Rechtbank: NZa mocht gegevens GGZ-cliënten opvragen en verwerken
De Nederlandse Zorgautoriteit (NZa) mocht in 2023 gegevens van cliënten in de geestelijke gezondheidszorg opvragen en verwerken, zo heeft de Rechtbank Midden-Nederland vandaag geoordeeld. Psychiaters en psychologen zijn door de NZa verplicht om privacygevoelige vragenlijsten over hun cliënten aan de Zorgautoriteit aan te leveren. Drie belangenorganisaties zijn het hier niet mee eens en spanden namens alle cliënten en behandelaars in de GGZ een massaclaim aan.
De vragenlijsten die behandelaren moeten verstrekken beslaan een brede verzameling sociale en mentale problemen, die de behandelaar een score moet geven. Behandelaren die de vragenlijsten niet aanleveren riskeren een dwangsom van de NZa. Vertrouwen in de GGZ, een coalitie van cliënten en behandelaren in de GGZ, Platform Burgerrechten, Stichting KDVP en LOC Waardevolle Zorg, stellen dat dit een onacceptabele inbreuk op de vertrouwelijkheid en kwaliteit van de geestelijke gezondheidszorg is.
"De vragenlijsten geven een diep indringend beeld van de problemen van GGZ-cliënten. Zij kunnen niet langer vrijuit spreken met hun therapeut als deze informatie niet binnen de muren van de spreekkamer blijft. Het vertrouwen tussen cliënt en behandelaar als basis voor een goede behandelrelatie wordt hiermee ondermijnd", aldus Vertrouwen in de GGZ. Met de scorelijsten bouwt de NZa aan een algoritme dat per cliënt moet voorspellen hoeveel zorg deze nodig heeft.
Volgens de actiegroep is er geen wetenschappelijke onderbouwing voor een dergelijk gebruik van deze vragenlijsten. Verder stelt Vertrouwen in de GGZ dat met het opeisen en gebruiken van de data inbreuk wordt gemaakt op de wetgeving over het medisch beroepsgeheim, de Algemene verordening gegevensbescherming (AVG) en het Europees Verdrag voor de Rechten van de Mens.
Rechter wijst vorderingen af
De partijen eisen dat de rechtbank vaststelt dat de NZa in strijd met het recht heeft gehandeld door de gegevens op te vragen en te verwerken. Ook willen zij dat het de NZa wordt verboden om de gegevens in de toekomst op te vragen en te verwerken én dat de zorgautoriteit de bestaande gegevens vernietigt. De rechtbank heeft de vorderingen van de partijen afgewezen."Het opvragen van de HoNOS+-gegevens en het verwerken van die gegevens is niet in strijd met het recht en daarom ook niet onrechtmatig tegenover cliënten in de GGZ en beroepsbeoefenaren", aldus de rechtbank. Die stelt dat de gegevens anoniem zijn. Zo staan er volgens de rechter geen identificeerbare gegevens op die betrekking hebben op cliënten, zoals namen, adresgegevens en burgerservicenummers. "De ingevulde vragenlijsten bevatten alleen aangekruiste scores als antwoorden op de vragen. De NZa kan de HoNOS+-gegevens daarom niet direct herleiden tot een individu", stelt de rechtbank in het vonnis.
'Indirect herleidbare persoonsgegevens'
De zorgautoriteit liet eerder weten dat het in staat is om de data naar de individuele patiënt te herleiden, maar dit niet zal doen. De rechter keek of HoNOS+-gegevens indirect herleidbare persoonsgegevens zijn. Bijvoorbeeld door informatie van vragenlijsten aan declaratiedata te koppelen. Zelfs als de gegevens worden gekoppeld is het volgens de rechtbank voor de NZa redelijkerwijs niet mogelijk om de gegevens te herleiden tot individuen."Doordat de declaratiedata door hashing zijn gepseudonimiseerd, zijn ze versleuteld. De NZa kan deze gegevens niet ‘ontsleutelen’. Zij beschikt namelijk niet over de sleutel om de hashing, en daarmee de pseudonimisering, ongedaan te maken. Ook heeft zij – zoals de NZa heeft aangevoerd - niet de benodigde quantumcomputer om deze hashing te 'kraken', omdat die computer simpelweg nog niet bestaat. Het is daarom voor haar technisch gezien niet mogelijk om de versleuteling terug te draaien. De NZa kan dus niet zelfstandig de HoNOS+-gegevens indirect herleiden tot individuen", zo stelt het vonnis.
