De Nederlandse Zorgautoriteit mocht in 2023 gegevens van patiënten in de geestelijke gezondheidszorg opvragen en verwerken. Het opvragen en verwerken van zogenoemde HoNOS+-gegevens was niet in strijd met het recht. Dat oordeelt de rechtbank Midden-Nederland in een massaclaimzaak op grond van de WAMCA (Wet afwikkeling massaschade in collectieve actie). Drie belangenorganisaties spanden namens alle cliënten en behandelaars in de GGZ deze collectieve zaak aan tegen de zorgautoriteit, samen met enkele individuele eisers.
Sinds 1 januari 2022 heeft de Nederlandse wetgever een nieuw bekostigingsstelsel ingevoerd voor de geestelijke gezondheidszorg (GGZ) en forensische zorg, ook wel het zorgprestatiemodel genoemd. Behandelaren in de GGZ moesten in 2023 eenmalig de antwoorden op vragenlijsten over hun cliënten aanleveren aan de Nederlandse Zorgautoriteit (NZa). De anonieme vragenlijst bevatte negentien vragen over de sociale en mentale gesteldheid van de cliënt. De behandelaar moest een score geven over de ernst van de problematiek. De NZa verwerkte deze zogenoemde HoNOS+-gegevens. De behandelaar bepaalde vervolgens op basis van de antwoorden welk type zorg passend kan zijn voor de cliënt en werd daarbij geadviseerd over een mogelijke behandelwijze door het algoritme achter de vragenlijst.
De eisers vinden dat de gegevens over hun (geestelijke) gezondheid persoonsgegevens bevatten en dat het opvragen en verwerken daarvan door de NZa in strijd is met de Algemene Verordening Gegevensbescherming (AVG). Ook menen zij dat de NZa een ernstige inbreuk maakt op het recht op bescherming van de persoonlijke levenssfeer van cliënten in de GGZ. Daarnaast worden behandelaren volgens de eisers gedwongen hun medisch beroepsgeheim te overtreden. Zij willen dat de rechtbank vaststelt dat de NZa in strijd met het recht heeft gehandeld door de gegevens op te vragen en te verwerken. Ook willen zij dat het de NZa wordt verboden om de gegevens in de toekomst op te vragen en te verwerken én dat de NZa de bestaande gegevens vernietigt.
De rechtbank wijst de vorderingen van de eisers af. Het opvragen en verwerken van de gegevens is niet in strijd met het recht. De rechtbank stelt vast dat de gegevens anoniem zijn. Er staan geen identificeerbare gegevens op die betrekking hebben op cliënten, zoals namen, adresgegevens en burgerservicenummers. De ingevulde vragenlijsten bevatten alleen aangekruiste scores als antwoorden op de vragen en zijn daarmee niet te herleiden naar een individu. Ook is het niet mogelijk om de HoNOS+-gegevens te koppelen aan andere gegevens waarover de NZa beschikt om zo alsnog een individu te identificeren. Daarmee is de AVG niet van toepassing bij het opvragen en verwerken van de gegevens. De rechtbank heeft begrip heeft voor cliënten die een onveilig gevoel ervaren doordat er vragenlijsten over hun mentale gesteldheid zijn ingevuld en gedeeld met de NZa. Maar, omdat de gegevens anoniem zijn, loopt de privacy van de cliënten geen gevaar. Daarnaast is het in het belang van de samenleving dat het zorgprestatiemodel op deze wijze wordt doorontwikkeld. Tot slot is de rechtbank van oordeel dat de behandelaren hun medisch beroepsgeheim niet schenden door de gegevens te delen. Behandelaren hebben namelijk de wettelijke verplichting om deze gegevens met de NZa te delen. De behandelaar mag zijn medisch beroepsgeheim daardoor doorbreken, ook zonder toestemming van de cliënt.
Het wordt de NZa op dit moment niet verboden om in de toekomst de gegevens op te vragen. Daarvoor bestaat op dit moment geen wettelijke regeling waardoor de rechtbank hierover niet kan oordelen. Daarnaast hoeft de NZa de bestaande gegevens niet te vernietigen. De NZa heeft echter laten weten dat zij de verzamelde gegevens al heeft vernietigd. De back-ups daarvan zullen op zeer korte termijn worden vernietigd.
