CBP onderzoekt DIS-gegevens bij NZa - pseudonimiseren is niet anonimiseren

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) bevestigt dat het onderzoek doet naar de verwerking van DIS-gegevens door NZa. De Nederlandse Zorgautoriteit (NZa) heeft na aankondiging van een onderzoek door het CBP bekend gemaakt voorlopig te stoppen met het leveren van gegevens uit het Diagnose Informatie Systeem (DIS) aan derden.

Het CBP stelt vast dat in DIS (bijzondere) persoonsgegevens worden verwerkt. De verwerking van deze gegevens dient daarom te voldoen aan de eisen van de Wet bescherming persoonsgegevens. De in het DIS opgenomen gegevens zijn zodanig bewerkt dat de herleidbaarheid tot het individu wordt beperkt, maar niet voorgoed onmogelijk wordt gemaakt. Daarmee blijven het persoonsgegevens. In 2014 gaf de Artikel 29-Werkgroep van Europese privacytoezichthouders in een opinie aan dat een belangrijke factor bij het anonimiseren is dat de verwerking onomkeerbaar moet zijn. De opinie maakt duidelijk dat pseudonimiseren geen anonimiseringsmethode is, maar slechts een beveiligingsmaatregel om privacyrisico’s te verkleinen.

Het CBP kan lopende het onderzoek geen verdere uitspraken doen over de inhoud en details van het onderzoek.