Op basis van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) moeten gepseudonimiseerde gezondheidsgegevens worden aangeleverd aan het Zorginstituut Nederland. Deze worden bijgehouden in het kwaliteitsregister. De Autoriteit Persoonsgegevens (AP) is meermaals betrokken geweest bij de wet, om te toetsen of deze voldoet aan de Algemene Verordening Gegevensbescherming (AVG). In deze blog lees je wat de AP heeft geadviseerd.
De Wet kwaliteit, klachten en geschillen zorg (Wkkgz)
De Wkkgz is op 1 januari 2016 in werking getreden, samen met het Uitvoeringsbesluit en de Uitvoeringsregeling. Het besluit en de regeling bevatten nadere regels voortvloeiende uit de Wkkgz en zijn sindsdien meermaals gewijzigd.
De Wkkgz heeft als doel om goede zorg mogelijk te maken en klachten en ongewenste gebeurtenissen in de zorg te openbaren, om daarvan te kunnen leren. In dat kader zijn zorgaanbieders verplicht om gepseudonimiseerde gegevens aan te leveren voor in het kwaliteitsregister. Dit register wordt bijgehouden door Zorginstituut Nederland.
Hiermee wordt de geheimhoudingsplicht van zorgaanbieders doorbroken. Daarnaast wordt een (wettelijke) uitzondering gemaakt op het verbod om bijzondere persoonsgegevens te verwerken. Bijzondere persoonsgegevens zijn onder andere gegevens over iemands gezondheid, geslacht of seksuele gerichtheid (artikel 9 lid 1 AVG).
Raadpleging AP
Omdat de kwaliteitsregistraties gepaard gaan met verwerking van medische gegevens (zijnde persoonsgegevens), is de tweede kamer verplicht om de Autoriteit Persoonsgegevens hierover advies te vragen (artikel 36 lid 4 AVG). De AP gaat dan toetsen of de (concept)wet voldoet aan de AVG. Indien dat niet het geval is, adviseert de AP op welke punten de wettekst moet worden aangepast. In uitzonderlijke gevallen moet de wet worden ingetrokken.
Eerdere adviezen
De AP is al eerder betrokken geweest bij de Wkkgz.
Zo heeft zij op 20 januari 2021 bezwaar gemaakt tegen de manier van besluitvorming over de kwaliteitsregistraties in de Uitvoeringsregeling. Deze regeling bevat de criteria waarmee het Zorginstituut beslist over opname van een registratie in het kwaliteitsregister. In de regeling wordt nader uitgewerkt wanneer de registratie aan de vereisten van noodzakelijkheid, proportionaliteit en subsidiariteit voldoet.
De AP vond dit beoordelingskader tekortschieten. Zo stelde zij dat het doel van de kwaliteitsregistratie niet voldoende duidelijk was omschreven. Daarnaast bestond het risico dat er kwaliteitsregistraties kwamen die voldoende partijen (zorgaanbieders, zorgverleners, cliënten en zorgverzekeraars) graag willen, maar waarvan de noodzaak minder duidelijk is of niet voldoende getoetst is.
Op 8 juni 2022 heeft zij nogmaals geadviseerd. Dit keer over de wijze van beveiliging en pseudonimisering van de registraties. Kortgezegd bepaalde de regeling dat in ieder geval sprake is van passende beveiliging indien de verstrekte registratiegegevens overeenkomstig NEN 7510-1 en NEN 7510-2 worden verwerkt. Uit de AVG blijkt echter dat de beveiliging passend en altijd state of the art moet zijn. Een gefixeerde NEN-norm past daar niet bij, aldus de AP.
Huidig advies
Afgelopen 30 november 2023 heeft de AP wederom geadviseerd over de Uitvoeringsregeling.
In dit advies wordt weer ingegaan op het ‘noodzakelijkheid’-beoordelingskader en passende beveiliging. De AP stelt dat eerst de noodzaak tot het verplicht opnemen van de kwaliteitsregistratie moet worden vastgesteld en dat daarna pas ruimte is voor andere afwegingen, zoals administratieve lasten van zorgaanbieders.
Met betrekking tot de beveiligingsnorm, adviseert de AP om de NEN- of ISO-norm als minimumnorm te hanteren. Dit houdt in dat een aanvraag die niet aan de NEN- of ISO-norm voldoet in ieder geval wordt afgewezen. Daarnaast adviseert de AP zorgaanbieders erop te wijzen dat er continue passende beveiliging moet worden geboden en dat de AVG wellicht nog andere eisen kan stellen naast de norm (conform artikel 32 AVG).
Tot slot is nog interessant dat de AP opmerkt in haar advies dat dit wetsvoorstel waarschijnlijk meer werk voor haar zal opleveren, en dat zij hiervoor nog geen (extra) budget heeft gekregen. Daarom stuurt zij een afschrift van deze brief ook naar demissionair minister van rechtsbescherming Frank Weerwind, die verantwoordelijk is voor de begroting van de AP.
Meer info?
Wilt u meer weten over de Wkkgz of privacyregelgeving in de zorg, neem dan gerust contact op met ons team IE, IT & Privacy.
Neem contact op