Uitspraak 201906618/1/A3

201906618/1/A3.
Datum uitspraak: 17 januari 2024

AFDELING
BESTUURSRECHTSPRAAK

Uitspraak op het hoger beroep van:

Burgerrechtenvereniging Vrijbit, gevestigd te Utrecht,

appellante,

tegen de uitspraak van de rechtbank Midden­Nederland van 23 juli 2019 in zaak nr. 16/4199 in het geding tussen:

Vrijbit

en

de Autoriteit Persoonsgegevens (hierna: de AP).

Procesverloop

Bij besluit van 18 januari 2016 heeft de AP het handhavingsverzoek van Vrijbit afgewezen.

Bij besluit van 22 juni 2016 heeft de AP het door Vrijbit daartegen gemaakte bezwaar ongegrond verklaard.

Bij tussenuitspraak van 7 juli 2017 (hierna: de tussenuitspraak) heeft de rechtbank, voor zover hier van belang, de AP in de gelegenheid gesteld een in die uitspraak geconstateerd gebrek aan dat besluit te herstellen.

Bij besluit van 9 januari 2018 heeft de AP de motivering van het besluit van 22 juni 2016 aangevuld.

Bij uitspraak van 23 juli 2019 (hierna: de einduitspraak) heeft de rechtbank, voor zover van belang, het door Vrijbit daartegen ingestelde beroep gegrond verklaard, het besluit van 9 januari 2018 gedeeltelijk vernietigd en de AP opgedragen in zoverre een nieuw besluit te nemen met inachtneming van de uitspraak en de tussenuitspraak.

Tegen de tussenuitspraak en de einduitspraak heeft Vrijbit hoger beroep ingesteld.

De AP heeft een schriftelijke uiteenzetting gegeven.

De AP heeft de vertrouwelijke versie van de Inventarislijst B overgelegd en met verwijzing naar artikel 8:29 van de Algemene wet bestuursrecht (hierna: de Awb) medegedeeld dat uitsluitend de Afdeling kennis zal mogen nemen van deze stukken.

De Afdeling heeft in andere samenstelling beslist dat beperkte kennisneming van deze stukken gerechtvaardigd is.

De Nederlandse Zorgautoriteit (hierna: de NZa) heeft een reactie gegeven.

Bij besluit van 16 december 2021 heeft de AP het bezwaar van Vrijbit gegrond verklaard voor zover het gaat om de verwerking van gegevens door de minister van Volksgezondheid, Welzijn en Sport voor de risicovereveningsbijdrage en aan de minister handhavende maatregelen opgelegd.

Vrijbit heeft gronden ingediend tegen het besluit van 16 december 2021.

De minister heeft een reactie gegeven.

De AP heeft de vertrouwelijke versie van de Inventarislijst D overgelegd en met verwijzing naar artikel 8:29 van de Awb medegedeeld dat uitsluitend de Afdeling kennis zal mogen nemen van deze stukken.

De Afdeling heeft in andere samenstelling beslist dat beperkte kennisneming van deze stukken gedeeltelijk gerechtvaardigd is.

Vrijbit heeft de Afdeling geen toestemming gegeven om mede op grondslag van de vertrouwelijke versie van de inventarislijsten B en D uitspraak te doen.

De AP en Vrijbit hebben nadere stukken ingediend.

De Afdeling heeft de zaak op de zitting behandeld op 13 december 2023, waar Vrijbit, vertegenwoordigd door [gemachtigden], en de AP, vertegenwoordigd door mr. J.M.A. Koster en mr. O.S. Nijveld, zijn verschenen. Voorts zijn op de zitting als partij gehoord de NZa, vertegenwoordigd door mr. R.N. van Donk, mr. A.E.M. Coenders en drs. I. Seinen, en de minister, vertegenwoordigd door mr. M.A.H. Gatzen, mr. C. van Balen en E.H. Mijnen.

Overwegingen

Inleiding

Waar gaat deze zaak over?

1.       Vrijbit heeft een verzoek ingediend bij de AP. Daarin vraagt zij de AP om ervoor te zorgen dat de NZa medische persoonsgegevens volgens de regels verwerkt. De AP vindt dat de NZa dat doet. De rechtbank is het daarmee grotendeels eens. Maar zij vindt dat de AP opnieuw moet kijken naar de verwerking van de persoonsgegevens door de minister. Dat heeft de AP na de uitspraak van de rechtbank gedaan. Naar aanleiding daarvan heeft de AP een maatregel opgelegd aan de minister.

Volgens Vrijbit heeft de AP niet de juiste maatregel opgelegd aan de minister. Ook vindt Vrijbit dat de noodzaak voor de NZa om zelf gegevens te verwerken en om gegevens door te geven aan derden nog steeds ontbreekt.

2.       In deze zaak gaat het om gegevens uit het zogenoemde Diagnose Informatiesysteem (hierna: het DIS). Het DIS is een databank waarin de gegevens staan die zorgaanbieders verzamelen in hun zogenoemde minimale dataset (hierna: de MDS). De zorgaanbieders sturen de MDS gepseudonimiseerd naar de stichting ZorgTTP. Deze stichting pseudonimiseert de gegevens nog een keer. Daarmee ontstaat een uniek nummer waarmee gegevens over zorggebruik kunnen worden gekoppeld aan één patiënt. Die gegevens levert de stichting ZorgTTP daarna aan de NZa.

