AP berispt Akwa GGZ
Akwa GGZ heeft vanaf begin 2019 een set gezondheidsgegevens overgenomen van Stichting Benchmark GGZ (SBG). Die gegevens waren echter niet voldoende geanonimiseerd. De privacywet verbiedt het verwerken van persoonsgegevens over de gezondheid omdat deze gevoelige informatie geven over een persoon. Van een uitzondering op het verbod was bij deze verwerking geen sprake. Dat had gekund als Akwa en SBG instellingen voor gezondheidszorg of maatschappelijke dienstverlening zijn. Maar dat zijn ze dus niet. AP startte het onderzoek naar aanleiding van een verzoek van een persoon die stelde dat SBG haar medische gegevens had verwerkt zonder haar toestemming.
De gegevens werden verzameld in het kader van kwaliteitsonderzoek in de geestelijke gezondheidszorg. Patiënten vulden een vragenlijst waarmee GGZ-aanbieders gebenchmarkt kunnen worden op behandeleffect en klanttevredenheid. Dat levert zogeheten Routine Outcome Monitoring (ROM) data op. Die data gingen via Zorg TTP na pseudonimisering naar SBG. Uit onderzoek van de AP blijkt dat SBG geen randomisatietechnieken gebruikte toen ze de data ontving. Ook blijft de sleutel voor pseudonimisering gelijk. SBG heeft volgens de AP niet genoeg technische waarborgen getroffen om de kansen op herleidbaarheid van de gegevens weg te nemen. Daardoor zijn de data niet anoniem en wel tot de persoon herleidbaar. Akwa nam deze dataset begin 2019 over waardoor sprake was van verwerking van de gegevens.
De AP heeft alleen een berisping opgelegd aan Akwa omdat SBG inmiddels is opgeheven. En omdat Akwa de dataset in quarantaine heeft geplaatst en daarna vernietigd.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee