1 De procedure
1.1.
Het verloop van de procedure blijkt uit:
- -
de dagvaarding met producties;
- -
de conclusie van antwoord met producties;
- -
de wijziging van eis met nadere producties;
- -
de mondelinge behandeling;
- -
de pleitnota van eiseressen;
- -
de pleitnota van SBG.
1.2.
Vervolgens is vonnis bepaald.
2. De feiten
2.1.
SBG is opgericht door stakeholders in de geestelijke gezondheidszorg (GGZ), onder begeleiding van het Ministerie van Volksgezondheid, Welzijn en Sport (WVS), als uitvloeisel van tussen die stakeholders gesloten bestuurlijke akkoorden. Zij heeft tot doel het op een onafhankelijke en betrouwbare manier benchmarken op het gebied van behandeleffect en klanttevredenheid en het hiermee bijdragen aan het leren en onderzoeken door professionals en instellingen. Zij streeft daarmee een kwaliteitsverhogend effect voor de gehele GGZ na. Daartoe worden gegevensverzamelingen die betrekking hebben op de kwaliteit van de geestelijke gezondheidszorg gestructureerd, bijgehouden, geüniformeerd en toegankelijk gemaakt voor benchmarking ten behoeve van zorginkoop en zorgverkoop, onderzoek en validatie van gebruikte methodieken en instrumenten.
SBG doet dit aan de hand van gegevens die door de verschillende zorgaanbieders (veelal door middel van door patiënten zelf ingevulde vragenlijsten) aan de stichting ZorgTTP (hierrna: ZorgTTP) worden aangeleverd en na bewerking door ZorgTTP aan SBG verstrekt, die ze vervolgens verder bewerkt, met het oog op haar doelstellingen.
2.2.
Het genoemde kwaliteitsstreven vindt zijn wettelijke grondslag in de Wet kwaliteit, klachten en geschillen zorg. Artikel 2 van die wet verplicht zorgaanbieders goede zorg aan te bieden, daarbij handelend overeenkomstig de verantwoordelijkheid die voortvloeit uit de professionele standaard van de beroepsgroep. Deze open norm is uitgewerkt in het Model Kwaliteitsstatuut GGZ dat voorziet in het structureel en regelmatig meten van klachten van patiënten en (het verloop) van hun zorgtraject, met gebruikmaking van het meetinstrument Routine Outcome Monitoring (ROM). SBG is, behalve als organisatie die aldus benchmarkt, daarnaast door stakeholders in de GGZ aangewezen als de gegevensverwerker voor de uitvraag van wettelijk verplichte prestatie-indicatoren, zogenaamde ‘meetinstrumenten’ op grond van artikel 66d Zorgverzekeringswet. Op basis van deze meetinstrumenten wordt geaggregeerde, anonieme informatie aan het Zorginstituut Nederland verstrekt. Voor deze meetinstrumenten is dezelfde informatie nodig van de zorgaanbieder als voor het benchmarken.
2.3.
Zorgaanbieders die bij SBG zijn aangesloten zijn gebonden aan haar Aansluitvoorwaarden. In deze voorwaarden worden onder meer de randvoorwaarden van de door de zorgaanbieder te verstrekken opdracht vermeld en wordt de positie van SBG als gegevensmakelaar beschreven. Ook voor aangesloten zorgverzekeraars en andere brancheorganisaties, die geen gegevens aanleveren maar wel inzage hebben in SBG’s rapporten (de zogenaamde rapportagemodule Benchmark Rapportage Module, hierna: BRaM) worden Aansluitvoorwaarden gehanteerd.
De verschillende voorwaarden maken onder meer melding van diverse processen, procedures en protocollen die op de informatiestroom, de informatieverwerking en op de informatieverstrekking van toepassing zijn.
2.4.
ZorgTTP heeft tot doel de ondersteuning bij het uitwisselen van databestanden met mogelijk privacygevoelige informatie en is gespecialiseerd in de onomkeerbare ‘eenwegpseudonimisatie’ van persoonsgegevens. Dit alles met het doel om de herleidbaarheid van gegevens op personen tegen te gaan, opdat die gegevens als kwaliteitsinformatie voor beleids- en onderzoeksdoeleinden kunnen worden gebruikt zonder dat de privacy van de patiënt in het geding komt.
2.5.