De NZa is sinds 1 mei 2015 verantwoordelijk voor het DIS en dus de verwerkingsverantwoordelijke voor de gegevens in het DIS.

Wat is in hoger beroep niet of niet meer in geschil?

3.       Niet in geschil is dat de gegevens uit het DIS persoonsgegevens zijn. Verder is niet in geschil dat de NZa niet beschikt over de sleutel op basis waarvan gepseudonimiseerde gegevens in het DIS kunnen worden gekoppeld aan een persoon. Ook zijn partijen het erover eens dat voor de taken van de NZa een wettelijke grondslag bestaat. Een wettelijke grondslag is er ook voor de taken van de Autoriteit Consument en Markt (de ACM), het Centraal Bureau voor de Statistiek (het CBS) en het Zorginstituut Nederland (het ZIN). Deze organisaties ontvangen voor het vervullen van deze taken gegevens van de NZa.

In hoger beroep bestrijden partijen niet langer dat de grondslag om de DIS-gegevens door te geven ontbrak voor het Centraal Plan Bureau (hierna: het CPB) en ontbreekt voor de minister. Verder is ook niet meer in geschil dat het doel waarvoor de NZa de persoonsgegevens uit het DIS verwerkt welbepaald en uitdrukkelijk omschreven is.

Wat is de omvang van het verzoek van Vrijbit?

4.       Het verzoek van Vrijbit in deze zaak omvat de verzameling, verwerking en de verstrekking aan derden van de persoonsgegevens uit het DIS door de NZa.

Het verzoek gaat dus niet over de verwerking van persoonsgegevens in de MDS en ook niet over de eventuele doorgifte van de persoonsgegevens uit het DIS door andere instanties of personen dan de NZa. Vrijbit heeft in hoger beroep wel gronden aangevoerd over deze verwerkingen. De Afdeling zal deze gronden niet inhoudelijk beoordelen omdat de AP deze verwerkingen niet bij haar onderzoek hoefde te betrekken. Deze verwerkingen vallen namelijk buiten de omvang van het verzoek.

Besluiten van de AP en uitspraken van de rechtbank

5.       Vrijbit heeft begin mei 2015 aan de AP gevraagd om de verwerking van de medische persoonsgegevens door de NZa te laten stoppen. Na onderzoek heeft de AP gesteld dat er voor een deel geen sprake was van een overtreding. Voor zover er wel een overtreding was, vond de AP handhaving niet nodig omdat de NZa de verstrekking inmiddels had gestaakt.

De rechtbank heeft in een tussenuitspraak geoordeeld dat de AP niet goed heeft gemotiveerd waarom de verstrekkingen die mogen noodzakelijk zijn. Verder heeft de AP te mager gemotiveerd waarom zij afziet van bijvoorbeeld het opleggen van een last onder dwangsom voor de gegevensverwerkingen die niet mochten.

In het besluit van 9 januari 2018 staat die aanvullende motivering van de AP. De AP stelt zich daarin op het standpunt dat de verwerking van persoonsgegevens uit het DIS door de NZa voor haar eigen taken noodzakelijk is. Ook de doorgifte van deze gegevens aan het ZIN, de ACM en het CBS is noodzakelijk voor de uitvoering van hun wettelijke taken. Bij nader inzien vindt de AP dat voor de doorgifte aan het CPB en de minister geen wettelijke grondslag bestaat. Maar om verschillende redenen bestaat volgens de AP geen aanleiding om een last onder dwangsom op te leggen.

In haar einduitspraak oordeelt de rechtbank, voor zover van belang, dat de keuze van de AP om de contractuele leveringen door NZa aan derden in de periode tussen mei 2015 en november/december 2015 buiten beschouwing te laten aanvaardbaar is. De rechtbank vindt verder dat de AP voor het overige voldoende onderzoek heeft gedaan en voldoende heeft gemotiveerd waarom de verwerkingen van de persoonsgegevens door de NZa voor haar eigen taak en voor het ZIN, de ACM en het CBS noodzakelijk zijn. De AP had volgens de rechtbank beter moeten motiveren waarom zij geen handhavingsmiddelen inzet tegen de minister voor zover het gaat om de verwerking van gegevens voor de risicovereveningsbijdrage.

Regels die van belang zijn

6.       Voor deze uitspraak is in de eerste plaats van belang de Algemene verordening gegevensbescherming (hierna: de AVG). Daarnaast zijn eerder, onder andere bij de rechtbank, de Wet marktordening gezondheidszorg (hierna: de Wmg), de Regeling categorieën persoonsgegevens Wmg en de Zorgverzekeringswet aan de orde geweest. De wettelijke bepalingen die van toepassing zijn staan in de bijlage. Die bijlage hoort bij deze uitspraak.

7.       Kort samengevat is het verboden om medische persoonsgegevens te verwerken (artikel 9, eerste lid, van de AVG). Er zijn uitzonderingen mogelijk op dat verbod. Die uitzonderingen staan in de wet genoemd (artikel 9, tweede lid, van de AVG). Daarnaast moet er voor de verwerking van de gegevens een grondslag zijn en moet de verwerking noodzakelijk zijn voor die grondslag (artikel 6 van de AVG).

