Vorderingen in WAMCA-zaak tegen de NZa afgewezen: antwoorden op HoNOS+-vragenlijsten zijn geen persoonsgegevens

Rb. Midden-Nederland 23 april 2025, IT 4845, LSR 2291; ECLI:NL:RBMNE:2025:1760 (Eisers tegen de Nederlandse Zorgautoriteit). WAMCA-zaak. Eisers bestaan uit individuele eisende cliënten en behandelaren en belangenorganisaties (hierna: eisers). De zaak gaat over de vraag of het opvragen van HoNOS+-gegevens en de verwerking daarvan door de Nederlandse Zorgautoriteit (hierna: de NZa) in strijd is met de AVG. De HoNOS+-vragenlijst bevat negentien vragen over de sociale en psychische problematiek bij cliënten. Behandelaren in de GGZ moesten deze in 2023 eenmalig over hun cliënten aanleveren bij de NZa. Eisers vinden dat de HoNOS+-gegevens persoonsgegevens bevatten en dat het opvragen en verwerken daarvan door de NZa in strijd is met de artikelen 5 en 6 AVG. Ook menen zij dat de NZa een ernstige inbreuk maakt op het recht op bescherming van de persoonlijke levenssfeer van cliënten in de GGZ. Eisers willen daarom dat de rechtbank voor recht verklaart dat de regeling in strijd is met hoger recht en onrechtmatig is tegenover alle cliënten in de GGZ- en GGZ-beroepsbeoefenaren. Zij eisen verder dat het de NZa wordt verboden om de HoNOS+-gegevens in de toekomst op te vragen en te verwerken. Zij vorderen ook een gebod voor de NZa om de opgevraagde en verwerkte gegevens te vernietigen. De NZa betwist dat zij handelt in strijd met het recht en bepleit afwijzing van de vorderingen. 

De vorderingen van de belangenorganisaties worden afgewezen. Het opvragen van de HoNOS+-gegevens en het verwerken van die gegevens is niet in strijd met het recht en daarom ook niet onrechtmatig tegenover cliënten in de GGZ en beroepsbeoefenaren. De NZa heeft in deze procedure gemotiveerd betwist dat sprake is van persoonsgegevens in de zin van de AVG. De HoNOS+-gegevens zijn geen direct herleidbare persoonsgegevens. De gegevens zijn anoniem, niet identificeerbaar en bevatten alleen aangekruiste scores als antwoorden. Ook indirect zijn deze niet te herleiden, ondanks dat de NZa de HoNOS+-gegevens kan koppelen aan gepseudonimiseerde declaratiegegevens waarover zij ook beschikt. De gepseudonimiseerde declaratiegegevens die de NZa ontvangt zijn al geen direct herleidbare persoonsgegevens meer. Een koppeling tussen de twee typen gegevens is daarbij verboden. Dit is geen garantie dat het niet gebeurt, maar dan nog ziet de rechtbank geen aanleiding om te denken dat de gegevens indirect te herleiden zijn. Dat is pas mogelijk als de antwoorden op een HoNOS+-vragenlijst dermate uniek zijn dat die kunnen worden gekoppeld aan declaratiegegevens die in diezelfde mate uniek zijn. Die kans is zodanig klein dat de rechtbank dat onvoldoende vindt en oordeelt dat dit geen persoonsgegevens zijn in de zin van de AVG.

Er is ook geen sprake van een schending van artikel 8 EVRM en artikel 10 van de Grondwet. De rechtbank erkent dat cliënten in de GGZ het invullen van vragenlijsten over hun psychische gesteldheid als een aanzienlijke inbreuk op hun privacy kunnen ervaren. Toch is er geen ernstige inbreuk op het recht op bescherming van de persoonlijke levenssfeer van cliënten. De inmenging dient namelijk een legitiem doel, is noodzakelijk in een democratische samenleving en de inmenging bij wet is voorzien. Eisers stellen tot slot nog dat de verplichting tot eenmalige aanlevering van HoNOS+-gegevens in strijd is met het medisch beroepsgeheim, zoals vastgelegd in artikel 7:457 BW en artikel 88 Wet BIG, en dat de Regeling 2023 daardoor onrechtmatig is. De rechtbank gaat hier niet in mee. Het medisch beroepsgeheim is geen absoluut recht en er is in dit geval een wettelijke grondslag om dit te beperken. De conclusie luidt dus dat de vorderingen van de belanghebbenden worden afgewezen. 

3.11. In theorie bestaat de (enige) mogelijkheid voor de NZa om de ontvangen gegevens indirect te herleiden tot individuen als zij nadere gegevens opvraagt bij de zorgverzekeraar. Dat is pas mogelijk als de antwoorden op een HoNOS+-vragenlijst dermate uniek zijn dat die kunnen worden gekoppeld aan declaratiegegevens die in diezelfde mate uniek zijn. Die kans is zodanig klein, aangezien er vijf mogelijke antwoorden kunnen worden gegeven op de negentien verschillende vragen op de HoNOS-lijst, dat de rechtbank dat onvoldoende vindt. Bovendien heeft de NZa geen bevoegdheid om (niet-gepseudonimiseerde) gegevens op te vragen bij zorgverzekeraars of zorgaanbieders. De bevoegdheden van de NZa zijn namelijk wettelijk ingekaderd in de Wet marktordening gezondheidszorg (hierna: Wmg). Daar komt bij dat voor het opvragen van aanvullende gegevens ook geen gerechtvaardigd doel op grond van de AVG bestaat. Er is ook niet onderbouwd dat de NZa dit zal doen.