ZorgTTP ontvangt (wat het SBG-traject betreft) conform de door de Aansluitvoorwaarden voorgeschreven ‘SBG Minimale Dataset Data aanleverstandaard’ (MDS) zogenaamde ‘ruwe data’ van de zorgaanbieder. Tot die gegevens behoren (krachtens de Aansluitvoorwaarden zoals deze thans luiden) het zorgtrajectnummer van de desbetreffende patiënt, diens geboortejaar en geslacht, het van de zorgaanbieder afkomstige koppelnummer, de indeling van de patiënt in een urbanisatieschaal met vijf subcategorieën, in een herkomstschaal met drie subcategorieën en in een sociaaleconomische-statusschaal met vijf subcategoriëen, de gegevens van het zorgtraject (behandelaar, DBC-trajectnummer [Diagnose Behandeling Combinatie], eventuele nevendiagnoses en metingen en, in geval van een opname, de opnamegegevens). Vóór aanlevering door de zorgaanbieder van de gegevens aan ZorgTTP zijn de persoonsgegevens van de patiënt zoals naam en adres door eenwegpseudonimisatie door een pseudonummer vervangen. Deze pseudonimisatie is niet omkeerbaar doordat de daartoe gebezigde sleutel na de pseudonimisatie niet meer voorhanden is. ZorgTTP past op de aldus verkregen ‘ruwe’ data een verdere encryptie toe. Het aan haar aangeleverde pseudonummer wordt door haar opnieuw door eenwegpseudonimisatie van een (ander) pseudonummer voorzien. Ook deze pseudonimisatie is niet omkeerbaar, op gelijke wijze als hiervoor vermeld. Ook pseudonimiseert ZorgTTP, op gelijke onomkeerbare wijze, het aan haar aangeleverde koppelnummer, zorgtrajectnummer en DBC-trajectnummer. De aldus bewerkte gegevens worden door ZorgTTP aan SBG verstrekt.
2.6.
De aanbieding van zorggegevens door een zorgaanbieder aan ZorgTTP en door ZorgTTP aan SBG vindt eens per drie maanden plaats. Ondanks de onomkeerbaarheid van de genoemde vormen van pseudonimisatie is het nog wel mogelijk de door de zorgaanbieder in een later kwartaal met betrekking tot een bepaalde patiënt aangeleverde gegevens, op te nemen in de (gepseudonimiseerde) dataset waarover SBG met betrekking tot die patiënt beschikt. De gepseudonimiseerde zorgtrajectnummers van zorgtrajecten die zijn afgesloten worden nadien onomkeerbaar door SBG gerandonimiseerd, dat wil zeggen door willekeurige (niet op de eerdere pseudogegevens herleidbare) nummers vervangen. De verdere verwerking van de aan SBG ter beschikking staande gegevens houdt in dat zij die gegevens aggregeert, dat wil zeggen die gegevens verder aan het verband van het individuele zorgtraject onttrekt door ze te veralgemeniseren ten behoeve van haar beleidsmatige benchmarkdoelen.
2.7.
In haar rapport van 13 april 2016 heeft de Autoriteit Persoonsgegevens (hierna: AP) aan de Nederlandse Zorgautoriteit (NZa) haar definitieve bevindingen kenbaar gemaakt naar aanleiding van haar onderzoek naar de verstrekking van persoonsgegevens betreffende de gezondheid uit het door de NZa gehanteerde DBC Informatie Systeem (DIS). De AP vermeldt daarin dat de in het DIS opgenomen gegevens zodanig zijn bewerkt dat de herleidbaarheid tot het individu wordt beperkt, maar niet voorgoed onmogelijk gemaakt. De omstandigheid kan zich immers voordoen dat de in het DIS opgenomen gegevens al dan niet in combinatie met andere gegevens door de NZa dan wel door andere partijen, indien deze gegevens aan hen worden verstrekt, tot de persoon te herleiden zijn. Dat betekent dat de in het DIS opgenomen gegevens als persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (hierna: Wbp) moeten worden aangemerkt en de verwerking ervan onder de werking van de daarvoor geldende wet en regelgeving valt, aldus – telkens – de AP.
2.8.
Op kamervragen omtrent de ROM-praktijk van SBG heeft de Minister van VWS op 23 maart 2017 geantwoord, zakelijk weergegeven, dat de aan SBG aangeleverde database geen op de persoon te herleiden gegevens bevat, juist gezien de dubbele eenwegpseudonimisering van die gegevens vóór die aanlevering. Ook heeft die Minister geantwoord dat uit het onder 2.7 omschreven rapport van de AP voortvloeit dat dubbel pseudonimiseren geen anonimisering inhoudt maar een veiligheidsmethode om privacyrisico’s te verkleinen en dat dus voor de verwerking van (dubbel) gepseudonimiseerde gegevens een wettelijke grondslag nodig is op basis van de Wbp.
2.9.
KDVP is een stichting die als statutair doel heeft het in en buiten rechte opkomen voor de privacy van patiënten/cliënten van psychotherapeuten, psychiaters en psychologen. LOC is een stichting die als statutair doel heeft het versterken van de maatschappelijke positie en de rechtspositie van cliënten in de zorg in de ruimste zin van het woord.
2.10.
[eiseres 3] en [eiseres 4] zijn (al dan niet voormalige) cliënten van GGZ-zorgverleners. Op hun zorgtrajecten betrekking hebbende gegevens zijn (in elk geval in het verleden) betrokken in de ROM-activiteiten van SBG.
2.11.
[eiseres 3] heeft onlangs een handhavingsverzoek gedaan aan de AP ten aanzien van SBG, stellende dat deze in strijd met de Wbp handelt. De AP is daarop eind mei 2017 een onderzoek gestart naar SBG, waartoe zij SBG (door middel van een lijst met 40 vragen) heeft verzocht informatie te verschaffen omtrent haar handelwijze.
4 De beoordeling
4.1.
Eiseressen stellen dat de wijze waarop SBG haar ROM-activiteiten ontplooit strijdt met het recht op bescherming van het privéleven in de zin van artikel 8 Europees Verdrag voor de Rechten van de mens en de fundamentele vrijheden (EVRM) en de artikelen 7 en 8 van het Handvest van de Grondrechten van de Europese Unie (Handvest). Meer bepaald beroepen zij zich op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: de Richtlijn), alsmede op de Wbp. Zij stellen dat de aan SBG aangeleverde en door haar verwerkte gegevens persoonsgegevens betreffen in de zin van de Richtlijn en de Wbp, zodat het handelen van SBG aan de desbetreffende wettelijke voorschriften dient te voldoen, hetgeen niet het geval is. Dat klemt temeer nu het gaat om gegevens betreffende de gezondheid, waarvoor verzwaarde eisen gelden en bovendien is niet voldaan aan de door SBG in acht te nemen beginselen van proportionaliteit en subsidiariteit omdat de verwerking van de gegevens niet bijdraagt aan de doelstellingen van de verwerking daarvan. Evenmin is voldaan aan het voorschrift dat SBG de betrokken patiënten goed en volledig informeert over de verwerking van hun gegevens, aldus - telkens - eiseressen.
4.2.
SBG heeft zich onder meer verweerd met de navolgende stellingen.
4.2.1.
KDVP en LOC kunnen niet worden ontvangen in hun vorderingen omdat zij niet voldoen aan de vereisten die daartoe gelden uit hoofde van artikel 3:305a Burgerlijk wetboek (BW): zij vertegenwoordigen onvoldoende de doelgroep wiens belangen zij zeggen te behartigen en zij hebben niet voldaan aan de eis dat zij, alvorens hun rechtsvordering in te stellen, hebben getracht in overleg met SBG het gevorderde door overleg te bereiken.
4.2.2.
Alle eiseressen kunnen bovendien niet worden ontvangen in hun vorderingen omdat de materie waarop het geschil betrekking heeft, te complex is om in kort geding te kunnen worden beoordeeld.
4.2.3.
Datzelfde geldt op de grond dat die kwestie op naar verwachting voldoende korte termijn zal worden beoordeeld door het desbetreffende bestuursrechtelijk verantwoordelijke orgaan, de AP, gezien het door haar gestarte onderzoek. Diverse bepalingen uit de Wbp geven de AP de mogelijkheid om ten aanzien van de werkwijze van SBG in te grijpen, zo zij daar aanleiding toe mocht zien. Een dergelijk bestuursrechtelijk traject dient hier te prevaleren.
4.2.4.
Datzelfde geldt op de grond dat eiseressen geen spoedeisend belang hebben bij hun vorderingen, omdat de in geding zijnde handelwijze van SBG een lange wordingsgeschiedenis kent zodat van eiseressen mag worden verlangd het oordeel in een bodemprocedure af te wachten, deze handelwijze onderwerp is van onderzoek door het Ministerie van VWS en de AP, met die handelwijze meerdere zwaarwegende belangen zijn gemoeid en ingrijpen daarin niet lichtvaardig mag gebeuren, de standpuntbepaling door de AP op korte termijn verwacht mag worden en de stakeholders in de GGZ doende zijn te overleggen over een alternatieve wijze van benchmarken.
4.3.
Eiseressen hebben de juistheid van al deze verweren weersproken, stellende dat KDVP en LOC in voldoende mate kunnen worden aangemerkt als vertegenwoordigers van de doelgroep wiens belangen zij behartigen en dat zij in voldoende mate het overleg met SBG hebben gezocht, waarbij echter van meet af aan duidelijk was dat SBG niet aan het gevorderde wilde meewerken. Ook hebben zij gesteld dat het onderzoek door de AP naar verwachting nog wel een jaar kan duren alvorens de AP haar oordeel geeft, reden waarom het bestuursrechtelijke kanaal hier onvoldoende soulaas biedt om op afzienbare tijd het gevorderde te bereiken, zodat de zaak aan de burgerlijke voorzieningenrechter kan worden voorgelegd.
4.4.
De voorzieningenrechter laat de juistheid van de bedoelde verweren en de daarop gegevens reactie in het midden, omdat die verweren - zo zij slagen – tot afwijzing van de vorderingen moeten leiden en de voorzieningenrechter hoe dan ook tot die afwijzing komt op grond van de beoordeling van de overige - meer inhoudelijke - stellingen van partijen, zoals volgt uit het navolgende.
4.5.
Naar volgt uit de Richtlijn en de Wbp zijn de daarin vervatte regels slechts van toepassing indien er sprake is van persoonsgegevens in de definitie die de (in zoverre gelijkluidende) Richtlijn en de Wbp daaraan geven. Die definitie vereist, aldus artikel 1 sub a in verbinding met artikel 2 van de Wbp, dat het gaat om een gegeven ‘dat betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon’. Van een geïdentificeerde persoon is sprake indien de gegevens zelf de identiteit van de betrokken persoon bevatten, zoals diens naam en adres. Tussen partijen staat vast dat zich dat geval hier niet voordoet.
4.6.
Ook in het geval van een identificeerbare persoon is echter de Wbp van toepassing. Blijkens de Richtlijn en de (wetsgeschiedenis van de) Wbp komt het bij de vraag of de gegevens kunnen worden herleid tot de identiteit van de betrokken persoon, aan op (de combinatie van de gegevens en) alle - wettelijk toegestane - middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om de betrokken persoon te identificeren.
4.7.
Die herleidbaarheid kan zijn gelegen in het ongedaan kunnen maken van de versleuteling van de gegevens. Tussen partijen staat ook vast dat hier van een dergelijke directe herleidbaarheid geen sprake is, gezien de onomkeerbaarheid van de toegepaste dubbele eenwegpseudonimisatie.
4.8.
Die herleidbaarheid kan evenwel ook zijn gelegen in het op indirecte wijze kunnen identificeren van de betrokken persoon, door de gegevens met andere gegevens (samenhangend met de genoemde ‘middelen’) te combineren. Partijen strijden eerst en vooral over de vraag of hier sprake is van een dergelijke vorm van indirecte herleidbaarheid. Eiseressen stellen dat hier van een dergelijke herleidbaarheid sprake is. SBG ontkent dat.
4.9.
Eiseressen stellen in dit verband het volgende:
- -
de herleidbaarheid volgt uit de combinatie van de aangeleverde gegevens (zoals iemands geboorteland en woonplaats) met informatie die via social media kan worden verkregen;
- -
een medewerker van SBG die een individuele patiënt kent en weet waar die patiënt woont, kan met behulp van de SBG-postcodegegevens de identiteit van die patiënt achterhalen;
- -
de herleidbaarheid volgt ook uit de combinatie van de SBG-gegevens met de gegevens waarover het CBS beschikt, zoals het aantal mannen en vrouwen per postcodegebied, hun indeling in leeftijdscategorieën van telkens vijf jaar, het aantal allochtonen en de samenstelling van huishoudens;
- -
ook volgt die herleidbaarheid uit de combinatie van de SBG-gegevens met de gegevens waarover zorgverzekeraars beschikken, zoals iemands geboortejaar, geslacht, postcodegebied, DBC-trajectnummer en de DBC-start- en -einddatum;
- -
ook volgt die herleidbaarheid uit de combinatie van de SBG-gegevens met het zorgtrajectnummer en het koppelnummer waarover de zorgaanbieder beschikt;
- -
wat de ‘doenlijkheid’ van de herleiding betreft, moet niet worden uitgegaan van de capaciteiten van een willekeurige derde maar van die van een slim statisticus;
- -
uit het rapport van de AP omtrent de DIS-gegevens van de NZa van 13 april 2015, waarvan de omstandigheden vergelijkbaar zijn met deze zaak, volgt dat ook hier van persoonsgegevens in de zin van de Wbp sprake is op grond van herleidbaarheid.
