WAMCA-zaak. De Nederlandse Zorgautoriteit mocht in 2023 HoNOS+-gegevens over cliënten in de GGZ opvragen bij...

WAMCA-zaak. De Nederlandse Zorgautoriteit mocht in 2023 HoNOS+-gegevens over cliënten in de GGZ opvragen bij zorgaanbieders en deze verwerken ten behoeve van het zorgprestatiemodel. De Rb overweegt dat het geen direct herleidbare gegevens zijn (r.o. 3.6) met de wat ongelukkige formulering : "De rechtbank stelt vast dat de HoNOS+-gegevens anoniem zijn. Er staan geen identificeerbare gegevens op die betrekking hebben op cliënten, zoals namen, adresgegevens en burgerservicenummers." Vervolgens wordt ook vastgesteld door de Rb. dat het geen 'indirect herleidbare persoonsgegevens zijn' (r.o. 3.7). De gegevens worden tweemaal gespeudonimiseerd waarna ze bij de NZa terechtkomen. Daarna wordt gewezen op het feit dat de werknemers niet tegelijk bij de twee soorten datasets kunnen die het eventueel mogelijk maken te herleiden. Het koppelverbod in een oude regeling staat niet langer in de huidige regeling en is daarmee niet relevant. De technische mogelijkheid dat niet tegelijkertijd de twee datasets kunnen inzien wordt niet gecontroleerd en is wel mogelijk, maar leidt toch niet tot de kwalificatie persoonsgegevens. Dan een wat bijzondere zin over hashing "Doordat de declaratiedata door hashing zijn gepseudonimiseerd, zijn ze versleuteld. De NZa kan deze gegevens niet ontsleutelen. Zij beschikt namelijk niet over de sleutel om de hashing, en daarmee de pseudonimisering, ongedaan te maken. Ook heeft zij zoals de NZa heeft aangevoerd - niet de benodigde quantumcomputer om deze hashing te 'kraken', omdat die computer simpelweg nog niet bestaat. Het is daarom voor haar technisch gezien niet mogelijk om de versleuteling terug te draaien." (r.o. 3.10) en vervolgens is de enige mogelijkheid nog dat nadere gegevens bij de zorgverzekeraar opgevraagd worden, maar dat acht de Rb. ook niet heel aannemelijk, omdat er onvoldoende unieke antwoorden zouden zijn, r.o. 3.11. Plus de NZa mag niet ongepseudonimiseerde gegevens opvragen gelet op de Wmg. De vrees voor hackers is een risico, maar een bij wet verboden middel dus niet een redelijk middel o.g.v. o. 26 bij de AVG. (r.o. 3.12). De gegevens zijn geen persoonsgegevens. Toetsing aan 8 EVRM. Ook hier komt het systeem doorheen. Bijv. r.o. 3.18 : "de NZa heeft in deze procedure gemotiveerd naar voren gebracht dat de HoNOS+-gegevens kunnen leiden tot de ontwikkeling van een goed werkend algoritme, waarmee het systeem van zorgvraagtypering kan worden verbeterd. Het staat daarmee vast dat het algoritme en het systeem van zorgvraagtypering niet op voorhand kansloos of per definitie onwerkbaar te noemen is. De doelstelling van het zorgprestatiemodel (en het opvragen van de HoNOS+-gegevens om dit model te laten functioneren) vindt de rechtbank daarom legitiem en noodzakelijk."