Hoger beroep

Oordeel van de Afdeling

8.       De Afdeling geeft Vrijbit geen gelijk. Zij vindt dat de AP voldoende heeft gemotiveerd waarom de verwerking van de medische persoonsgegevens uit het DIS noodzakelijk is voor zowel de NZa zelf als de instanties waaraan de NZa de gegevens geeft. De Afdeling vindt ook dat de AP de juiste maatregel heeft opgelegd aan de minister.

Hieronder zal de Afdeling toelichten hoe zij tot dit oordeel is gekomen. Aan de hand van wat Vrijbit heeft aangevoerd, zal de Afdeling eerst ingaan op de keuze van de AP over de omvang van het onderzoek. Vervolgens komt de verwerking van de persoonsgegevens uit het DIS door de NZa zowel voor haar eigen taken als voor zover zij de gegevens doorgeeft aan bod. Tot slot behandelt de Afdeling wat de AP heeft besloten over de verwerkingen door de minister.

Wat heeft Vrijbit in hoger beroep aangevoerd?

9.       Vrijbit is het niet eens met de uitspraak van de rechtbank voor zover zij daarin geen gelijk heeft gekregen.

De rechtbank heeft volgens Vrijbit ten onrechte overwogen dat de AP de verstrekkingen aan particulieren in de periode mei 2015 tot november/december 2015 niet hoefde te betrekken in haar onderzoek. Verder vindt Vrijbit dat de rechtbank niet had mogen uitgaan van de aannames van de AP dat de Privacy Impactment Assessments (hierna: PIA) die de NZa toepast voordat de medische persoonsgegevens worden verstrekt aan derden een afdoende toetsing op subsidiariteit en proportionaliteit inhouden. De eerdere aanname dat de verstrekking van de persoonsgegevens aan de minister voor de risicovereveningsbijdrage noodzakelijk was, laat dat zien. Ook gaat de rechtbank volgens Vrijbit ten onrechte voorbij aan het feit dat de AP heeft nagelaten om te onderzoeken of verwerking van de persoonsgegevens noodzakelijk is voor de taken van de NZa.

Tot slot betoogt Vrijbit dat de rechtbank ten onrechte heeft overwogen dat de AP niet genoodzaakt zou zijn om in de beoordeling alternatieve mogelijkheden te wegen en heeft zij ten onrechte wat Vrijbit op dat punt heeft aangevoerd buiten beschouwing gelaten wegens strijd met een goede procesorde.

Beoordeling door de Afdeling

Had de AP ook de verstrekkingen voor december 2015 moeten onderzoeken?

10.     De Afdeling vindt dat dat in dit geval niet hoefde.

Vrijbit heeft haar verzoek ingediend enkele dagen nadat de NZa de verwerkingsverantwoordelijke van het DIS was geworden. In het verzoek staat niet dat Vrijbit ook wil dat in strijd met de wet verwerkte gegevens terug worden gehaald of vernietigd. Zij heeft dat in een later stadium bij de rechtbank kenbaar gemaakt.

In de periode van mei 2015 tot eind november 2015 ging de NZa er nog vanuit dat de gegevens uit het DIS geen persoonsgegevens waren. De NZa heeft de verstrekking van gegevens aan private partijen op basis van contracten in november/december 2015 gestopt toen duidelijk werd dat deze wel persoonsgegevens zijn. De AP heeft ervoor gekozen deze verstrekkingen, die in strijd met de wet waren, niet te betrekken in haar onderzoek. De reden daarvoor is dat de NZa was gestopt met het doorgeven van de gegevens aan private partijen en in zoverre al tegemoet was gekomen aan het handhavingsverzoek van Vrijbit. De gegevens die al verstrekt waren, waren bovendien vernietigd, zo is op de zitting van de Afdeling verklaard. Onder deze omstandigheden acht de Afdeling de keuze van de AP om geen onderzoek te doen naar deze verwerkingen aanvaardbaar.

Welke beoordeling past de Afdeling toe?

11.     De verwerking van persoonsgegevens kan rechtmatig zijn als die noodzakelijk is voor onder meer de vervulling van een wettelijke verplichting of een publiekrechtelijke taak. Daarvoor moet allereerst worden beoordeeld of het doel waarvoor de persoonsgegevens worden verwerkt welbepaald en uitdrukkelijk omschreven is. Verder moet worden beoordeeld of met de aan de orde zijnde verwerking van de persoonsgegevens dat doel ook wordt bereikt. Indien de verwerking van de persoonsgegevens voor het bereiken van het specifieke doel in deze zin noodzakelijk is, moet vervolgens worden beoordeeld of de inbreuk op de privacy evenredig is met de belangen die zijn gediend met de verwerking van de persoonsgegevens. Daarvoor moet worden bezien of het doel in redelijkheid niet op een andere minder nadelige wijze kan worden verwezenlijkt. De intensiteit waarmee dit moet, wordt mede bepaald door de specificiteit van de aangedragen alternatieven. Met andere woorden: hoe gedetailleerder de betrokkene het alternatief beschrijft, hoe indringender het onderzoek van de AP moet zijn (zie bijvoorbeeld de uitspraak van uitspraak van 10 november 2021, ECLI:NL:RVS:2021:2511).