4.10.
SBG heeft daar het volgende tegenovergesteld:
- -
van de gestelde herleidbaarheid op basis van iemands postcode, geboorteland en leefsituatie/opleiding is reeds geen sprake aangezien de aangeleverde gegevens geen postcodes, geboortelanden en gegevens omtrent leefsituatie en opleiding (meer) bevatten, maar slechts een indeling in de onder 2.5 genoemde vijfledige urbanisatieschaal, de drieledige herkomstschaal en de vijfledige sociaaleconomische-statusschaal;
- -
datzelfde geldt voor het koppelnummer, DBC-trajectnummer en zorgtrajectnummer, die voor aanlevering onomkeerbaar zijn gepseudonimiseerd door ZorgTTP en na afsluiting van het zorgtraject worden gerandonimiseerd;
- het beroep op het rapport van de AP omtrent de DIS-gegevens van de NZa van 13 april 2015 faalt, omdat die zaak niet vergelijkbaar is met deze zaak; in die DIS-zaak is namelijk sprake van speciale CBS-pseudoniemen die herleiding door het CBS mogelijk maken, omdat het CBS over de sleutel terug beschikt; ook gaat de vergelijking mank omdat in de DIS-zaak, anders dan in deze zaak, sprake is van een aangeleverd (niet gepseudonimiseerd) koppelnummer;
- voor zover in het verleden niet-eenweg-gepseudonimiseerde nummerreeksen aan SBG zijn aangeleverd, zijn die met terugwerkende kracht alsnog alle eenweg-gepseudonimiseerd met vernietiging van de backupbestanden van die gegevens;
- de bevoegdheden die intern gelden voor de medewerkers van ZorgTTp en SBG en de bevoegdheden die onderling gelden tussen de bij de ROM-werkzaamheden betrokken stakeholders zijn strikt contractueel vastgelegd;
- gelet op een en ander en ook overigens is er hier geen sprake van dat met de redelijkerwijs in te zetten - wettelijk toegestane - middelen zoals onder 4.6 omschreven tot de indirecte herleiding van een individuele patiënt kan worden gekomen.
4.11.
Er mag hier slechts op het punt van de indirecte herleidbaarheid van het gelijk van eiseressen worden uitgegaan, indien in zodanig grote mate waarschijnlijk is dat zij op dat punt in een bodemgeding gelijk zullen krijgen dat het verantwoord is daarop in dit kort geding vooruit te lopen. Dat geval doet zich naar het oordeel van de voorzieningenrechter niet voor. Als onweersproken gesteld staat immers vast dat de aan SBG aangeleverde gegevens (in de huidige praktijk) niet gegevens omtrent postcode, geboorteland en leefsituatie/opleiding bevatten, maar een aan die gegevens ontleende (veralgemeniseerde) indeling in een drie- dan wel vijfledige schaal, zoals hiervoor omschreven. Ook staat hier als onweersproken vast dat het koppelnummer, DBC-trajectnummer en zorgtrajectnummer vóór aanlevering onomkeerbaar zijn gepseudonimiseerd en dat - voor zover dat in het verleden anders was - die pseudonimisering met terugwerkende kracht alsnog is uitgevoerd. Voor zover eiseressen zich in de toelichting op hun stellingen hebben gebaseerd op de bedoelde gegevens (postcode, geboorteland, leefsituatie/opleiding, koppelnummer, DBC-trajectnummer en zorgtrajectnummer) strookt die toelichting daarom niet met de door SBG gehanteerde praktijk. De stelling van eiseressen dat de zorgaanbieders of de zorgverzekeraars met de aan hen ter beschikking staande gegevens de aan SBG aangeleverde gegevens kunnen herleiden tot een te identificeren patiënt is bovendien onvoldoende toegelicht. Voor zover het gaat om gegevens die reeds aan de zorgaanbieder of de zorgverzekeraar bekend waren (ook: gegevens omtrent de identiteit van een patiënt) uit hoofde van de tussen hen en de patiënt bestaande rechtsverhoudingen (de behandelovereen-komst dan wel de verzekeringsovereenkomst), kan zonder nadere toelichting, die ontbreekt, niet worden aangenomen dat van de gestelde herleidbaarheid (in de hier relevante zin) sprake is. Voor zover eiseressen bedoeld hebben te stellen dat de aan SBG aangeleverde gegevens (al dan niet na verdere bewerking door SBG) het inhoudelijke kader van de reeds bij henzelf bekende gegevens te buiten gaan en dat de gestelde herleiding hen daarom meer informatie omtrent de patiënt oplevert dan zij al hadden, moet aan de stelling worden voorbijgegaan. Niet is immers gesteld om welke ‘extra’ informatie het gaat en op welke wettelijk toegestane wijze de zorgaanbieder of de zorgverzekeraar die (van SBG) kan verkrijgen. Daarbij is van belang dat SBG, naar zij onvoldoende weersproken heeft gesteld, slechts rapportages met algemene, geaggregeerde, data verstrekt aan wie bij haar is aangesloten.
4.12.
Dat de aan SBG aangeleverde gegevens indirect herleidbaar zijn tot een te individualiseren patiënt, door die gegevens te combineren met andere gegevens die door wettige middelen redelijkerwijs te verkrijgen zijn, is niet uitgesloten, maar is bij deze stand van zaken onvoldoende aannemelijk om daarop in kort geding vooruit te lopen. Daarbij telt dat de vraag naar die indirecte herleidbaarheid niet eenvoudig van aard is, nu het antwoord erop een gedetailleerde beoordeling vergt van de precieze inhoud van hetgeen door een instantie aan gegevens wordt geregistreerd en de wijze van registratie, alsmede een adequaat zicht op de zich steeds verder ontwikkelende (informatie-)technologische middelen die ter identificering van de betrokken persoon kunnen worden ingezet. Anders dan aan de hand van de onder 4.9 en 4.10 weergegeven stellingen - die, zoals onder 4.11 overwogen, niet tot het gelijk van eiseressen leiden - heeft het partijdebat in dit kort geding op dit punt geen vorm gekregen. Ook daarom komt de voorzieningenrechter hier niet tot een ander oordeel.
4.13.
Anders dan eiseressen hebben aangevoerd leidt ook het rapport van de AP inzake de DIS-gegevens van de NZa niet tot een ander oordeel, reeds gezien het verweer van SBG dat in die zaak wel van een omkeerbare pseudonimisatie sprake is. In het beperkte bestek van dit geding kan niet worden uitgemaakt welke partij op dat punt gelijk heeft. Dat telt hier in het nadeel van eiseressen, omdat de gegrondheid van hun vorderingen en dus van hun stellingen moet worden beoordeeld.
4.14.
Voorts dient nog de (ter zitting ingenomen) stelling van eiseressen beoordeeld te worden dat ook zonder dat er sprake is van directe of indirecte herleidbaarheid in de hiervoor omschreven zijn, aan de definitie van persoonsgegevens in de zin van de Richtlijn en de Wbp kan zijn voldaan, namelijk wanneer de geregistreerde gegevens herleidbaar zijn tot één bepaald individu, ook zonder dat diens identiteit kan worden herleid. Dit betreft het zogenaamde ‘singling out’.
4.15.
SBG heeft die stelling weersproken, waarop ter zitting over dit punt is gedebatteerd. Partijen hebben daarbij aandacht besteed aan het (overgelegde) advies van het Europese adviesorgaan dat is ingesteld krachtens artikel 29 van de Richtlijn (hierna: Groep 29) van 10 april 2014, het rapport van de AP van 13 april 2016 inzake de DIS-kwestie en de jurisprudentie van het HvJEU, met name de uitspraak in de zaak Breyer / Duitsland, ECLI:EU:C:2016:779. SBG heeft daarbij nog aangevoerd dat het begrip ‘singling out’ bewust niet als apart criterium om als beschermbare persoonsgegevens te kunnen gelden is opgenomen in de nieuwe EU-richtlijn (nummer 2016/679) op het vlak van gegevensbescherming, de in mei 2018 van toepassing wordende Algemene Verordening Gegevensbescherming (hierna AVG).
4.16.
Bij de beoordeling van deze kwestie stelt de voorzieningenrechter voorop dat krachtens de toepasselijke regelgeving, zowel de thans geldende Richtlijn en de Wbp, alsook krachtens de AVG, als persoonsgegevens in de wettelijke zin gelden gegevens omtrent geïdentificeerde of identificeerbare personen. Daarbij worden als identificeerbaar beschouwd personen die direct of indirect kunnen worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. Met deze definitie strookt dat de desbetreffende personen op basis van de geregistreerde gegevens en de daarmee te combineren andere gegevens (door het bekend worden van hun naam óf anderszins) aanwijsbaar worden. De situatie waarin komt vast te staan dat bepaalde gegevens bij één bepaalde persoon behoren zonder dat die persoon in de bedoelde zin kan worden aangewezen (de singling-outsituatie) valt daar niet zonder meer onder.
