Rechter geeft Autoriteit Persoonsgegevens er van langs

De Autoriteit Persoonsgegevens (AP) heeft afgelopen week in drie rechtszaken te horen gekregen dat zij onvoldoende handhavend optreedt, ondanks herhaald verzoek van bezorgde burgers. In een vierde zaak wilden burgers het oordeel van de AP niet afwachten en stapten met succes direct naar de rechter.

Zo hanteren zorgverzekeraars al jaren een gedragscode voor het verwerken van (medische) persoonsgegevens die in 2013 door de rechter onrechtmatig is verklaard. In de gedragscode wordt soms zonder noodzaak medische informatie op declaraties gevraagd.

Miek Wijnberg, voorzitter van burgerrechtenvereniging Vrijbit, dringt er sindsdien bij de Autoriteit Persoonsgegevens op aan om een einde aan die gedragscode te maken. De toezichthouder weigert dat echter keer op keer, waarop Wijnberg naar de rechter is gestapt. Deze concludeert dat de Autoriteit Persoonsgegevens "te gemakkelijk [heeft] aangenomen dat de werkwijze van de zorgverzekeraars wel in orde is, zonder transparant te maken [..] waarop zij dit baseert". De rechter eist nu dat de Autoriteit Persoonsgegevens binnen acht weken daadwerkelijk bij zorgverzekeraars gaat onderzoeken of de werkwijze van de zorgverzekeraars wettelijk door de beugel kan.

Medische database

Ook in een andere zaak moet de AP van de rechter aan het werk. Het gaat daarbij om de landelijke database met medische gegevens die de Nederlandse Zorgautoriteit (NZa) van iedereen bijhoudt. De medische gegevens worden daarbij niet voldoende anoniem gemaakt en vervolgens wel met andere partijen gedeeld.

Ook hierover heeft Wijnberg al in 2015 aan de toezichthouder gevraagd handhavend op te treden, maar de AP vond dat het allemaal wel in orde was. Pas toen de gezamenlijke Europese privacytoezichthouders met een duidelijke uitleg kwamen wanneer gegevens wel en wanneer niet anoniem zijn, zag de AP in dat ze er naast zaten (pdf). Toch trad de toezichthouder niet op. Zij vond het voldoende dat de NZa zei de werkwijze aan te passen.

Maar de rechter vindt dit "niet zorgvuldig". Ook hier moet de AP binnen acht weken onderzoeken of de werkwijze van de NZa nu daadwerkelijk in orde is en eventueel onrechtmatig gedeelde gegevens opsporen en laten vernietigen.

Afvalpas

In de derde zaak gaat het om de omstreden afvalpas in Arnhem. In die gemeente kan je je huisvuil alleen in de container gooien als je je identificeert met een pasje. Op verzoek van een inwoner oordeelde de toezichthouder dat de gemeente Arnhem de wet overtrad, maar vond het vervolgens niet nodig daartegen op te treden. De gemeente zegt namelijk dat er per 1 januari 2018 een nieuw afvalsysteem komt dat die gegevens wel nodig heeft. Nu optreden en het systeem laten aanpassen zou dan onevenredige kosten voor de gemeente met zich meebrengen.

De rechter constateerde deze week echter dat de gemeente nog helemaal geen concrete plannen voor een nieuw afvalsysteem heeft. De gemeenteraad is er nog niet eens uit hoe het nieuwe systeem er uit moet komen te zien. De rechter vindt dan ook dat de toezichthouder de zaak opnieuw moet onderzoeken en verwacht dat de toezichthouder zal optreden tegen deze onrechtmatige afvalpas.

Wat in deze zaak, maar ook in die tegen de NZa opvalt, is dat de Autoriteit Persoonsgegevens niet op wil treden omdat de onrechtmatige situatie al is gestopt of zal stoppen. Als je belooft niet nog een keer door rood te rijden, krijg je geen boete. De rechter vindt dit een "te magere motivering" om af te zien "van enige vorm van handhaving". Zeker als de toezeggingen van de NZa of de gemeente Arnhem om de zaak aan te passen zonder veel nader onderzoek voor zoete koek worden geslikt.

Geestelijke gezondheidszorg

Dan was er deze week nog een vierde rechtszaak over het onrechtmatig verwerken van persoonsgegevens. Hierbij gaat het om behandelgegevens in de geestelijke gezondheidszorg die verplicht ook naar een landelijke database worden gestuurd. Eind maart werd duidelijk dat ook hier de gegevens onvoldoende anoniem worden verwerkt en gedeeld.

De Autoriteit Persoonsgegevens gaf aan een onderzoek te starten, maar de actiegroep 'Stop benchmark met ROM' wilde dit onderzoek niet afwachten en stapte direct naar de rechter. Woordvoerder Judica Berkelaar zegt hierover: "Als we het onderzoek van de AP hadden afgewacht, dan was de aanlevering en verwerking van de gegevens maandenlang doorgegaan. Onze insteek is steeds geweest dit zo snel mogelijk te stoppen."

De actiegroep heeft duidelijk succes met haar aanpak. Twee dagen voor de zitting bij de rechter kozen de zorgverzekeraars en GGZ Nederland eieren voor hun geld en besloten hun manier van gegevens verzamelen om te zullen gooien. Daarbij krijgen de behandelaars en de patiënten nu "de regie". Hoe dat er precies uit gaat zien, moet nog invulling krijgen. Daarbij zal het oordeel van de rechter over het huidige systeem een belangrijke richtlijn vormen.