IT 2328

Gegevensregistratie GGZ valt niet onder Wbp nu individuele personen niet herleidbaar zijn

Rechtbank Midden-Nederland 2 augustus 2017, LS&R 1486; IT 2328; ECLI:NL:RBMNE:2017:4011 (Gegevensregistratie GGZ) Wbp en zorg. Privacy. Rechtspraak.nl: Twee belangenorganisaties in de geestelijke gezondheidszorg en twee zorgcliënten spanden een kort geding aan omdat zij willen dat de Stichting Benchmark GGZ stopt met de huidige vorm van gegevensregistratie. Die stichting registreert gegevens van zorgtrajecten om de kwaliteit in de branche te verhogen. De eisende partijen vinden dat niet wordt voldaan aan de Wet Bescherming Persoonsgegevens. Stichting Benchmark GGZ vindt dat de gegevens die zij verwerkt (waar geen namen in staan) niet onder die wet vallen, omdat ze niet op individuele personen herleidbaar zijn. Dat is wel het geval als geregistreerde gegevens toch op individuen herleidbaar zijn door de gegevens met andere informatie te combineren. In een kort geding moet de rechter vaststellen of de eis van de belangenorganisaties en zorgcliënten hoogstwaarschijnlijk ook in een bodemprocedure toewijsbaar zal zijn. De voorzieningenrechter oordeelt dat in deze zaak niet vastgesteld kon worden dat de gegevens wel onder de wet vielen. Voor een definitief oordeel op dat punt is een diepgaander onderzoek nodig.

4.19. Het beroep van eiseressen op het voornoemde advies van Groep 29 en het rapport van de AP van 13 april 2016 in de DIS-kwestie leidt de voorzieningenrechter niet tot een ander oordeel. Dat advies bevat een analyse van de doeltreffendheid en de beperkingen van bestaande anonimiseringstechnieken, door ze te toetsen aan het EU-rechtskader inzake gegevensbescherming. Daarbij neemt Groep 29 tot uitgangspunt dat krachtens de Richtlijn anonimisering dient te bewerkstelligen dat elke mogelijkheid tot identificatie van betrokken personen onherroepelijk wordt uitgesloten en dat daarbij dient te worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enige andere derde in te zetten zijn om een persoon te identificeren. Tegen de achtergrond van dat uitgangspunt wordt vervolgens in het rapport uitgebreid de deugdelijkheid van de diverse anonimiseringstechnieken besproken op het punt van herleidbaarheid (de mogelijkheid om een persoon te individualiseren, mogelijk zonder de identiteit te kunnen vaststellen), koppelbaarheid (de mogelijkheid om records in verband te brengen met een persoon) en deduceerbaarheid (de mogelijkheid om persoonsgebonden informatie af te leiden). Ook gaat het rapport in op de vraag met welke (combinatie van) technieken het beoogde beschermingsdoel kan worden bereikt en welke misverstanden er in dat verband in de praktijk leven. In de aanbevelingen van Groep 29 aan het einde van het rapport, is vermeld dat geen van de besproken technieken met zekerheid aan de drie criteria voor een doeltreffende anonimisering voldoet, namelijk de criteria dat de drie genoemde mogelijkheden zich niet voordoen. Daarbij is evenwel vermeld “Niettemin kan deze of gene techniek sommige van die risico’s geheel of ten dele ondervangen. Het is derhalve zaak om zorgvuldig af te wegen hoe een op zichzelf staande techniek kan worden toegepast in de specifieke situatie die aan de orde is. Voorts moet worden bekeken of een combinatie van die technieken ertoe kan bijdragen het resultaat beter bestand te maken tegen privacyschendingen.” Hoewel niet kan worden uitgesloten dat Groep 29 hiermee heeft beoogd te betogen dat het wettelijke begrip persoonsgegevens mede ziet op gegevens aan de hand waarvan een persoon kan worden geïndividualiseerd, ook zonder dat die persoon (door directe of indirecte herleiding) kan worden geïdentificeerd, leest de voorzieningenrechter een dergelijk betoog niet met voldoende zeggingskracht in het rapport om op de voet daarvan in dit kort geding het persoonsgegevensbegrip aldus (verruimd) uit te leggen. Tegen die uitleg pleit dat het voor de hand had gelegen dat een dergelijk betoog uitdrukkelijker was verwoord, daar die uitleg tot in de rechtspraktijk tot dan toe niet evident was. Ook pleit daartegen dat Groep 29 haar rapport begint met het voornoemde uitgangspunt waarin het gaat om de identificeerbaarheid van de betrokken personen en Groep 29 blijkens haar bevindingen het onderscheid tussen identificeerbaarheid en individualiseerbaarheid onderkent.

4.20. Wat het beroep van eiseressen op het rapport van de AP van 13 april 2016 aangaat, geldt het volgende. De AP heeft in deze brief de uitgangspunten en de aanbevelingen uit het rapport van Groep 29 herhaald en deze toegepast op de DIS-gegevens van de NZa. Zij heeft daarbij weliswaar ook herhaald dat anonimiseringstechnieken de mogelijkheid moeten uitsluiten om een persoon te individualiseren (‘single out’), om verschillende records in verband te brengen met een individu (‘linkability’) en om informatie over een individu af te leiden (‘inference’), maar zij heeft daarbij niet met zoveel woorden uitgesproken dat gegevens waarbij enkel van ‘singling out’ sprake is, zonder dat de betrokken persoon door directe of indirecte herleiding kan worden geïdentificeerd, onder het begrip persoonsgegevens van de Richtlijn en de Wbp vallen. Daarentegen luiden de bevindingen van de AP dat de DIS-gegevens van de NZa juist persoonsgegevens in die zin vormen omdat zij, met inachtneming van de door de NZa of anderen redelijkerwijs in te zetten middelen, (indirect) herleidbaar zijn tot de persoon. Die herleidbaarheid, aldus de AP, kan zijn gelegen in de combinatie van de (gepseudonimiseerde) DIS-gegevens (met behulp van een koppelnummer) met de bij zorgaanbieders bekende gegevens, of door combinatie van die DIS-gegevens met bij het CBS bekende gegevens. Naar voor de hand ligt (en - wat dit geding aangaat - niet door tegenaanwijzingen wordt ontkracht) doelt de AP daarbij op herleidingsmogelijkheden waarbij de identiteit van de betrokken persoon blijkt. Ook in het rapport van de AP is daarom naar het oordeel van de voorzieningenrechter onvoldoende grond te vinden om het geschilpunt van de ‘singling out’ hier, vooruitlopend op een oordeel in een bodemgeding, te beslechten in de door eiseressen bepleite zin.

4.21. Uit al het voorgaande volgt dat binnen de hier geldende maatstaf niet voldoende aannemelijk is geworden dat sprake is van persoonsgegevens in de zin van de Richtlijn en de Wbp. Daarom is hier evenmin voldoende aannemelijk geworden dat de ROM-praktijk van SBG onderworpen is aan de desbetreffende wettelijke regels. De op de andersluidende stellingen gebaseerde vorderingen van eiseressen moeten reeds daarom worden afgewezen. Voor zover eiseressen hebben beoogd hun vorderingen op zelfstandige basis te baseren op de genoemde bepalingen uit het EVRM en het Handvest (zoals onder 4.1 aangeduid), ook voor het geval de voorzieningenrechter tot het hiervoor gegeven oordeel komt, moeten de vorderingen ook in zoverre worden afgewezen, omdat zij (buiten het kader van de Richtlijn en de Wbp) niet zijn onderbouwd.