Het gaat om twee zaken die zijn aangespannen door de burgerrechtenbeweging Vrijbit tegen de Autoriteit Persoonsgegevens (AP). Eén zaak gaat over het onrechtmatig gebruik van een gedragscode voor het verwerken van medische persoonsgegevens door zorgverzekeraars. Die is in 2013 door de rechtbank van Amsterdam onrechtmatig verklaard. Vrijbit heeft er, volgens de website Privacy Barometer, bij de AP herhaaldelijk op aangedrongen een einde te maken aan het gebruik van deze gedragscode. De privacywaakhond verklaarde echter dat zorgverzekeraars zich wel houden aan de wettelijke regels houden. De rechter heeft de AP in het tussenvonnis acht weken de tijd gegeven om dit beter te onderbouwen.
DIS is onvoldoende anoniem
De tweede zaak gaat over het landelijk DBC-informatiesysteem (DIS). De persoonsgegevens worden hierin onvoldoende geanonimiseerd. Het is voor zorgpartijen mogelijk om de identiteit van personen te achterhalen. De AP heeft dit ook erkend, maar nam genoegen met de toezegging van de Nederlandse Zorgautoriteit (NZa) om haar werkwijze aan te passen. De recht vindt dit niet zorgvuldig en wil dat de AP binnen acht weken controleert of de werkwijze van de NZa echt wettelijk klopt.
Juridische strijd kan nog lang duren
Vrijbit laat op de eigenwebsite weten verheugd te zijn met de erkenning van de rechter dat de AP onvoldoende handhavend optreedt. Maar is minder ingenomen dat de werkwijze van de NZa en zorgverzekeraars ongewijzigd is. De juridische procedure kan ook nog lang gaan duren. De AP kan na een definitieve uitspraak nog in hoger beroep bij de Raad van State en een bindende uitspraak van het Europese Hof van de rechten van de Mens duurt nog langer.