummer