Het College bescherming persoonsgegevens (CBP) is een onderzoek gestart naar privacyschendingen door de Nederlandse Zorgautoriteit (NZa). Aanleiding is de verwerking van DIS-gegevens door de NZa. DIS staat voor DBC-informatiesysteem.

De DIS-database bevat declaratiegegevens van zorgaanbieders over medische behandelingen. Zorginstellingen zijn verplicht deze gegevens aan te leveren. Ze worden bijvoorbeeld gebruikt voor tariefberekeningen, maar ook voor analyses van zorggebruik en zorgaanbod. Volgens het CBP worden in het DIS (bijzondere) persoonsgegevens verwerkt. De verwerking van deze gegevens moet daarom voldoen aan de eisen van de Wet bescherming persoonsgegevens. De in het DIS opgenomen gegevens zijn bewerkt zodat ze niet herleidbaar naar individuen zouden moeten zijn.

Het CBP stelt dat dit echter niet het geval is en de gegevens toch te herleiden zijn. "Daarmee blijven het persoonsgegevens", aldus de toezichthouder. De Artikel 29-Werkgroep van Europese privacytoezichthouders, waar het CBP onderdeel van is, maakte vorig jaar al duidelijk dat een onomkeerbare verwerking een belangrijke factor is bij het anonimiseren van gegevens. De NZa heeft na aankondiging van het onderzoek door het CBP bekendgemaakt voorlopig te stoppen met het leveren van gegevens uit het DIS aan derden. In een reactie stelt de NZa dat het CBP de DIS-data die de het beheert voorheen niet als persoonsgegevens zag.