De rechter voegde toe dat in theorie de mogelijkheid bestaat voor de NZa om de ontvangen gegevens indirect te herleiden tot individuen als zij verdere gegevens opvraagt bij de zorgverzekeraar. "Dat is pas mogelijk als de antwoorden op een HoNOS+-vragenlijst dermate uniek zijn dat die kunnen worden gekoppeld aan declaratiegegevens die in diezelfde mate uniek zijn. Die kans is zodanig klein, aangezien er vijf mogelijke antwoorden kunnen worden gegeven op de negentien verschillende vragen op de HoNOS-lijst, dat de rechtbank dat onvoldoende vindt."
De rechter stelt, doordat er geen sprake is van direct of indirect herleidbare persoonsgegevens, de AVG niet van toepassing is bij het opvragen en verwerken van de gegevens. "De rechtbank heeft begrip heeft voor cliënten die een onveilig gevoel ervaren doordat er vragenlijsten over hun mentale gesteldheid zijn ingevuld en gedeeld met de NZa. Maar, omdat de gegevens anoniem zijn, loopt de privacy van de cliënten geen gevaar."
Medisch beroepsgeheim niet geschonden
Tot slot is de rechtbank van oordeel dat de behandelaren hun medisch beroepsgeheim niet schenden door de gegevens te delen. Behandelaren hebben namelijk de wettelijke verplichting om deze gegevens met de NZa te delen. De behandelaar mag zijn medisch beroepsgeheim daardoor doorbreken, ook zonder toestemming van de cliënt. Het wordt de NZa op dit moment niet verboden om in de toekomst de gegevens op te vragen. Daarvoor bestaat op dit moment geen wettelijke regeling waardoor de rechtbank hierover niet kan oordelen.Daarnaast hoeft de NZa de bestaande gegevens niet te vernietigen. De toezichthouder heeft echter laten weten dat zij de verzamelde gegevens al heeft vernietigd. De NZa heeft ook al de opdracht gegeven om de laatste back-ups te vernietigen. Dit zal op 12 mei en op 12 juni dit jaar worden gedaan. "Het is vanwege technische redenen voor de beveiliging niet mogelijk om de back-ups eerder te verwijderen", aldus de rechter.
Een pseudoniem 'kraak' je over het algemeen met een rainbow table. Bijvoorbeeld door een hash op alle telefoonnummers in Nederland te berekenen en het 'pseudoniem' van elk telefoonnummer doorzoekbaar op te slaan. Niet met quantum algoritmes. Quantum computers zijn er vooral voor het kraken van asymmetrische encryptie. Niet voor het kraken van hash functies of symmetrische algoritmes. Als ze er ooit komen.
Als bijvoorbeeld BSN's gehashed worden, is het een koud kunstje om het oorspronkelijke BSN uit de hash te herleiden. Dat kan doordat het aantal mogelijke BSN's relatief klein en bekend is.
Overigens maakt de lengte van de invoer niet uit als je weet dat het aantal mogelijkheden relatief beperkt is. Een ander probleem zijn veel vóórkomende karakterreeksen als invoer; het kost weinig moeite om die in een tabel op te nemen met de berekende hash daarnaast. Dan kun je mogelijk niet van alle patiënten de identiteit achterhalen, maar wel van een deel van hen.
Voor bijvoorbeeld bankhelpdeskfraudeurs is dat uitermate handige informatie.
Meer info over "hash reversal" lees je in https://security.nl/posting/876757.
"Met de scorelijsten bouwt de NZa aan een algoritme dat per cliënt moet voorspellen hoeveel zorg deze nodig heeft."
"Het is daarom voor haar technisch gezien niet mogelijk om de versleuteling terug te draaien. De NZa kan dus niet zelfstandig de HoNOS+-gegevens indirect herleiden tot individuen"
Kijk zelf maar: https://www.zorgprestatiemodel.nl/shared/content/uploads/2021/05/HoNOS-vragenlijst-Instructie-bij-het-invullen.pdf
Een probleem voor de NZa is dat er genoeg psychologen zijn die de inhoud van die lijst niet serieus nemen, en zo'n lijst binnen een half uur hebben ingevuld. Psychologie is zó boterzacht, en veranderlijk. En ook complex dat je dat niet op een 5-puntssschaal kunt zetten, als een nutri-score. Een zorgbehoefte is helemaal niet zo goed te meten met zo'n vragenlijst. Het is vaker de praxis van met zo'n lijst bezig zijn wat helpt. En dat er überhaupt een vriendelijk mens tegenover je zit die echt naar je problemen luistert en je probeert te helpen. Zie dat in een tijd waarin iedereen zich lijkt te spiegelen via social media. Het probleem van datadeling via social media is nog veel groter dan met de NZa. Je schijnt op het dark web gewoon lijsten te kunnen kopen van mensen die suicidale gedachten hebben, als je dat wenst (heb er zelf nooit gekeken dus check die bewering zelf).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
