Niels van den Burg

Privacy

/

21.05.2025

NZa mocht in 2023 HoNOS+- gegevens over cliënten in de GGZ opvragen bij zorgaanbieders

De Nederlandse Zorgautoriteit (NZa) heeft behandelaren in de geestelijke gezondheidszorg (GGZ) in 2023 eenmalig verplicht de antwoorden op zogenaamde HoNOS+-vragenlijsten over hun cliënten aan te leveren bij de NZa. De verplichting dit te doen is opgenomen in artikel 4.2, vierde lid, van de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a) zoals die gold vanaf 17 januari 2023 tot en met 31 december 2023 (hierna: de Regeling 2023).

De HoNOS+-vragenlijst bevat negentien vragen over de sociale en psychische problematiek bij de cliënt. De behandelaar moet een score geven over de ernst van de problemen. De NZa heeft de antwoorden op deze vragen verwerkt in een algoritme dat kan voorzien in een zogenoemde zorgvraagtypering. De zorgvraagtypering is bedoeld om beter inzicht te geven in de zorgvraag en problematiek van de patiënt, zodat tot een betere inzet van zorg kan worden gekomen. De zorgvraagtypering is onderdeel van het zorgprestatiemodel. Het zorgprestatiemodel is het nieuwe bekostigingsstelsel voor de geestelijke gezondheidszorg en forensische zorg dat op 1 januari 2022 is ingevoerd door de Nederlandse wetgever.

Verschillende partijen hebben zich verzet tegen het opvragen van de HoNOS+-gegevens, omdat zij veelal vinden dat de HoNOS+-gegevens persoonsgegevens bevatten en dat het opvragen en verwerken daarvan door de NZa in strijd is met de artikelen 5 en 6 van de Algemene Verordening Gegevensbescherming (AVG). Ook menen zij dat de NZa een ernstige inbreuk maakt op het recht op bescherming van de persoonlijke levenssfeer van cliënten in de GGZ (artikel 8 Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, hierna: het EVRM, en artikel 10 van de Grondwet). Tegelijkertijd worden behandelaren in de GGZ gedwongen om hun medisch beroepsgeheim te overtreden.

Nadat de voorzieningenrechter in november 2023 had geoordeeld dat onvoldoende aannemelijk was gemaakt dat de verplichting tot het leveren van de HoNOS+-gegevens en de verwerking daarvan evident in strijd is met het recht en daardoor gestaakt zou moet worden, was het wachten op de uitkomst van de bodemprocedure.

Op 23 april 2025 heeft de rechtbank Midden-Nederland vonnis gewezen. Naar het oordeel van de rechtbank mocht de NZa in 2023 HoNOS+-gegevens over cliënten in de GGZ opvragen bij zorgaanbieders en deze verwerken ten behoeve van het zorgprestatiemodel. De gegevens zijn – zo ligt de rechtbank toe – geen persoonsgegevens en zijn niet direct of indirect herleidbaar tot individuen. Voor de NZa is volgens de rechtbank in de praktijk onmogelijk om de anonieme HoNOS+-gegevens te herleiden tot een individu, ook niet nadat deze gekoppeld zouden worden aan de gepseudonimiseerde declaratiedata. Er bestaan voor de NZa geen middelen, waarvan redelijkerwijs te verwachten is dat zij deze gaat gebruiken, om personen te identificeren. Daardoor is de AVG niet van toepassing op het opvragen en verwerken van de HoNOS+-gegevens. De NZa heeft niet in strijd met het recht (waaronder de AVG, de Grondwet en het EVRM) gehandeld tegenover de cliënten in de GGZ. De behandelaren schenden hun medisch beroepsgeheim niet door het verstrekken van de HoNOS+-gegevens aan de NZa.

Hoewel het oordeel logisch en goed navolg baar is, is het anderzijds wel opvallend dat deHoNOS+-gegevens voor de NZa geen persoonsgegevens zijn in de zin van de AVG. Immers, de NZa heeft zelf bij het opstellen van de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a) uitdrukkelijk advies gevraagd aan de Autoriteit Persoonsgegevens (AP) over de vraag of de Regeling strijdig was met de AVG. De AP was (in tweede instantie) ook bepaald kritisch op de regeling en stelde in haar advies van 7 oktober 2022:

De AP acht de verplichting om Honos+ gegevens aan te leveren in zijn huidige vorm niet rechtmatig;
– het verwerkingsdoel ‘ontwikkeling van zorgvraagtypering’ is daarvoor onvoldoende nauwkeurig bepaald;
– daarvoor zouden ten minste de concrete ontwikkeldoelen- en fasen zorgvuldig en nauwkeurig vastgelegd moeten zijn, zodat per ontwikkelfase duidelijk wordt in welke mate en voor welk exact doel Honos+ gegevensin die fase (nog) noodzakelijk zijn;
– en moet de verwerping van overwogen alternatieven beter kunnen worden gemotiveerd;
– het belang dat gemoeid is met ontwikkeling van een adequaat stelsel van zorgvraagtypering is dermate groot dat verwerking van bijzonder gevoelige gegevens daarvoor wel gerechtvaardigd kan zijn;
– dat vraagt dan naast voor welbepaaldheid van het doel en onderbouwing van de noodzaak van verwerking in deze omvang nog aandacht voor duidelijkheid op het punt van de looptijd van de verplichte aanlevering (horizonbepaling) en aanvang van bewaartermijnen;
– en voor de informatiepositie van betrokkenen, de waarborgen tegen koppeling en voor beveiliging.

Dat de HoNOS+-gegevens voor de NZa uiteindelijk in rechte geen persoonsgegevens in de zin van de AVG blijken te zijn, zal voor eisers vermoedelijk wel als een verrassing zijn gekomen. Het oordeel is mede gebaseerd op de waarborgen die de NZa stelt te hebben getroffen (zoals het feit dat de NZa de gegevens niet zal koppelen aan de van de zorgverzekeraars verkregen of te verkrijgen declaratiegegevens) en het vertrouwen dat de NZa deze waarborgen ook in acht zal blijven nemen. Vermoedelijk was dat wel een punt waar eisers bedenkingen bij hadden. De NZa heeft – zo volgt uit het vonnis – evenwel aangegeven dat zij de verzamelde HoNOS+-gegevens op 13 februari 2025 heeft vernietigd en niet aan derden heeft verstrekt. Daarnaast heeft de NZa de opdracht verstrekt om de laatste back-ups te vernietigen. Dit zal op 12 mei 2025 en op 12 juni 2025 worden gedaan. Daarmee lijkt niet het praktische belang voor eisers bij een eventueel hoger beroep te zijn vervallen.