Ons kenmerk z Contactpersoon

Vergelijkbare documenten
In de werkgroep over DIS/TTP heeft het CBP in meerdere instanties nadrukkelijk op deze aandachtspunten gewezen.

Ons kenmerk z Contactpersoon

Waarborgen NZa voor DIS-beheer met het oog op publieke taakuitoefening DBC s

Ons kenmerk z Contactpersoon

Nadere notitie Burgerrechtenvereniging Vrijbit bij zaaknummer UTR 16/4199 WBP V93.

ECLI:NL:RVS:2013:1522

Dit samenwerkingsconvenant vervangt het Samenwerkingsprotocol tussen de AFM en de NZa van 10 september 2007;

Ons kenmerk z Onderwerp Wetgevingsadvies Tijdelijk besluit experiment vervroegde inzet no-risk polis

Datum 20 oktober 2015 Betreft Commissiebrief Tweede Kamer inzake PGB in de Zorgverzekeringswet in verhouding tot de Wet marktordening gezondheidszorg

Ons tenmert z

Protocol. de Inspectie voor de Gezondheidszorg. de Nederlandse Zorgautoriteit

: esluit. Autoriteit Consument t Markt. / m46at Lo,~.

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Bevindingen De bevindingen van het CBP luiden als volgt:

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Modelprivacyreglement Stichting vmbo Dienstverlening en Producten

Rapport. Datum: 13 oktober 2003 Rapportnummer: 2003/348

Ons kenmerk z Onderwerp Definitief oordeel onderzoek "publicatie wietadressen op internet" gemeente Renkum

De Minister van Volksgezondheid, Welzijn. Advies conceptwijziging Besluit gebruik BSN in de zorg

De minister van Sociale Zaken en Werkgelegenheid Wijziging in SZW wetgeving

De Staatssecretaris van Volksgezondheid, Welzijn en Sport. Postbus EJ DEN HAAG. Advisering Besluit langdurige zorg.

Het CBP voldoet hierbij aan dit verzoek. Kader

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

OVEREENKOMST NZa en DBC-Onderhoud inzake DIS (uitwerking artikel 7.9 convenant NZa, CVZ en DBC-Onderhoud)

Privacyreglement van Stichting 070Watt;

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

Privacyreglement Revalidatiecentrum Haaglanden

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg Geldend van t/m heden

Protocol. de Inspectie voor de Gezondheidszorg. de Nederlandse Zorgautoriteit

Reactie van de Brancheorganisaties Zorg (BoZ) op de consultatie Uitvoeringswet Algemene verordening gegevensbescherming (AVG)

Samenwerkingsconvenant informatieuitwisseling CIZ - NZa

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Ministerie van Infrastructuur en Milieu. Advies concept wetsvoorstel Basisregistratie Ondergrond. Geachte,

Privacyreglement Esma dienstverlening (februari 2018)

KLACHTEN- EN PRIVACYREGLEMENT NEW TARGET VISION BV (met betrekking tot verwerking persoonsgegevens)

Ons kenmerk z Contactpersoon

privacyreglement Dit reglement is voor Adhesive Bonding Center B.V. 1. Aanhef Vaartweg PD Lelystad ( verder te noemen school) 2.

Datum 3 oktober 2014 Onderwerp Berichtgeving over verzamelen gegevens door Belastingdienst en uitwisselen met andere overheidsinstanties

Ons kenmerk z Contactpersoon Onderwerp Wetgevingsadvies Wet wijziging financieringsstelsel kinderopvang

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Adecco Group Nederland; z

Privacyreglement Edese Schoolvereniging

1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Ook zet het CBP vraagtekens bij de noodzaak voor het van toepassing verklaren van het gehele hoofdstuk VIII van de AWBZ.

1. Aanhef Dit reglement is voor KBS De Plataan, gevestigd te Meppel, Vledderstraat 3 E, 7941LC. 2. Definities

Privacyreglement SOML

Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Op grond van de verstrekte informatie concludeert het CBP dat de FAD voornemens is het Protocol op een aantal punten te wijzigen.

Privacy reglement. Inleiding

Privacy reglement / Geheimhouding

1.1 Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

de wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke

Privacyreglement Trevianum Scholengroep

Rubriek Onderwerp Nummer Datum document KWALITEIT - BELEID Privacybeleid

Algemeen privacyreglement Stichting Lareb

Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd:

Privacyreglement/ Geheimhouding

Minister van Financiën. Postbus EE Den Haag

De minister van Justitie De heer dr E.M.H. Hirsch Ballin Postbus EH Den Haag

Privacy Reglement. 2 Definities. 3 Reikwijdte en doelstelling

Tweede Kamer der Staten-Generaal

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus EC Den Haag Ministeriële regeling afsluitingen

Transitiemodel voor gebudgetteerde zorgaanbieders van gespecialiseerde curatieve GGZ Kenmerk

Datum Ons kenmerk. Uw brief van. Contactpersoon. Onderwerp. 1. Het handhavingsverzoek AUTORITEIT PERSOONSGEGEVENS. AutDritit Pe39egeva1s

Deze regeling is voorts van toepassing op zorgverzekeraars als bedoeld in artikel 3.10 hierna.

Transitiemodel voor gebudgetteerde zorgaanbieders van gespecialiseerde curatieve GGZ

1. Aanhef Dit reglement is voor STICHTING VLIETKINDEREN gevestigd aan de Bucaillestraat 6, 2273 CA te Voorburg

PRIVACYREGLEMENT. maakt werk van de apotheek. Stichting Bedrijfsfonds Apotheken. Paragraaf 1. Algemene bepalingen

Transitiemodel voor gebudgetteerde zorgaanbieders van gespecialiseerde curatieve ggz Kenmerk

ECLI:NL:RVS:2016:3415

Regeling Bescherming Persoonsgegevens Studenten en Personeel

de Minister van VWS concept wetsvoorstel structurele maatregel wanbetalers

PRIVACY REGLEMENT PCBO LEIDERDORP

Privacyreglement van de Vereniging voor Christelijk Onderwijs Instituut Coolsma

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek.

verantwoordelijke: de Algemeen directeur/bestuurder van het CVD

Privacyreglement. WerkPro privacyreglement pagina: 1 van 5 Versiedatum: Eigenaar: Bedrijfsjurist

APR 214. Ministerie van Volksgezondheid, Welzijn en Sport. Datum: Betreft: Beslissing op uw Wob-verzoek. Geachte

8.50 Privacyreglement

In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad 2000, 302) verstaan onder:

Privacyreglement Stichting Welzijn Ouderen Bergen op Zoom

Officiële uitgave van het Koninkrijk der Nederlanden sinds Reglement bescherming persoonsgegevens Kansspelautoriteit

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

Beleidsregel Verpleging in de thuissituatie, noodzakelijk in verband met medisch specialistische zorg

3.1 Algemeen gegevensbeheer code (AGB-code) Unieke code die aan iedere zorgaanbieder wordt toegekend, waarmee deze kan worden geïdentificeerd.

Convenant voor gegevensuitwisseling tussen Politie en beveiligingsorganisaties en organisatoren van evenementen

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

Langdurige ggz: De zorg geleverd aan verzekerden als bedoeld in artikel van de Wet langdurige zorg (Wlz).

Privacyreglement voor Stichting CPOW en Stichting Montessori Onderwijs Purmerend

29 PRIVACYREGLEMENT PERSONEELS- EN SALARISADMINISTRATIE

Op de voordracht van Onze Minister van Volksgezondheid, Welzijn en Sport, van..., kenmerk

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

Ons kenmerk z Onderwerp Advies concept besluit verplichte geestelijke gezondheidszorg

BELEIDSREGEL AL/BR-0040

Transcriptie:

Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Prins Clauslaan 60, 2595 AJ Den Haag T 070 8888 500 - F 070 8888 501 autoriteitpersoonsgegevens.nl De Nederlandse Zorgautoriteit T.a.v. de voorzitter van de raad van bestuur Datum 13 april 2016 Onderwerp Definitieve Bevindingen Ons kenmerk z2015-00355 Contactpersoon 070 8888 500 Uw brief van 7 maart 2016 Geachte, In deze brief met bijlagen treft u de definitieve bevindingen van het door de Autoriteit Persoonsgegevens (voorheen: het College bescherming persoonsgegevens) ingestelde onderzoek naar de verstrekking van persoonsgegevens betreffende de gezondheid uit het Diagnose Informatie Systeem (DIS) aan andere partijen. Bij brief van 3 mei 2015 heeft burgerrechtenvereniging Vrijbit de Autoriteit Persoonsgegevens verzocht om handhavend op te treden tegen het verzamelen, verwerken en aan marktpartijen ter beschikking stellen van in het DIS opgenomen persoonsgegevens betreffende de gezondheid van Nederlandse burgers. Volgens verzoeker mogen in het DIS geen persoonsgegevens betreffende de gezondheid worden verwerkt. Het DIS valt onder verantwoordelijkheid van de Nederlandse Zorgautoriteit (NZa). In het DIS worden persoonsgegevens betreffende de gezondheid verwerkt voor in de Wet marktordening gezondheidszorg (Wmg) neergelegde taken van de NZa. De Autoriteit Persoonsgegevens heeft de NZa bij brief van 26 november 2015 laten weten dat zij van oordeel is dat in het DIS (bijzondere) persoonsgegevens worden verwerkt (bijlage 1), dat de NZa persoonsgegevens betreffende de gezondheid in het DIS mag verwerken binnen de grenzen van de Wmg en daaruit voortvloeiende regelgeving zodat sprake is van een grondslag als bedoeld in artikel 8, aanhef en onder c, en onder e, van de Wbp(bijlage 2) en dat er tevens een wettelijke grondslag bestaat voor de verstrekking van deze persoonsgegevens door zorgaanbieders aan de NZa om in het DIS te worden verwerkt (bijlage 2). Bijlage(n) 3 1

Datum 13 april 2016 Ons kenmerk z2015-00355 In de brief van 26 november 2015 heeft de Autoriteit Persoonsgegevens de NZa meegedeeld dat zij aanleiding ziet voor het instellen van een onderzoek op grond van artikel 60 Wbp naar de verstrekkingen van persoonsgegevens uit het DIS aan andere partijen. Hierover zijn aan de NZa vragen gesteld die door haar bij brief van 10 december 2016 zijn beantwoord. Bij brief van 16 december 2015 heeft de Autoriteit Persoonsgegevens aanvullende vragen gesteld die door de NZa bij brief van 15 januari 2016 zijn beantwoord. Bij brief van 17 februari 2016 heeft de Autoriteit Persoonsgegevens de voorlopige bevindingen van het onderzoek aan de NZa verzonden. De NZa heeft bij brief van 7 maart 2016 haar zienswijze (in het bijzonder met betrekking tot de door de Autoriteit Persoonsgegevens gebezigde formulering) op de voorlopige bevindingen gegeven. De Autoriteit Persoonsgegevens heeft de bevindingen naar aanleiding van de zienswijze aangepast. In bijlage 1 is opgenomen dat de Autoriteit Persoonsgegevens van oordeel is dat in het DIS persoonsgegevens worden verwerkt. De NZa mag op grond van de Wmg en de Regeling voor zover naar het oordeel van de NZa noodzakelijk medische persoonsgegevens verstrekken aan de ACM, het CBS en het ZiNL. De Wmg en de Regeling bieden geen mogelijkheid om deze persoonsgegevens aan de Minister van Volksgezondheid, Welzijn en Sport (VWS) en aan het Centraal Planbureau (CPB) te verstrekken. Aangezien de NZa heeft aangegeven dat zij geen medische persoonsgegevens meer zal verstrekken aan de Minister en aan het CPB, concludeert de Autoriteit Persoonsgegevens dat geen sprake is van een overtreding van de Wbp, de Wmg en aanverwante wetgeving. Dit wordt toegelicht in Bijlage 3. Hoogachtend, Autoriteit Persoonsgegevens, Voor deze, Mr. W.B.M. Tomesen Vicevoorzitter 2/2

Definitieve bevindingen, bijlage 1 Het DIS bevat persoonsgegevens De Autoriteit Persoonsgegevens is van oordeel dat in het DIS persoonsgegevens worden verwerkt. Daartoe is het volgende van belang. In artikel 1, onder a, van de Wbp is persoonsgegeven gedefinieerd als elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. De Wbp vormt een uitwerking van de Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 (hierna: de Richtlijn). In overweging 26 van de Richtlijn is voor zover thans van belang opgenomen: Overwegende dat de beschermingsbeginselen moeten gelden voor elk gegeven betreffende een geïdentificeerde of identificeerbare persoon; dat, om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren; dat de beschermingsbeginselen niet van toepassing zijn op gegevens die op zodanige wijze anoniem zijn gemaakt dat de persoon waarop ze betrekking hebben niet meer identificeerbaar is. De Groep Gegevensbescherming Artikel 29 (hierna: de Artikel 29-werkgroep) heeft in haar opinie 5/2014 over anonimiseringstechnieken een nadere uitleg gegeven over de hiervoor genoemde passage in de Richtlijn. De opinie geeft hiermee een ruimere definitie van het begrip persoonsgegevens dan door de Autoriteit Persoonsgegevens eerder werd gehanteerd. In de opinie wordt als relevant vermeld de middelen die momenteel, volgens de huidige stand van de techniek, redelijkerwijs in te zetten zijn (gezien de toenemende rekenkracht van computers en het groeiende aantal beschikbare hulpmiddelen). Zo heeft de artikel 29-Werkgroep aangegeven dat een belangrijke factor bij het anonimiseren is dat de verwerking onomkeerbaar moet zijn. Volgens de Werkgroep is de onderliggende redenering dat het resultaat van anonimisering als op persoonsgegevens toegepaste techniek volgens de huidige stand van de techniek even permanent moet zijn als uitwissing, dus dat de verwerking van persoonsgegevens voorgoed onmogelijk wordt gemaakt. De Werkgroep geeft aan dat in de zin van Richtlijn 95/46/EG anonimisering wordt bewerkstelligd door persoonsgegevens zodanig te bewerken dat elke mogelijkheid tot identificatie van betrokkene onherroepelijk wordt uitgesloten. Een effectieve methode van anonimisering moet bewerkstelligen dat voor alle partijen wordt uitgesloten de mogelijkheid om: 1. een persoon te individualiseren ( single out ) 2. verschillende records in verband te brengen met een individu ( linkability ) 3. informatie over een individu af te leiden ( inference ). Mogelijkheden tot single out, linkability en inference worden door pseudonimisering niet weggenomen. De artikel 29-werkgroep geeft aan dat pseudonimisering als zodanig geen methode voor

anonimisering is, omdat pseudonimisering louter de koppelbaarheid van een dataset aan de identiteit van betrokkene beperkt. De verstrekking van gegevens door zorgaanbieders aan het DIS vindt kort omschreven als volgt plaats. De TTP ontvangt van de zorgaanbieders een versleuteld datadeel (hierin staan de gegevens die betrekking hebben op de door de patiënt verkregen zorg) en een sleuteldeel (dit bevat de tot een prepseudoniem verwerkte identiteitsgegevens en daarnaast het geboortejaar, geslacht, postcodegebied en landcode). De TTP zet het prepseudoniem om in een pseudoniem en verzend dit met bijbehorende gegevens en het datadeel naar het DIS. De in het DIS opgenomen gegevens zijn zodanig bewerkt dat de herleidbaarheid tot het individu wordt beperkt. Echter dit leidt er niet toe dat de herleidbaarheid tot een individu voorgoed onmogelijk wordt gemaakt. De omstandigheid kan zich voordoen dat de in het DIS opgenomen gegevens al dan niet in combinatie met andere gegevens door de NZa dan wel door andere partijen, indien deze gegevens aan hen worden verstrekt, tot de persoon te herleiden zijn. Ook kijkend naar de middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de NZa dan wel door andere partijen thans worden ingezet om genoemde persoon te identificeren, moet worden geconstateerd dat de in DIS opgenomen gegevens persoonsgegevens zijn. Zo zijn zorgaanbieders in staat om met behulp van een koppelnummer de aan DIS aangeleverde gepseudonimiseerde gegevens weer tot de persoon te herleiden indien door de NZa onregelmatigheden in de aangeleverde set worden geconstateerd. Voorts wordt het Centraal Bureau voor de Statistiek (CBS) ter uitvoering van diens wettelijke taken in staat gesteld om de uit het DIS aangeleverde gegevens weer tot de persoon te herleiden. Uit het vorenstaande volgt dat de in het DIS opgenomen gegevens als persoonsgegevens in de zin van artikel 1, onder a, van de Wbp moeten worden aangemerkt en de verwerking ervan valt onder de werking van het hiervoor geldende wet en regelgeving. 2/2

Definitieve bevindingen, bijlage 2 Grondslag voor de verwerking van (bijzondere) persoonsgegevens in het DIS Wbp grondslag In artikel 8 Wbp is bepaald dat persoonsgegevens slechts worden verwerkt indien (onder c) de gegevensverwerking noodzakelijk is om een wettelijke plicht na te komen waaraan de verantwoordelijke onderworpen is of (onder e) de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt. De NZa is op grond van deze bepalingen bevoegd persoonsgegevens te verwerken. Bijzondere persoonsgegevens Voor de verwerking van bijzondere persoonsgegevens gelden specifieke bepalingen die zijn neergelegd in Hoofdstuk 2, Paragraaf 2 van de Wbp. In het DIS worden bijzondere persoonsgegevens, waaronder persoonsgegevens betreffende de gezondheid, verwerkt. Artikel 16 Wbp verbiedt de verwerking van bijzondere persoonsgegevens, behoudens uitzonderingen. Het verbod op het verwerken van bijzondere persoonsgegevens geldt niet indien de verwerking noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald (artikel 23, lid 1, onder f, Wbp). Verwerking van (bijzondere) persoonsgegevens door de NZa Ingevolge artikel 69, lid 2, Wmg is de zorgautoriteit bevoegd alle gegevens en inlichtingen, die zij heeft verzameld op grond van alle haar daartoe ten dienste staande wettelijke bevoegdheden, te gebruiken voor alle aan haar opgedragen taken. Ingevolgde het tweede lid van deze bepaling is daarbij het bepaalde krachtens artikel 65 met betrekking tot het verwerken van persoonsgegevens van overeenkomstige toepassing. In artikel 65, onder a, Wmg is bepaald dat de minister van VWS bij ministeriële regeling aangeeft welke van de in artikel 60 onderscheiden categorieën van persoonsgegevens noodzakelijk zijn voor de uitoefening van de in die regeling aangewezen taken en bevoegdheden van de zorgautoriteit. In artikel 60 Wmg worden identificerende, medische en strafrechtelijke persoonsgegevens genoemd. Onder medische persoonsgegevens wordt in het kader van de Wmg verstaan de persoonsgegevens betreffende de gezondheid als bedoeld in artikel 21 Wbp (artikel 60, lid 3, Wmg). In artikel 2 Regeling categorieën persoonsgegevens Wmg (hierna: de Regeling) is weergegeven welke categorieën persoonsgegevens (identificerend, medisch, strafrechtelijk) mogen worden verwerkt, indien dit naar het oordeel van de NZa noodzakelijk is, per in hoofdstuk 3 (Taken en bevoegdheden NZa) en 4 (Marktontwikkeling- en ordening) van de Wmg opgenomen artikel. Artikel 3 bevat eenzelfde weergave ten aanzien van de in hoofdstuk 5 (Informatie) van de Wmg opgenomen artikelen. Uit het hiervoor weergegeven wettelijk kader blijkt dat binnen de daarin aangegeven grenzen bijzondere persoonsgegevens, waaronder persoonsgegevens betreffende de gezondheid, in het DIS mogen worden verwerkt.