4.17.
Anders dan eiseressen stellen, zijn er - in het beperkte kader van dit kort geding - niet voldoende feiten en omstandigheden gesteld of gebleken waaruit volgt dat de singling-outsituatie desondanks wél onder het hier relevante begrip ‘persoonsgegevens’ valt. SBG heeft in dat verband terecht gewezen op het feit dat het begrip ‘singling out’ als zelfstandig criterium voor de toepasselijkheid van gegevensbescherming niet in de AVG is opgenomen (net zo min als het is opgenomen in de Richtlijn of de Wbp), omdat die opname op bezwaar stuitte van de Europese wetgever, welk bezwaar door de Nederlandse wetgever werd gedeeld. Waar de opname van het begrip ‘singling out’ een ruime interpretatie zou betekenen van hetgeen in de rechtspraktijk onder de noemer ‘persoonsgegevens’ in de zin van de Richtlijn en de Wbp wordt begrepen, wijst het bedoelde bezwaar er niet op dat die ruime uitleg thans geldt of voor de toekomst is beoogd.
4.18.
Deze slotsom lijkt overeen te stemmen met de jurisprudentie van het HvJEU. Het hof heeft in de genoemde zaak Breyer / Duitsland bij wijze van prejudicieel oordeel uitgesproken dat een dynamisch internetprotocoladres (IP-adres) dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder een persoonsgegeven in de hier relevante wettelijke zin vormt, wanneer die aanbieder beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust. Naar uit die uitspraak volgt vormt het dynamische (tijdelijke) IP-adres van de gebruiker voldoende basis om (met gebruikmaking van de gegevens waarover de internetprovider van de gebruiker beschikt) de identiteit van de gebruiker vast te stellen. Dat wijst erop dat dat dynamische adres reeds op zichzelf bezien een singling-outfunctie vervult. Wanneer reeds daarom sprake zou zijn van persoonsgegevens in de hier relevante wettelijke zin, zou het voor de toepasselijkheid van de Richtlijn en de daarop gebaseerde nationale wet overbodig zijn om (zoals het hof heeft gedaan) te beoordelen of het herleiden van de dynamische IP-adresgegevens en de bezoekgegevens tot een bepaalde geïdentificeerde persoon (met gebruikmaking van de door de internetprovider gehouden gegevens), valt aan te merken als een middel waarvan mag worden aangenomen dat het redelijkerwijs kan worden ingezet om de betrokken persoon te identificeren.
4.19.
Het beroep van eiseressen op het voornoemde advies van Groep 29 en het rapport van de AP van 13 april 2016 in de DIS-kwestie leidt de voorzieningenrechter niet tot een ander oordeel. Dat advies bevat een analyse van de doeltreffendheid en de beperkingen van bestaande anonimiseringstechnieken, door ze te toetsen aan het EU-rechtskader inzake gegevensbescherming. Daarbij neemt Groep 29 tot uitgangspunt dat krachtens de Richtlijn anonimisering dient te bewerkstelligen dat elke mogelijkheid tot identificatie van betrokken personen onherroepelijk wordt uitgesloten en dat daarbij dient te worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enige andere derde in te zetten zijn om een persoon te identificeren. Tegen de achtergrond van dat uitgangspunt wordt vervolgens in het rapport uitgebreid de deugdelijkheid van de diverse anonimiseringstechnieken besproken op het punt van herleidbaarheid (de mogelijkheid om een persoon te individualiseren, mogelijk zonder de identiteit te kunnen vaststellen), koppelbaarheid (de mogelijkheid om records in verband te brengen met een persoon) en deduceerbaarheid (de mogelijkheid om persoonsgebonden informatie af te leiden). Ook gaat het rapport in op de vraag met welke (combinatie van) technieken het beoogde beschermingsdoel kan worden bereikt en welke misverstanden er in dat verband in de praktijk leven. In de aanbevelingen van Groep 29 aan het einde van het rapport, is vermeld dat geen van de besproken technieken met zekerheid aan de drie criteria voor een doeltreffende anonimisering voldoet, namelijk de criteria dat de drie genoemde mogelijkheden zich niet voordoen. Daarbij is evenwel vermeld “Niettemin kan deze of gene techniek sommige van die risico’s geheel of ten dele ondervangen. Het is derhalve zaak om zorgvuldig af te wegen hoe een op zichzelf staande techniek kan worden toegepast in de specifieke situatie die aan de orde is. Voorts moet worden bekeken of een combinatie van die technieken ertoe kan bijdragen het resultaat beter bestand te maken tegen privacyschendingen.” Hoewel niet kan worden uitgesloten dat Groep 29 hiermee heeft beoogd te betogen dat het wettelijke begrip persoonsgegevens mede ziet op gegevens aan de hand waarvan een persoon kan worden geïndividualiseerd, ook zonder dat die persoon (door directe of indirecte herleiding) kan worden geïdentificeerd, leest de voorzieningenrechter een dergelijk betoog niet met voldoende zeggingskracht in het rapport om op de voet daarvan in dit kort geding het persoonsgegevensbegrip aldus (verruimd) uit te leggen. Tegen die uitleg pleit dat het voor de hand had gelegen dat een dergelijk betoog uitdrukkelijker was verwoord, daar die uitleg tot in de rechtspraktijk tot dan toe niet evident was. Ook pleit daartegen dat Groep 29 haar rapport begint met het voornoemde uitgangspunt waarin het gaat om de identificeerbaarheid van de betrokken personen en Groep 29 blijkens haar bevindingen het onderscheid tussen identificeerbaarheid en individualiseerbaarheid onderkent.