Als de verwerking van de persoonsgegevens niet rechtmatig is en er dus een overtreding is, moet de AP in beginsel gebruik maken van haar bevoegdheid tot handhaving. Alleen in uitzonderlijke gevallen kan worden afgezien van handhavend optreden. Uitzonderlijke omstandigheden doen zich bijvoorbeeld voor als zicht op legalisatie bestaat of als handhaving onevenredig zou zijn in verhouding tot de daarmee te dienen belangen.

Voor welke taken zijn de gegevens nodig?

12.     De NZa gebruikt de gegevens uit het DIS voor haar eigen onderzoeken en werkzaamheden. De taken van de NZa bestaan uit markttoezicht, marktontwikkeling en tarief- en prestatieregulering binnen de zorg (zie artikel 16, aanhef en onder a, van de Wmg).

Daarnaast geeft de NZa de gegevens uit het DIS door aan het ZIN, de ACM en het CBS voor onderzoeken en werkzaamheden van die instanties. Het ZIN maakt analyses van de kwaliteit en de kosten van de zorg met het oog op de bevordering van de kwaliteit en het geven van adviezen over het basispakket aan zorg (zie de artikelen 64 en 66 van de Zorgverzekeringswet, zoals die golden ten tijde van belang en de artikelen 5.1.1. en 5.1.3 van de Wet langdurige zorg). De ACM houdt onder meer toezicht op de mededinging en doet daarvoor onderzoek naar fusies en samenwerkingen (zie artikel 2 van de Mededingingswet). De taak van het CBS is om statistisch onderzoek te verrichten voor de praktijk, beleid en wetenschap en het openbaar maken van de op grond van zodanig onderzoek samengestelde statistieken (zie artikel 3 van de Wet op het Centraal bureau voor de statistiek).

Heeft de AP voldoende onderzoek gedaan?

13.     De Afdeling oordeelt dat de AP voldoende onderzoek heeft gedaan.

Net zoals de rechtbank vindt de Afdeling dat de AP wel heeft onderzocht of de verwerking van gegevens voor de hiervoor beschreven wettelijke taken door de NZa noodzakelijk is. De AP heeft naar aanleiding van de tussenuitspraak van de rechtbank schriftelijke vragen gesteld aan de NZa, het CPB en de minister. Zij hebben de vragen schriftelijk beantwoord en de AP heeft deze reacties geanalyseerd. Dat heeft geleid tot nieuwe vragen van de AP die op een hoorzitting met alle betrokkenen zijn besproken. De op deze manier verzamelde informatie heeft geresulteerd in het besluit op bezwaar van 9 januari 2018.

Is de verwerking noodzakelijk?

- Wordt het doel behaald met de verwerking?

14.     De Afdeling volgt de rechtbank ook in haar oordeel dat de AP na het hiervoor onder 13 beschreven onderzoek tot de conclusie mocht komen dat de verwerking door de NZa noodzakelijk is.

14.1.  Daarvoor mocht de AP zich op het standpunt stellen dat voor de verschillende taken van de NZa en de andere instanties van belang is dat er een koppeling blijft bestaan tussen de individuele verzekerde en de aan die verzekerde verleende medische zorg in de vorm van de diagnose-behandelcombinaties. De AP heeft dat standpunt voldoende gemotiveerd. Zij heeft daarvoor het volgende van belang mogen achten:

Met de koppeling van de individuele patiënt en de zorg die aan die persoon is verleend, wordt een compleet behandeltraject van diegene in beeld gebracht. Alleen met de dubbel gepseudonimiseerde gegevens uit het DIS kan dat worden bereikt. Met geheel geanonimiseerde gegevens kan dat niet. Daarbij ontbreekt namelijk de koppeling tussen de patiënt en de genoten zorg. Voor markttoezicht, marktontwikkeling en tarief- en prestatieregulering is die koppeling dus een vereiste. Vrijbit heeft erop gewezen dat de MDS later als gevolg van een ander inzicht over de bekostiging van de (GGZ-)zorg minder medische gegevens bevat. De rechtbank heeft terecht overwogen dat daarmee niet aannemelijk is gemaakt dat de eerdere gegevensverwerking in strijd is met de wet. Het gebruik van de gegevens uit het DIS door de NZa is dus nodig om haar taken te kunnen vervullen.

Dat geldt ook voor de drie instanties aan wie de NZa de DIS-gegevens geeft. Het ZIN heeft een volledig profiel van individuele wettelijk verplicht verzekerden nodig om hun zorggebruik in de tijd te kunnen volgen. De onderzoeken van het ZIN hebben betrekking op het zorggebruik over een langere periode en strekken zich uit over de verschillende medische disciplines. Het ZIN kan niet volstaan met geanonimiseerde gegevens, omdat zij dan niet de mogelijkheid zou hebben om vanuit patiëntperspectief de declaraties te koppelen aan een individu. De ACM heeft de dubbel gepseudonimiseerde gegevens nodig om vast te stellen voor welke zorg patiënten naar bepaalde instellingen gaan en of zij worden doorverwezen voor bepaalde zorg. Deze informatie is nodig om te kunnen onderzoeken of de instellingen met elkaar concurreren. Daarnaast kan aan de hand van deze gegevens de concurrentiedruk van instellingen worden ingeschat. Die inschatting vormt de basis voor de goedkeuring van fusies of samenwerkingen. Het CBS publiceert in de elektronische databank StatLine openbare statistieken. Het CBS brengt daarin door personen gevolgde zorgtrajecten in beeld. Daarvoor heeft het CBS de gegevens uit het DIS nodig.

- Is de inbreuk evenredig?

14.2.  De AP heeft ook voldoende gemotiveerd waarom het doel waarvoor de persoonsgegevens uit het DIS worden verwerkt redelijkerwijs niet op een andere, minder nadelige, wijze kan worden verwezenlijkt. Zij mocht daarvoor verwijzen naar de sinds 2016 vaste werkwijze van de NZa om voor iedere verwerking van gegevens uit het DIS eerst een PIA met een toelichtende nota uit te voeren. Zoals de gemachtigde op zitting heeft bevestigd, heeft de AP informatie dat PIA’s worden gebruikt door de NZa bij de verwerking van de DIS-gegevens. Bij de geheime stukken die de AP heeft overgelegd, zitten onder meer stukken van de NZa over hoe zij deze procedure toepast. Omdat de Afdeling geen toestemming heeft gekregen van Vrijbit om kennis te nemen van deze stukken, kan zij niet controleren of het klopt wat de AP zegt, maar gaat zij in beginsel uit van de juistheid ervan. Anders dan Vrijbit betoogt, illustreert het enkele feit dat de verstrekking van de persoonsgegevens aan de minister voor risicoverevening in eerste instantie noodzakelijk werd geacht, niet dat een PIA in het algemeen een onvoldoende toetsing is.

Iedere keer als de NZa gebruik wil maken van DIS-gegevens voor haar eigen onderzoek voert zij een PIA uit. Die wordt vervolgens beoordeeld door de functionaris gegevensverwerking. Onderdeel van de PIA is de beoordeling of de gevraagde persoonsgegevens nodig zijn voor de verwerking van gegevens in het betreffende onderzoek, dus of de betreffende verwerking proportioneel is. Daarnaast wordt ook bezien of eventueel kan worden volstaan met gebundelde data zodat een minimum aan data wordt verwerkt, oftewel of de verwerking voldoet aan het subsidiariteitsbeginsel.

Bij iedere doorgifte van DIS-gegevens aan de drie instanties wordt door de NZa beoordeeld of de gevraagde gegevens passen binnen de wettelijke taak van die instantie, of ze passen binnen de categorieën van de ministeriële regeling, en of de gevraagde gegevens wel noodzakelijk zijn voor het onderzoek dat de instantie van plan is uit te voeren. Onder punt 2.1 van het modelformulier voor de PIA wordt zowel voor het subsidiariteitsvereiste als het proportionaliteitsvereiste aandacht gevraagd. Zo moeten vragen over onder andere dataminimalisatie, beveiliging en bewaring/vernietiging en transparantie en rechten van betrokkenen worden beantwoord. De vraag of er een minder inbreukmakende wijze van verwerking mogelijk is, maakt dus onderdeel uit van de toetsing door de NZa of de specifieke verwerking is toegestaan.

14.3.  Als alternatieve (informatie)bronnen heeft Vrijbit gewezen op het systeem van het CBS en dat van Vektis, het informatie- en kenniscentrum voor de zorgverzekeraars. Vrijbit voert terecht aan dat zij deze alternatieven niet pas op de tweede zitting heeft aangedragen, maar al in één van haar reacties op het besluit van 9 januari 2018 heeft genoemd. De Afdeling ziet hierin echter geen zelfstandige reden de aangevallen uitspraak te vernietigen. De Afdeling zal hierna beoordelen wat partijen over de alternatieven naar voren hebben gebracht.

De Afdeling stelt met de rechtbank voorop dat de AP alternatieven die worden genoemd moet beoordelen. De AP is echter niet verplicht om bij de beoordeling uit eigen beweging alle mogelijke alternatieven te betrekken, zoals Vrijbit meent.

14.4.  De Afdeling oordeelt dat de AP voldoende heeft gemotiveerd waarom de beide bronsystemen geen gelijkwaardige alternatieven zijn. De AP heeft daarvoor de volgende redenen genoemd. Het Vektis-systeem is een privaatrechtelijk systeem en anders dan het DIS niet een eigen bronsysteem. Met het Vektis-systeem kan een patiënt niet worden gevolgd en dat is juist voor de taak van de NZa en de instanties aan wie de NZa de DIS-gegevens geeft wel van belang. Het bronsysteem van het CBS is gebaseerd op gegevens van de NZa en kan daarom al geen goed alternatief zijn. De doeleinden waarvoor het CBS gegevens mag verwerken komen bovendien niet overeen met die van de NZa. Ook om die reden is het CBS-systeem geen gelijkwaardig alternatief.

Tussenconclusie hoger beroep

15.     Het vorenstaande betekent dat de rechtbank terecht heeft geconcludeerd dat de AP met uitzondering van de verwerking door de minister ten behoeve van de risicovereveningsbijdrage voldoende onderzoek heeft gedaan en voldoende heeft gemotiveerd waarom zij afziet van handhavend optreden.

15.1.  Het hoger beroep is ongegrond. De aangevallen uitspraak moet worden bevestigd voor zover aangevallen.

Beroep van rechtswege

Besluit op bezwaar van 16 december 2021

16.     In dit besluit op bezwaar geeft de AP uitvoering aan de aangevallen uitspraak voor zover daarin haar eerdere besluit op bezwaar is vernietigd. Zij verklaart het bezwaar van Vrijbit over de doorgifte van persoonsgegevens aan de minister voor de risicoverevening gegrond. Verder besluit de AP om handhavende maatregelen te nemen jegens de minister. Die maatregelen houden in dat de minister de verwerking van de ruwe data gedurende de retentietijd moet beperken en na afloop van de retentietijd moet vernietigen. De verwerking van de al bewerkte data hoeft de minister niet te stoppen omdat de AP handhaving in dat geval onevenredig vindt.

Welke gronden heeft Vrijbit aangevoerd?

17.     Vrijbit voert aan dat de AP niet heeft voldaan aan de opdracht van de rechtbank. Een deugdelijke toetsing aan het subsidiariteitsbeginsel ontbreekt. Volgens haar heeft de AP de handhaving ten onrechte beperkt tot de verwerking van DIS-data door de minister. Vrijbit vindt dat de AP met het handhavingsbesluit nog steeds de onrechtmatige verwerking van de medische persoonsgegevens gedoogt. De AP had de minister moeten opdragen alle persoonsgegevens, dus zowel de ruwe als de bewerkte, uit het DIS te verwijderen en te vernietigen. De noodzakelijkheid voor het pas op langere termijn verwijderen van de ruwe data ontbreekt volgens Vrijbit. Ook heeft de AP nagelaten de noodzakelijkheid te onderzoeken voor de verwerking van de bewerkte data. Alleen een wettelijke grondslag is niet voldoende.

Beoordeling door de Afdeling

Wat is niet meer in geschil?

18.     Na de einduitspraak van de rechtbank en voordat de AP haar nieuwe besluit op bezwaar heeft genomen, is artikel 32 van de Zorgverzekeringswet aangevuld met de leden 8 tot en met 10. Niet meer in geschil is dat het achtste lid nu voor de risicovereveningsbijdrage een wettelijke grondslag biedt voor de minister om bijzondere persoonsgegevens te verwerken. Vast staat ook dat de minister de drie aan hem geleverde bestanden met gegevens uit het DIS, de zogenoemde ruwe data, heeft vernietigd, maar dat die volgens het rapport van KPMG nog aanwezig zijn in de back-ups van de stichting ZorgTTP en de Stichting Informatie Voorziening Zorg. De ruwe data heeft de minister eerder voor eigen gebruik bewerkt tot een variabele, de zogenoemde Zorgvraagzwaarte indicator-variabele, die onderdeel uitmaakt van de minimale dataset 2017. Onbestreden is dat de minister deze bewerkte data niet heeft vernietigd.

Heeft de AP zich gehouden aan de opdracht van de rechtbank?

19.     De Afdeling beantwoordt deze vraag bevestigend.

De rechtbank overweegt in haar uitspraak dat de AP opnieuw niet voldoende heeft gemotiveerd waarom zij afziet van handhavend optreden. De rechtbank draagt de AP niet op om de minister te gelasten alle DIS-gegevens te vernietigen. Verder heeft de AP het onderzoek naar de verwerking van de DIS-gegevens niet beperkt tot de minister, maar ook gekeken naar de aanwezigheid van die gegevens op de servers van de stichting ZorgTTP en de Stichting Informatie Voorziening Zorg. Het betoog van Vrijbit slaagt in zoverre niet.

Heeft de AP haar besluit voldoende gemotiveerd?

20.     De Afdeling vindt dat de AP haar besluit voldoende heeft gemotiveerd. Die motivering is gedeeltelijk onderbouwd met informatie die in de vertrouwelijke stukken is overgelegd door de AP. De Afdeling heeft deze documenten niet kunnen inzien omdat Vrijbit daarvoor geen toestemming heeft gegeven. De Afdeling heeft dus het standpunt van de AP in zoverre ook niet kunnen controleren. Zoals hiervoor overwogen, gaat de Afdeling daarom in beginsel uit van de juistheid ervan.

- Zijn de opgelegde maatregelen voor de ruwe data voldoende?

21.     De Afdeling vindt dat de AP voldoende heeft gemotiveerd waarom het nodig is om de ruwe data voor de retentieperiode onder voorwaarden te bewaren en waarom de ruwe data niet nu al kan worden vernietigd.