Verstrekken van bijzondere persoonsgegevens door zorgaanbieders Zorgaanbieders verstrekken aan de NZa de persoonsgegevens die van belang zijn voor de uitvoering van de Wmg neergelegde taken van de NZa. Indien het gaat om gegevens die behoren tot het medisch dossier geldt voor zorgaanbieders de in artikel 7:457 BW neergelegde medische geheimhoudingsplicht. Deze kan worden doorbroken indien het bij of krachtens de wet bepaalde tot verstrekking verplicht. Deze verplichting is opgenomen in de Wmg en daaruit voortvloeiende lagere regelgeving. Ingevolge artikel 62 Wmg, kan de zorgautoriteit, met inachtneming van het bepaalde krachtens artikel 65, regels stellen, inhoudende welke gegevens en inlichtingen regelmatig moeten worden verstrekt dan wel onder welke omstandigheden deze moeten worden verstrekt door onder meer zorgaanbieders. Artikel 68 betreft een soortgelijke bepaling. In artikel 65, onder a, Wmg, is bepaald dat de minister bij ministeriële regeling aangeeft welke van de in artikel 60 onderscheiden categorieën van persoonsgegevens noodzakelijk zijn voor de uitoefening van de in die regeling aangewezen taken en bevoegdheden van de zorgautoriteit. In artikel 60 Wmg worden identificerende, medische en strafrechtelijke persoonsgegevens genoemd. Ingevolge artikel 3, lid 3, Regeling categorieën persoonsgegevens Wmg worden voor de uitvoering van artikel 62 Wmg persoonsgegevens verwerkt indien en voor zover zij naar het oordeel van de zorgautoriteit voor die uitvoering noodzakelijk zijn en voor zover zij behoren tot onder meer de categorieën identificerende, medische en strafrechtelijke persoonsgegevens van consumenten. Artikel 3, lid 4, Regeling categorieën persoonsgegevens Wmg bepaalt hetzelfde ten aanzien van de uitvoering van onder meer artikel 68 Wmg. De Nederlandse Zorgautoriteit (NZa) heeft op grond van o.m. de artikelen 62 en 68 Wmg de navolgende regelingen vastgesteld: - Regeling Verplichte aanlevering minimale dataset gespecialiseerde GGZ - Regeling Verplichte aanlevering minimale dataset GGZ Zvw - Regeling verplichte aanlevering minimale dataset medisch specialistische zorg (MDS) - Regeling verplichte aanlevering minimale dataset FZ, NR/FZ-003 Deze regelingen verplichten de daarin aangewezen zorgaanbieders om van alle in een kalendermaand gedeclareerde prestaties een Minimale Dataset (MDS) aan te leveren. In de regelingen is gespecificeerd welke gegevens de MDS bevat. De MDS bevat persoonsgegevens betreffende de gezondheid. Uit het vorenstaande volgt dat op zorgaanbieders gegevens uit het medisch dossier (zijnde persoonsgegevens betreffende de gezondheid) op grond van het krachtens de wet bepaalde verplicht zijn aan het DIS aan te leveren en de NZa deze gegevens derhalve van hen mag ontvangen. Derhalve is sprake van de uitzondering vermeld in artikel 23, eerste lid en onder f, van de Wbp. Tevens is sprake van een grondslag voor de verwerking van deze gegevens als bedoeld in artikel 8, aanhef en onder c en onder e, van de Wbp. 2/2

Definitieve bevindingen, bijlage 3 Reikwijdte onderzoek De Autoriteit Persoonsgegevens heeft nadat zij heef vastgesteld dat sprake is van het verwerken van bijzondere persoonsgegevens in het DIS, bij de NZa informatie opgevraagd teneinde vast te kunnen stellen of sprake is van een rechtmatige verwerking. Naar aanleiding van deze informatie zijn bij de Autoriteit Persoonsgegevens meer specifieke vragen gerezen over de rechtmatigheid van verstrekking van persoonsgegevens betreffende de gezondheid (hierna ook: medische persoonsgegevens) uit het DIS aan overheidsinstanties en aan andere partijen. De NZa heeft bij brieven van 3 november 2015 en 10 december 2015 laten weten dat voorheen verstrekkingen plaatsvonden op contractuele basis, maar dat deze verstrekkingen zijn stopgezet vanaf het moment dat de Autoriteit Persoonsgegevens heeft aangegeven zich te beraden op haar standpunt ten aanzien van het karakter van de DIS-gegevens. Deze verstrekkingen zijn bij het onderzoek om die reden buiten beschouwing gelaten. Het onderzoek richt zich op de verstrekkingen waarvan de NZa heeft aangegeven dat zij op basis van de Wmg plaatsvinden. Wettelijk kader verstrekkingen In artikel 65, onder b, Wmg is bepaald dat de Minister van VWS bij ministeriële regeling aangeeft welke van de in artikel 60 onderscheiden categorieën van persoonsgegevens de zorgautoriteit mag verstrekken aan de in artikel 70 genoemde instanties ten behoeve van de uitoefening van hun taken en bevoegdheden. Ingevolge artikel 60, lid 3, Wmg worden onder medische persoonsgegevens in het kader van deze wet verstaan de persoonsgegevens betreffende de gezondheid als bedoeld in artikel 21 van de Wet bescherming persoonsgegevens. In artikel 4 van de Regeling categorieën persoonsgegevens Wmg (hierna: de Regeling) is weergegeven welke categorieën persoonsgegevens (identificerend, medisch, strafrechtelijk) aan welke instantie mogen worden verstrekt, indien dit naar het oordeel van de NZa noodzakelijk is. In artikel 4 van de Regeling is voor zover thans van belang bepaald dat tot de hiervoor bedoelde verstrekkingen medische persoonsgegevens behoren, voor zover deze worden verstrekt aan: het Zorginstituut (lid 1) de Autoriteit Consument en Markt (lid 4) het Centraal Bureau voor de Statistiek (lid 8) Artikel 4 van de Regeling biedt geen ruimte om aan het Centraal Planbureau medische persoonsgegevens te verstrekken. Ten aanzien van verstrekkingen aan de Minister van Volksgezondheid, Welzijn en Sport (hierna: de Minister) is het volgende van belang. In artikel 3, lid 6, Wmg is bepaald dat de Kaderwet zelfstandige bestuursorganen (hierna: Kaderwet), met uitzondering van artikel 17 van die wet, op de zorgautoriteit van toepassing is. In artikel 20, lid 1, Kaderwet is bepaald voor zover van belang dat een zelfstandig bestuursorgaan desgevraagd aan de betreffende minister alle voor de uitoefening van diens taak benodigde inlichtingen verstrekt.

Ingevolge artikel 22, lid 3, Wmg hebben de gegevens en inlichtingen bedoeld in onder meer artikel 20 van de Kaderwet zelfstandige bestuursorganen, geen betrekking op medische persoonsgegevens als bedoeld in artikel 60 Wmg. Ingevolge artikel 21, lid 1, Wmg rapporteert de NZa desgevraagd aan Onze Minister omtrent de uitvoerbaarheid, doeltreffendheid en doelmatigheid van voorgenomen beleid in verband met de uitoefening van haar taken, genoemd in artikel 16. Ingevolge lid 2 van dit artikel signaleert de NZa gevraagd en ongevraagd aan Onze Minister feitelijke ontwikkelingen inzake markten op het gebied van zorg. In artikel 21, lid 3, Wmg is bepaald dat de rapportages en signaleringen aan Onze Minister geen medische persoonsgegevens bevatten. Door de NZa verstrekte inlichtingen In antwoord op de brieven van 26 november 2015 en 16 december 2015 van de Autoriteit Persoonsgegevens heeft de NZa aangegeven dat op structurele basis medische persoonsgegevens uit het DIS worden verstrekt aan de Autoriteit Consument en Markt (ACM), het Centraal Bureau voor Statistiek (CBS) en Zorginstituut Nederland (ZiNL). Voorts is gebleken dat de NZa aan deze partijen, aan het Centraal Planbureau (CPB) en aan de Minister in 2015 incidenteel medische persoonsgegevens heeft verstrekt. Desgevraagd heeft de NZa bij brief van 10 december 2015 laten weten dat gelet op de conclusie van de Autoriteit Persoonsgegevens dat in het DIS persoonsgegevens worden verwerkt de aan de minister verstrekte gegevens moeten worden aangemerkt als medische persoonsgegevens, en dat zij niet voornemens is deze persoonsgegevens in de toekomst opnieuw aan de Minister te verstrekken omdat daarvoor geen wettelijke grondslag bestaat. Bij brief van 15 januari 2016 heeft de NZa laten weten dat hetzelfde geldt voor de gegevens die aan het CPB zijn verstrekt. Conclusie In bijlage 1 is opgenomen dat de Autoriteit Persoonsgegevens van oordeel is dat in het DIS persoonsgegevens worden verwerkt. De NZa mag op grond van de Wmg en de Regeling voor zover naar het oordeel van de NZa noodzakelijk medische persoonsgegevens verstrekken aan de ACM, het CBS en het ZiNL. De Wmg en de Regeling bieden geen mogelijkheid om deze persoonsgegevens aan de Minister en aan het CPB te verstrekken. Aangezien de NZa heeft aangegeven dat zij geen medische persoonsgegevens meer zal verstrekken aan de Minister en aan het CPB, concludeert de Autoriteit Persoonsgegevens dat geen sprake is van een overtreding van de Wbp, de Wmg en aanverwante wetgeving. 2/2

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback