Registreren Waarom moet u zich registreren voor deze site? Lees meer

Delen ROM-gegevens schaadt privacy niet

De gegevens die ggz-aanbieders aan de Stichting Benchmark GGZ (SBG) geven, zijn geen persoonsgegevens en mogen dus gewoon gebruikt worden door de SBG. Dat bepaalde de rechter tijdens een kort geding dat werd aangespannen door onder meer psychologen en (ex)cliënten. Voorwaarde is dat de informatie niet terug te leiden mag zijn naar een specifieke patiënt/cliënt.
Rechtspraak-Fotolia.jpg
De gegevens die ggz-aanbieders aan de Stichting Benchmark GGZ (SBG) geven, zijn geen persoonsgegevens en mogen dus gewoon gebruikt worden door de SBG. - Foto: Fotolia

In de geestelijke gezondheidszorg worden regelmatig metingen gedaan naar de toestand van een cliënt om de behandeling te kunnen evalueren en eventueel bij te sturen. Deze methodiek wordt Routine Outcome Monitoring (ROM) genoemd. Ggz-instellingen worden geacht hun ROM-gegevens aan te leveren bij de SBG. Een groep van onder meer psychologen, psychiaters en cliënten was van mening dat de gegevensverwerking van de SBG indruist tegen de Wet Bescherming Persoonsgegevens (Wbp), de Privacyrichtlijn en de nieuwe Algemene Verordening Gegevensbescherming (AVG).

Herleiden

SBG zou volgens hen zo veel bijzondere persoonsgegevens ontvangen dat ze vrezen dat de gegevens met een beetje puzzelwerk terug te leiden zijn tot een specifieke patiënt/cliënt. Ondanks de ‘eenwegpseudonimisatie’ van de gegevens, waarmee alle herleidbare informatie, zoals een koppel- en zorgtrajectnummer, door de stichting ZorgTTP wordt omgezet in onomkeerbare cijfercodes. Vlak voor het kort geding maakte SBG de koppeling van ROM-uitkomsten aan andere data onmogelijk. Die maatregel was bedoeld om te garanderen dat de data niet te herleiden zijn tot een specifiek persoon.

“Handig” is het slechtste argument om persoonlijke gegevens van je cliënten te delen met collega’s. Dat zegt Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens. ‘De bescherming van de persoonlijke levenssfeer weegt in beginsel het zwaarst.’ Lees meer >>

Geen persoonsgegevens

De voorzieningenrechter oordeelde dat de gegevens die de SBG ontvangt geen persoonsgegevens zijn en dat SBG ook geen persoonsgegevens beheert. Dat zouden ze alleen zijn als uit de data duidelijk blijkt om welke cliënt het gaat. ‘Er zit een verschil tussen individualiseren en identificeren’, zegt Olaf van Haperen, advocaat bij Kneppelhout & Korthals, dat SBG bijstaat in deze zaak. ‘Bij de gegevens die SBG ontvangt is het weliswaar mogelijk om een cliënt te individualiseren. Ook kan de ggz-aanbieder optioneel doorgeven wat iemands herkomstcategorie is, waarbij er drie mogelijkheden zijn: westers allochtoon, niet-westers allochtoon of autochtoon. Daarnaast kan men inzien welke sociaaleconomische status een cliënt heeft, bijvoorbeeld uit welke van de vijf urbanisatiegraden hij afkomstig is.’ Maar uit die verzamelde informatie valt volgens de voorzieningenrechter niet op te maken om welke specifieke persoon het gaat, daarom is er geen sprake van persoonsgegevens.

Kwaliteitsmeting

Die uitspraak is volgens Van Haperen van groot belang voor de hele zorgsector. ‘Er wordt in de zorg zoveel gebenchmarkt, niet alleen door SBG, maar ook door kleinere organisaties in bijvoorbeeld de somatische zorg of de verslavingszorg. Er wordt veel gedaan om kwaliteit en effectiviteit van behandelingen te meten en deze uitspraak toont aan dat organisaties dit mogen doen, mits ze kunnen aantonen dat een persoon ‘redelijkerwijs’ niet kan worden geïdentificeerd.’

Draagvlak 

GGZ Nederland laat in een reactie op de zaak weten de uitspraak van de rechter te respecteren. De brancheorganisatie vindt het wel een goede zaak dat partijen in de ggz een nieuw kwaliteitsinstituut oprichten om ROM door te ontwikkelen, omdat er op dit moment te weinig draagvlak is onder professionals en cliënten. 

Sophie van Hogendorp, Puck van Beurden

Of registreer je om te kunnen reageren.