De duur van de retentietijd staat in deze zaak in de vertrouwelijke stukken. Die periode is, anders dan Vrijbit stelt, volgens de AP niet onbeperkt. Na afloop van die periode zullen de ruwe data worden vernietigd. Daarvan moet de minister een verklaring van een externe auditor overleggen. Verder heeft de AP in het besluit maatregelen voorgeschreven om de data tijdens de retentieperiode te beveiligen. Die maatregelen bestaan onder meer uit een afdoende versleuteling van de bestanden op de back-ups, uit uitgeschreven procedures en de verplichting om iedere drie jaar aan de AP te rapporteren. De reden om de ruwe data niet nu al te vernietigen is dat de tapes waarop die staan ook data van andere klanten van de IT-provider bevat. Het specifiek verwijderen van de ruwe data daaruit, vergt een nieuwe werkwijze die nog niet eerder is uitgevoerd. Daardoor kunnen de risico’s niet goed worden voorspeld en kunnen zich onverwachte problemen voordoen. De minister heeft de mogelijke risico’s geschetst. De AP acht deze mogelijke risico’s niet onwaarschijnlijk. Zij betrekt daarbij dat het systeem van back-ups op tapes naar zijn aard ongeschikt is voor het verwijderen van specifieke data. Waarom dat zo is, is volgens de AP nader uitgewerkt in de vertrouwelijke stukken. De Afdeling volgt de AP daarin en oordeelt dat de AP redelijkerwijs geen verdergaande handhavingsmaatregelen hoefde op te leggen.

- Is de handhaving van de bewerkte data onevenredig?

22.     De AP heeft voldoende gemotiveerd waarom zij het onevenredig vindt om aan de minister maatregelen voor de verwerking van de bewerkte data op te leggen. De redenen voor de AP zijn de volgende. Het gewijzigde artikel 32, achtste lid, van de Zorgverzekeringswet, bevat expliciet de bevoegdheid voor de minister om persoonsgegevens over de gezondheid te verwerken voor de vaststelling van de vereveningscriteria voor de vereveningsbijdrage en de statistische onderbouwing van de aan die criteria verbonden bijdragen. Daarmee is er inmiddels een wettelijke uitzondering op het verbod om bijzondere persoonsgegevens te verwerken en dus ook een grondslag voor die verwerking. Daarnaast vindt de AP van belang dat de bewerkte data nu ook nog door de minister worden gebruikt. De minimale dataset 2017 is nodig voor de vaststelling van de criteria voor de vereveningsbijdragen en de statistische onderbouwing van de aan de vereveningscriteria gekoppelde bijdragen. Tot slot weegt de AP mee dat anders opnieuw een set ruwe data aan de NZa zou moeten (en kunnen) worden gevraagd die met aanzienlijke inspanning en kosten opnieuw moet worden bewerkt. De Afdeling oordeelt dat de AP met deze redenen voldoende heeft gemotiveerd waarom de verwerking nodig is voor de minister. Voor zover Vrijbit betoogt dat voor de verwerking andere bronnen zouden kunnen worden gebruikt, heeft de AP aannemelijk gemaakt dat deze geen gelijkwaardige alternatieven zijn. De Afdeling verwijst voor dit oordeel naar wat zij in deze uitspraak daarover heeft overwogen onder punt 14.3.

Tussenconclusie beroep van rechtswege

23.     Het beroep is ongegrond.

Proceskosten

24.     De AP hoeft geen proceskosten te vergoeden.

Beslissing

De Afdeling bestuursrechtspraak van de Raad van State:

I.        bevestigt de uitspraak van de rechtbank, voor zover aangevallen;

II.       verklaart het beroep ongegrond.

Aldus vastgesteld door mr. C.J. Borman, voorzitter, en mr. C.H. Bangma en mr. M.M. Kaajan, leden, in tegenwoordigheid van mr. S.C. van Tuyll van Serooskerken, griffier.

w.g. Borman
voorzitter

De griffier is verhinderd de uitspraak te ondertekenen

Uitgesproken in het openbaar op 17 januari 2024

290

BIJLAGE

Algemene Verordening Gegevensbescherming

Artikel 4, Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1) […]

5) „pseudonimisering": het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

6) […].

Artikel 6, Rechtmatigheid van de verwerking

1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) […];

c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) […];

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f. […].

Artikel 9, Verwerking van bijzondere categorieën van persoonsgegevens

1. Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

2. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven;

b) de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt;

c) de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;

d) de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt;

e) de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;

f) de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;

g) de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene;

h) de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen;

i) de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim;

j) de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.

Wet marktordening gezondheidszorg

Artikel 16

De zorgautoriteit is belast met:

a. markttoezicht, marktontwikkeling en tarief- en prestatieregulering, op het terrein van de gezondheidszorg;

b. […].

Artikel 33

De zorgautoriteit kan haar bevindingen op grond van het onderzoek, bedoeld in artikel 32, openbaar maken, met uitzondering van gegevens en inlichtingen die naar hun aard vertrouwelijk zijn.

Artikel 60

1. In dit hoofdstuk worden persoonsgegevens onderscheiden in:

a. identificerende persoonsgegevens,

b. medische persoonsgegevens,

c. strafrechtelijke persoonsgegevens.

2. Onder identificerende persoonsgegevens wordt verstaan:

a. naam, adres, woonplaats, postadres;

b. geboortedatum en geslacht;

c. administratieve gegevens, zoals nummers van bank-, giro- en creditcard, gegevens uit de basisregistratie personen en registratie ingevolge de Wet op de beroepen in de individuele gezondheidszorg.

3. Onder medische persoonsgegevens wordt in het kader van deze wet verstaan de persoonsgegevens betreffende de gezondheid als bedoeld in artikel 21 van de Wet bescherming persoonsgegevens.

4. [...].

Artikel 62

1. De zorgautoriteit kan, met inachtneming van het bepaalde krachtens artikel 65, regels stellen, inhoudende welke gegevens en inlichtingen regelmatig moeten worden verstrekt dan wel onder welke omstandigheden deze moeten worden verstrekt door de zorgaanbieders, ziektekostenverzekeraars en degenen, bedoeld in artikel 44.

2. Het eerste lid is mede van toepassing ten aanzien van degene die gegevens verzamelt, bewaart en bewerkt ten behoeve van zorgaanbieders of ziektekostenverzekeraars, alsmede ten aanzien van de groep in de zin van artikel 24b van Boek 2 van het Burgerlijk Wetboek, indien zorgaanbieders of ziektekostenverzekeraars daartoe behoren.

Artikel 65

Onze Minister geeft bij Ministeriële regeling aan:

a. welke van de in artikel 60 onderscheiden categorieën van persoonsgegevens noodzakelijk zijn voor de uitoefening van de in die regeling aangewezen taken en bevoegdheden van de zorgautoriteit:

b. welke van de in artikel 60 onderscheiden categorieën van persoonsgegevens de zorgautoriteit mag verstrekken aan de in artikel 70 genoemde instanties ten behoeve van de uitoefening van hun taken en bevoegdheden.

Artikel 70

1. De zorgautoriteit, het Zorginstituut, het College sanering en het Staatstoezicht op de volksgezondheid verstrekken elkaar die gegevens en inlichtingen die van belang kunnen zijn voor de uitoefening van hun wettelijke taken.

2. De zorgautoriteit verstrekt desgevraagd aan de Autoriteit Consument en Markt, de Nederlandsche Bank, de Stichting Autoriteit Financiële Markten, het College bescherming persoonsgegevens en de FIOD-ECD die gegevens en inlichtingen die van belang kunnen zijn voor de uitoefening van hun wettelijke taken.

3. De zorgautoriteit verstrekt desgevraagd aan de Gezondheidsraad, het Rijksinstituut voor de volksgezondheid en milieu, de Raad voor de Volksgezondheid en Zorg, de Raad voor gezondheidsonderzoek, het Centraal Planbureau, het Centraal Bureau voor de Statistiek en het Sociaal Cultureel Planbureau in verband met de beperking van administratieve lasten die gegevens en inlichtingen die van belang kunnen zijn voor de uitoefening van hun wettelijke taken.

4. Bij de verstrekkingen als bedoeld in het eerste tot en met derde lid wordt het bepaalde krachtens artikel 65 in acht genomen.

5. De zorgautoriteit maakt bij de toepassing van het eerste tot en met derde lid geen gebruik van haar bevoegdheden, bedoeld in de artikelen 61 en 64.

Zorgverzekeringswet

Artikel 32

1. […].

8. Onze Minister verwerkt de persoonsgegevens waaronder gegevens over gezondheid als bedoeld in artikel 4, onderdeel 15, van de Algemene verordening gegevensbescherming, die noodzakelijk zijn voor:

a. de bepaling van de criteria, bedoeld in het derde lid of het criterium, bedoeld in het vierde lid, onderdeel b, of

b. de statistische onderbouwing van de aan de criteria krachtens het vierde lid, onderdeel c, gekoppelde bijdragen.

9. […].

Artikel 64

1. Het Zorginstituut bevordert de eenduidige uitleg van de aard, inhoud en omvang van de prestaties, bedoeld in artikel 11.

2. Het Zorginstituut kan de zorgverzekeraars met het oog hierop richtlijnen geven.

Artikel 66

1. Het Zorginstituut rapporteert Onze Minister desgevraagd over voorgenomen beleid inzake aard, inhoud en omvang van de prestaties, bedoeld in artikel 11.

2. Het Zorginstituut signaleert gevraagd en ongevraagd aan Onze Minister feitelijke ontwikkelingen die aanleiding kunnen geven tot wijzigingen van de aard, inhoud en omvang van de prestaties, bedoeld in artikel 11.

3. […].

Mededingingswet

Artikel 2

De Autoriteit Consument en Markt is belast met het toezicht op de naleving van het bij of krachtens deze wet bepaalde.

Wet op het Centraal bureau voor de statistiek

Artikel 3

1. Het CBS heeft tot taak het van overheidswege verrichten van statistisch onderzoek ten behoeve van praktijk, beleid en wetenschap en het openbaar maken van de op grond van zodanig onderzoek samengestelde statistieken.

2. Het CBS bevordert:

a. een statistische informatievoorziening van overheidswege die voorziet in de behoeften van praktijk, beleid en wetenschap;

b. de nauwkeurigheid en volledigheid van de van overheidswege openbaar te maken statistieken.

3. Door Onze Minister of één van Onze andere Ministers wordt slechts een nieuw statistisch onderzoek ingesteld of in een onderzoek dat reeds plaatsvindt wijziging gebracht, nadat de directeur-generaal is gehoord.