4.20.
Wat het beroep van eiseressen op het rapport van de AP van 13 april 2016 aangaat, geldt het volgende. De AP heeft in deze brief de uitgangspunten en de aanbevelingen uit het rapport van Groep 29 herhaald en deze toegepast op de DIS-gegevens van de NZa. Zij heeft daarbij weliswaar ook herhaald dat anonimiseringstechnieken de mogelijkheid moeten uitsluiten om een persoon te individualiseren (‘single out’), om verschillende records in verband te brengen met een individu (‘linkability’) en om informatie over een individu af te leiden (‘inference’), maar zij heeft daarbij niet met zoveel woorden uitgesproken dat gegevens waarbij enkel van ‘singling out’ sprake is, zonder dat de betrokken persoon door directe of indirecte herleiding kan worden geïdentificeerd, onder het begrip persoonsgegevens van de Richtlijn en de Wbp vallen. Daarentegen luiden de bevindingen van de AP dat de DIS-gegevens van de NZa juist persoonsgegevens in die zin vormen omdat zij, met inachtneming van de door de NZa of anderen redelijkerwijs in te zetten middelen, (indirect) herleidbaar zijn tot de persoon. Die herleidbaarheid, aldus de AP, kan zijn gelegen in de combinatie van de (gepseudonimiseerde) DIS-gegevens (met behulp van een koppelnummer) met de bij zorgaanbieders bekende gegevens, of door combinatie van die DIS-gegevens met bij het CBS bekende gegevens. Naar voor de hand ligt (en - wat dit geding aangaat - niet door tegenaanwijzingen wordt ontkracht) doelt de AP daarbij op herleidingsmogelijkheden waarbij de identiteit van de betrokken persoon blijkt. Ook in het rapport van de AP is daarom naar het oordeel van de voorzieningenrechter onvoldoende grond te vinden om het geschilpunt van de ‘singling out’ hier, vooruitlopend op een oordeel in een bodemgeding, te beslechten in de door eiseressen bepleite zin.
4.21.
Uit al het voorgaande volgt dat binnen de hier geldende maatstaf niet voldoende aannemelijk is geworden dat sprake is van persoonsgegevens in de zin van de Richtlijn en de Wbp. Daarom is hier evenmin voldoende aannemelijk geworden dat de ROM-praktijk van SBG onderworpen is aan de desbetreffende wettelijke regels. De op de andersluidende stellingen gebaseerde vorderingen van eiseressen moeten reeds daarom worden afgewezen. Voor zover eiseressen hebben beoogd hun vorderingen op zelfstandige basis te baseren op de genoemde bepalingen uit het EVRM en het Handvest (zoals onder 4.1 aangeduid), ook voor het geval de voorzieningenrechter tot het hiervoor gegeven oordeel komt, moeten de vorderingen ook in zoverre worden afgewezen, omdat zij (buiten het kader van de Richtlijn en de Wbp) niet zijn onderbouwd.
4.22.
Nu met hetgeen hiervoor is overwogen alle vorderingen worden afgewezen, behoeven de overige verweren van SBG geen bespreking meer.
4.23.
Eiseressen zullen als de in het ongelijk gestelde partij worden veroordeeld in de proceskosten van SBG. De kosten aan de zijde van SBG worden begroot op:
- griffierecht € 618,00
- salaris advocaat 816,00
Totaal € 1.434,00.
.jpg?width=50&height=55)
.jpg?width=50&height=55)
