De voorzieningenrechter heeft in zijn uitspraak van 2 augustus 2017 de vordering tegen Stichting Benchmark GGZ (SBG) om de verwerking van Routine Outcome Monitoring (ROM)-gegevens betreffende patiënten ten dele te staken en de patiënten over de verwerking van hun gegevens te informeren afgewezen. In het kort geding stonden het patiëntenbelang en de patiëntenrechten voorop, verwoord door twee cliënten van GGZ-zorgverleners.
Veel gewicht kent de rechter in de uitspraak vooralsnog toe aan de extra, privacy verbeterende, maatregelen die SBG recent (begin juli jl.) onder druk van de aankondiging van dit kort geding heeft genomen. Hierbij is het goed te bedenken dat zonder de dreiging van het kort geding er geen sprake zou zijn geweest van pseudonimisering en randomisering van identificerende getallenreeksen in de aangeleverde data en het verschaffen van duidelijkheid aan zorgaanbieders over de wijze van verwerking van postcodes en geboorteland van cliënten.
Teleurstellend is het dat de voorzieningenrechter voorbij gaat aan de door eisers gestelde feiten dat ook al zou het onvoldoende aannemelijk zijn dat op dit moment persoonsgegevens worden verwerkt, het in ieder geval zeer aannemelijk is dat in het verleden jarenlang persoonsgegevens zijn verwerkt. Dus in de periode alvorens SBG extra maatregelen heeft genomen. Op dat moment waren in ieder geval de informatieverplichtingen van toepassing op SBG, en had SBG – zoals gevorderd – de patiënten hierover alsnog moeten informeren.
De rechter miskent in deze benadering het feit dat jarenlang zonder toestemming van cliënten gevoelige medische persoonsgegevens zijn verwerkt door een organisatie die zich nadrukkelijk niet verantwoordelijk achtte voor de wijze waarop medische gegevens werden ontvangen en verwerkt. Dit is uiterst problematisch.
In de uitspraak wordt SBG als verantwoordelijke aangemerkt en komt de vraag centraal te staan of SBG als verantwoordelijke in reactie op het starten van deze kort geding procedure afdoende maatregelen heeft genomen om herleiding van de aangeleverde medische gegevens (op individueel niveau) te voorkomen. Deze vraag wordt door de rechter te complex bevonden om daarover in een kort geding een uitspraak te doen.
Gelet op het belang van cliënten bij een zorgvuldige en rechtmatige verwerking van medische persoonsgegevens had de voorzieningenrechter onder verwijzing naar het voorzorgbeginsel ook kunnen besluiten dat ontvangst, verwerking en doorlevering van data op individueel niveau per direct gestaakt dienden te worden. Gestaakt, totdat is vastgesteld dat door SBG als verantwoordelijke voor deze verwerking van uiterst gevoelige medische gegevens afdoende maatregelen zijn getroffen om herleiding van deze medische gegevens te voorkomen, en daarmee ook de schade voor cliënten zo veel mogelijk te beperken. Voor cliënten in de GGZ is deze benadering die geheel voorbij gaat aan het voorzorgbeginsel, mede gelet op het eerdere verwijtbaar onzorgvuldig handelen van SBG, moeilijk te accepteren.
Met betrekking tot de herleidbaarheid van de verzamelde ROM-data tot een individu benadrukt de rechter bij herhaling geen uitspraak te kunnen doen over de vraag of de door SBG extra doorgevoerde aanpassingen voldoende zijn om herleiding te voorkomen. Het oordeel van de rechter komt er feitelijk op neer dat op dit moment niet geconcludeerd kan worden dat de verwerking van ROM-gegevens door SBG veilig / niet herleidbaar is. Hij meent daarentegen geen voorlopige maatregelen (stopzetting van ontvangst, verwerking en doorlevering van ROM-gegevens) te kunnen nemen zolang niet is aangetoond dat de door SBG genomen maatregelen onvoldoende zijn.
Na het bekend worden van de uitspraak van de rechter heeft SBG op haar website daarvan melding gemaakt en daarin de opmerking verwerkt dat de aanlevering van anonieme ROM-data aan SBG dus weer kan worden hervat. Daarbij maakt SBG twee kardinale fouten. In de eerste plaats gaat het om de aanlevering van gepseudonimiseerde data hetgeen iets totaal anders is dan geanonimiseerde gegevens. In de tweede plaats vergeet SBG blijkbaar dat de Autoriteit Persoonsgegevens (AP) begin juni j.l. een onderzoek aankondigde naar het handelen van SBG en in dat kader veertig vragen aan die organisatie stelde. Dit onderzoek richt zich in eerste instantie op de vraag of SBG als verantwoordelijke is aan te merken in de zin van de privacywetgeving en in tweede instantie of zij persoonsgegevens verwerkt. Het zijn precies die vragen die in het kort geding ook speelden.
De uitspraak die SBG op hun website doet is op zijn zachtst gezegd dus misleidend en voorbarig te noemen.
De rechter hint er in zijn uitspraak meermalen op dat een bodemprocedure wenselijk is om de kardinale twistpunten die in dit kort geding naar voren zijn gebracht in rechte te laten beslechten. De eisende partijen beraden zich nu over vervolgstappen, waarbij onder andere gedacht wordt aan een bodemprocedure die gericht is op een aantal cruciale kernvragen waarover in dit kort geding geen uitspraak is gedaan.
Daarin dienen dan fundamentele vragen aan de orde te komen met betrekking tot de herleidbaarheid van ROM/MDS (Minimale Data Set)-data. Daarnaast wordt overwogen zorginstellingen in de GGZ aan te spreken op de aanlevering van ROM-gegevens zonder dat daarvoor voorzien is in een procedure die gericht is op het verkrijgen van uitdrukkelijke, geïnformeerde toestemming van cliënten/patiënten.
Noot voor de redactie
Voor meer informatie kunt u contact opnemen met:
Judica Berkelaar, j.berkelaar@stopbenchmark.com
Cobie Groenendijk, 06-49752960 / c.groenendijk@stopbenchmark.com
Comité StopBenchmarkROM www.stopbenchmark.com
