Pseudonimisering persoonsgegevens bij risicoverevening 
 

De invoering van het nieuwe zorgstelsel legde aan zorgverzekeraars een acceptatieplicht op. Om te voorkomen dat de financiële risico’s van verzekerde personen met een hoog gezondheidsrisico niet goed zijn gespreid, bestaat het systeem van risicoverevening tussen zorgverzekeraars. Om die risicoverevening uit te voeren, worden onder andere veel medische gegevens verzameld. Teneinde onnodig gebruik van medische persoonsgegevens te voorkomen, heeft het CBP de minister van Volksgezondheid, Welzijn en Sport geadviseerd over het pseudonimiseren van deze gegevens.
pdf documentlees de volledige uitspraak (23 KB)

Voor het uitvoeren van de risicoverevening is het niet noodzakelijk dat persoonsgegevens worden verwerkt. Wel is het in de gekozen systematiek nodig dat informatie uit verschillende bronnen kan worden gekoppeld aan één persoon en dat bekend is bij welke zorgverzekeraar hij is verzekerd. Het is daarbij echter niet nodig dat ook bekend is welke persoon hij is. De identificerende kenmerken van de verzekerde persoon worden versleuteld tot een ‘pseudo-identiteit’.

Bij toepassing van pseudonimisering is geen sprake van verwerking van persoonsgegevens als aan vier voorwaarden is voldaan:

• Er wordt vakkundig gebruik gemaakt van pseudonimisering, waarbij de eerste van de twee uitgevoerde versleutelingen van gegevens plaatsvindt bij de aanbieder van de gegevens (in casu verzekeraars, Belastingdienst en UWV);

• Er zijn technische en organisatorische maatregelen getroffen om herhaalbaarheid van de versleuteling te voorkomen;

• De verwerkte gegevens zijn niet direct identificerend; en

• Deze drie voorwaarden worden onderworpen aan periodiek te houden audits.

Daarnaast dient de pseudonimiseringsoplossing op heldere en volledige wijze te worden beschreven in een actief openbaar gemaakt document, zodat iedere betrokkene kan nagaan welke garanties de gekozen oplossing biedt.

6 maart 2007, z2006-1382

 Over het CBP
Het College bescherming persoonsgegevens (CBP) houdt - onder de Wet bescherming persoonsgegevens (Wbp) - toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Bij het CBP moet het gebruik van persoonsgegevens worden gemeld, tenzij hiervoor een vrijstelling geldt.

Het CBP adviseert de regering en organisaties over de bescherming van persoonsgegevens en onderwerpen die daarmee samenhangen. Het CBP toetst gedragscodes en bemiddelt in geschillen tussen burgers en gebruikers van persoonsgegevens. Op eigen initiatief of op verzoek van een belanghebbende kan het CBP onderzoeken of de manier waarop persoonsgegevens in een bepaalde situatie zijn gebruikt, in overeenstemming is met de wet en daaraan zo nodig gevolgen verbinden. Voor in gebreke blijven bij de melding kan een boete worden opgelegd. Bij overtreding van de wet of daarop gebaseerde regelingen kan het CBP overgaan tot bestuursdwang of een dwangsom opleggen.

 zoek
Go Search
Ik wil snel naarSnel naar
header