"Behandelgegevens patiënten niet voldoende beschermd"
Het College Bescherming Persoonsgegevens (CBP) doet onderzoek naar de vraag of de Nederlandse Zorgautoriteit (NZa) bepaalde persoonsgegevens van patiënten uit een zorgdatabase wel mag doorgeven aan andere partijen.
Niet voldoende
Ziekenhuizen en andere zorgaanbieders sturen hun declaraties naar een centraal systeem. Daar staan twee soorten gegevens in, zegt de NZa. Algemene behandelgegevens van het ziekenhuis en persoonsgegevens. Deze laatste worden versleuteld en zijn voor derde partijen niet in te zien, aldus de zorgautoriteit.
De behandelgegevens zijn dat wel. Het college heeft nu tegen de NZa gezegd dat die gegevens ook worden aangemerkt als persoonsgegevens en dat daar dus ook de Wet bescherming persoonsgegevens op van toepassing is.
Dat betekent dat de patiëntengegevens onherleidbaar moeten zijn. De versleuteling is volgens het CBP niet voldoende om dit te doen, het is "slechts een beveiligingsmaatregel om privacyrisico’s te verkleinen".
Dunbevolkte gebieden
De NZa stuurde tot kort geleden de algemene behandelgegevens door naar branche- en koepelorganisaties en overheidsinstanties. Omdat die, in theorie, gegevens zouden kunnen koppelen aan hun eigen gegevens zou het bijvoorbeeld in dunbevolkte gebieden mogelijk zijn om te achterhalen wie waarvoor wordt behandeld.
De zorgautoriteit zegt gedurende het onderzoek van het CBP geen gegevens door te sturen.
Het College Bescherming Persoonsgegevens bevestigt het onderzoek, maar was niet direct bereikbaar voor een reactie.