LS&R 1733

Geen wettelijke grond voor verstrekken medische persoonsgegevens aan minister van VWS

Rechtbank Midden-Nederland 23 juli 2019, IT 2856, LS&R 1733; ECLI:NL:RBMNE:2019:3442 ( X tegen Autoriteit Persoonsgegevens en NZA, CPB en Staat der Nederlanden) Einduitspraak na bestuurlijke lus. Eiseres heeft verzocht om op te treden tegen de verzameling, verwerking, en verstrekking aan derden van persoonsgegevens in het Diagnose-behandelcombinatie-informatiesysteem (DIS). NZa is als beheerder van DIS derde partij. Verweerster moest nader onderzoeken of de gegevens die de NZa verzamelt en zelf verwerkt noodzakelijk zijn voor de uitvoering van zijn wettelijke taken. Ook moest worden onderzocht of het verstrekken van gegevens aan de ACM, het CBS en ZiNL noodzakelijk is voor de uitoefening van hun wettelijke taak of taken. Tot slot moest verweerster onderzoeken en motiveren waarom zij niet handhavend heeft opgetreden in de richting van de NZa vanwege de onrechtmatige verstrekking van bijzondere persoonsgegevens aan de minister van VWS en het CPB.

Verweerster wordt gevolgd in haar standpunt dat de NZa medische gegevens gebruikt voor de uitvoering van zijn wettelijke taken en dat hij door middel van de PIA-procedure voorziet in een procedure die de noodzakelijkheid van dat gebruik (door middel van toetsing aan subsidiariteit, proportionaliteit en voorzienbaarheid) waarborgt. Dat geldt ook voor de gegevens die worden verstrekt aan ACM, CBS en ZiNL. Ook daarvoor is een wettelijke grondslag aan te wijzen in de Wmg en wordt gebruik gemaakt van de PIA-procedure. Verweerster heeft verder voldoende gemotiveerd waarom is afgezien van handhaving in de richting van het CPB, zij heeft echter niet goed gemotiveerd waarom zij niet handhavend heeft opgetreden tegen de verstrekking van gegevens aan de minister van VWS. Anders dan verweerster stelt is er geen wettelijke grond aan te wijzen voor het verstrekken van medische persoonsgegevens van de NZa aan de minister van VWS. Artikel artikelen 88 en 89 van de Zvw biedt die wettelijke grondslag namelijk niet. De gegevensverstrekking is onrechtmatig.

14. Verweerster heeft bij de beoordeling van de vraag of het verwerken van medische persoonsgegevens noodzakelijk is, gewezen op de PIA-beoordeling die sinds begin 2016 per verwerking plaatsvindt. Het PIA-toetsmodel, dat als voorbeeld bij de gedingstukken is gevoegd, heeft de vorm van een vragenlijst dat zowel feitelijke- en technische vragen bevat die gebaseerd zijn op nationale en Europese juridische vereisten. Onder I van de vragenlijst staan vragen die gaan over de noodzaak van de gegevensverwerking en de mogelijkheid van gegevensminimalisering. I.3 en I.3a stellen aan de orde de kwestie of de gevraagde persoonsgegevens onontbeerlijk zijn voor het bereiken van de beleidsdoelstellingen. Daarbij wordt betrokken het punt wat er niet inzichtelijk zou worden als er voor wordt gekozen bepaalde gegevens niet te verwerken. I.4 en I.4a stellen vervolgens aan de orde de vraag of, als het om gevoelige persoonsgegevens gaat, hetzelfde beleidseffect of technische resultaat bereikt kan worden door het (gecombineerd) gebruik van normale persoonsgegevens of door gebruik van geanonimiseerde of gepseudoanonimiseerde gegevens. Verweerster heeft aannemelijk mogen vinden dat de NZa met de procedure van de PIA met nota van toelichting waarborgt dat alleen gebruik wordt gemaakt van medische persoonsgegevens als dat ook echt noodzakelijk is. Eiseres heeft zich bij herhaling op het standpunt gesteld dat er te weinig controle zou zijn op de noodzakelijkheid van de gegevensverwerking van de NZa en dat als het ware sprake zou zijn van een zogenaamde ‘blanco cheque’ om aan wie daar ook maar om vraagt medische persoonsgegevens te verstrekken. Dit beeld komt niet overeen met de geschetste werkwijze van de NZa, waarbij zorgvuldig met medische persoonsgegevens wordt omgegaan. Verweerster heeft zich onder verwijzing naar de wettelijke taken van de NZa en degene aan wie verder medische persoonsgegevens worden verstrekt, in combinatie met de keer op keer te verrichten PIA-beoordeling, op het standpunt mogen stellen dat NZa waarborgt dat er geen overmatig en onbeperkt gebruik gemaakt kan worden van de medische persoonsgegevens. De NZa beoordeelt per verwerking of deze verwerking noodzakelijk is en daarbij vindt keer op keer een concrete belangenafweging plaats. Zoals ook volgt uit het eerder aangehaalde arrest van de HR6 geldt als uitgangspunt bij deze belangenafweging, dat van de verwerker alleen een belangenafweging verlangd mag worden aan de hand van de beschikbare gegevens. Dit is belangrijk om de Wbp praktische hanteerbaar te houden. De rechtbank vindt dat de NZa het proces zo heeft ingekleed dat per gegevensverstrekking relevante gegevens worden ingewonnen op basis waarvan de NZa een zorgvuldige afweging kan maken of de gegevens noodzakelijk zijn.
Verweerster heeft in het bestreden besluit 2 kunnen concluderen dat de NZa niet in strijd met het noodzakelijkheidsbeginsel handelt. De beroepsgrond van eiseres faalt dan ook.