Afgelopen vrijdag heeft de NZa, zeven weken te laat, een nieuwe beslissing op bezwaar genomen in een procedure over privacy in de geestelijke gezondheidszorg. In een uitspraak van 2 augustus 2010 oordeelde het College van Beroep voor het bedrijfsleven (CBb) dat bij de inrichting van de uitwisseling van behandelgegevens binnen het nieuwe zorgverzekeringbestel onvoldoende rekening is gehouden met het belang van vertrouwelijkheid en privacy bij de behandeling van psychische klachten.

De rechter vernietigde een eerdere beslissing van de NZa en droeg deze toezichthouder op om - rekening houdend met het belang van vertrouwelijkheid en privacy in de GGZ - alsnog onderzoek te doen naar de mogelijkheid om de gegevensuitwisseling die noodzakelijk is voor de afwikkeling, inclusief controle en verantwoording van de nota’s, zo in te richten dat behandelinformatie niet onnodig zonder expliciete toestemming van de patiënt/ cliënt onder ogen komt van personen/derden, die veelal niet gehouden zijn aan het medisch beroepsgeheim.

Het oordeel van de rechter uit 2-8-2010, dat bij de ontwikkeling van huidige gebruikte systemen voor informatieverwerking in de zorg onvoldoende rekening is gehouden met de privacybelangen van patiënten/cliënten, is volkomen in lijn met de recente besluitvorming in de Eerste Kamer over het EPD. Ook de Eerste Kamer concludeerde unaniem dat bij de ontwikkeling van het EPD onvoldoende rekening is gehouden met de risico’s verbonden met de uitwisseling van behandelinformatie.

Het recent uitgekomen rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) bevestigt eveneens het oordeel van de rechter. In het WRR- rapport over de informatieoverheid wordt namelijk gesteld dat vanuit een naïef techno-optimisme door de overheid complexe, grootschalige informatiesystemen zijn ontwikkeld, terwijl het inzicht in de risico’s die verbonden zijn met grootschalige opslag, uitwisseling en koppeling van persoonsgegevens van burgers, volledig ontbreekt.

De Raad van Bestuur van de NZa heeft in de afgelopen weken verschillende malen vergaderd over de formulering van de nieuwe beslissing op bezwaar die vrijdag naar buiten werd gebracht. In die periode heeft de Raad van Bestuur ook kennis genomen van de kritiek van zowel de Eerste Kamer als de WRR met betrekking tot de ontwikkeling van grootschalige informatiesystemen door de overheid. De nieuwe beslissing van de NZa doet echter uitkomen dat men zich niet aangesproken weet door deze kritiek en dat terwijl deze kritiek volstrekt in lijn is met de hoofdconclusies van de CBb uitspraak van augustus 2010!

Het is onbegrijpelijk dat de NZa heeft gemeend voorbij te kunnen gaan aan de opdracht van de rechter om onderzoek te doen naar de mogelijkheid het systeem voor uitwisseling van behandelinformatie op zodanige wijze aan te passen dat niet onnodig inbreuk wordt gemaakt op de privacy van patiënten/burgers. Een overheid met disrespect voor uitspraken van een hoogste bestuursrechter is niet alleen arrogant, maar miskent en ondergraaft ook de fundamenten van onze rechtsstaat.

De stichting KDVP zal zeker in beroep gaan tegen deze nieuwe beslissing van de NZa.

Om zuiver procedure technische redenen heeft de NZa in het kader van deze procedure niet willen ingaan op de bezwaren verbonden met opslag, koppeling en gebruik van behandelgegevens in de landelijke database DIS (DBC-InformatieSysteem). Op dit moment wordt in overleg met juristen en IT-experts gekeken naar mogelijkheden om de NZa alsnog aan te spreken op de onvolkomen beveiliging en het onrechtmatige karakter van de opslag van behandelgegevens van alle Nederlanders in de landelijke database DIS.

Volgens IT-experts is de wijze waarop deze landelijke database is ingericht teneinde uitwisseling en koppeling van behandelgegevens met informatie uit andere datasystemen (Fiscus, UVW, CvZ, Zorgverzekeraars etc.) mogelijk te maken, er debet aan dat de gepseudonimiseerde behandelgegevens in deze landelijke database eenvoudig kunnen worden herleid tot persoonsgegevens.

Dat de NZA als toezichthouder zich uit hoofde van haar taak niet verplicht acht om serieus aandacht te besteden aan de bezwaren tegen deze wijze van gegevensverwerking in het DIS is op z’n minst verwijtbaar onzorgvuldig.