Zembla woensdag om 21:15 uur op NPO 2

Privacygevoelige gegevens GGZ-patiënten die databank krijgt niet meer te herleiden tot personen

Leestijd: 3 minuten

Behandelgegevens van psychiatrisch patiënten die de databank Stichting Benchmark GGZ (SBG) verzamelt, zijn niet langer te koppelen aan andere datasets, zoals die van zorgverzekeraars. Daardoor zijn behandelgegevens niet meer te herleiden tot een persoon. Dat heeft de databank bekendgemaakt. Er was veel gedoe over deze privacygevoelige gegevens, maar het meest gevoelige onderdeel lijkt nu uit de discussie verdwenen.

De actiegroep Stop Benchmark ROM eiste donderdag bij de rechtbank dat de databank direct ophoudt met het verwerken van de privacygevoelige gegevens van patiënten. De timing van de veranderde werkwijze van SBG is daardoor opmerkelijk. Nu eisen leden van de actiegroep een tijdelijke lockdown. Ze vinden nog steeds dat persoonlijke vragenlijsten die patiënten invullen niet bij een databank terecht zouden moeten komen. Voorheen was de inzet van het kort geding ook vernietiging van alle gegevens in de databank, maar van die eis is afgezien.

Intieme vragen
De gegevens die SBG ontvangt zijn zeer gevoelig: een diagnose zoals alcoholverslaving, erectiestoornis, pedofilie, maar ook antwoorden op zeer intieme vragen zoals of iemand zelfmoordneigingen heeft of hoe men familie waardeert.

Voorheen leek het niet heel ingewikkeld om erachter te komen wie bij welke klachten en behandelingen hoort. Dat komt doordat er ook gegevens mee werden gestuurd over het postcodegebied van de patiënt, het geboortejaar en -land, het geboorteland van de ouders, opleidingsniveau en leefsituatie. Deze gegevens worden nu versleuteld.

'Elke relatie verdwijnt'
“Daarnaast ontving en bewaarde SBG ook unieke codes, waarmee zorgaanbieders, zorgverzekeraars of derden, wanneer ze de beschikking zouden krijgen over de gegevens, een patiënt ook direct kunnen identificeren”, stelde Stop Benchmark ROM. De databank gaat ervoor zorgen dat al de codes geen functie meer hebben. “Hierdoor verdwijnt definitief elke relatie tussen de nummerreeksen bij SBG en bij de zorgaanbieder, wat een optimaal anonimiseren bewerkstelligt. Dit is inmiddels gebeurd voor alle afgesloten zorgtrajecten tot 1 juli 2016”, zo laat de databank weten.

Uit een uitspraak van de Autoriteit Persoonsgegevens blijkt dat er geen wettelijke grond voor is om privacygevoelige gegevens zonder toestemming van cliënten te delen met een databank. 

Toen bleek dat wat de databank deed wettelijk niet is toegestaan en bovendien niet een effectieve methode is om behandelingen van patiënten te vergelijken, riep de GGZ haar instellingen op om te stoppen met het doorsturen van de gegevens. Het gros gaf daar gehoor aan.

Reparatiewet
De minister overlegt met de Autoriteit Persoonsgegevens hoe het nu verder moet. Ze bekijkt daarbij ook of een nieuwe wet het mogelijk kan maken de gegevens toch te delen. De actiegroep noemt dat een ‘reparatiewet’ en vindt dat het nu maar eens afgelopen moet zijn met het opslaan van privégegevens van patiënten.