Onder strikte voorwaarden mag de Nederlandse Zorgautoriteit (NZa) zorgverleners in de geestelijke gezondheidszorg verplichten om informatie over hun patiënten te verstrekken. De informatie is nodig om de zorgkosten nauwkeuriger te berekenen. De Autoriteit Persoonsgegevens (AP) concludeert dat deze uitvraag rechtmatig is. Wel begrenst de privacywaakhond het gebruik van persoonsgegevens van ggz-patiënten.
De NZa garandeert dat zij de opgevraagde gegevens enkel gebruikt voor de ontwikkeling van het nieuwe systeem in de ggz. Ze zal ook duidelijker vastleggen dat de data na twee jaar worden verwijderd. Ook gaat de NZa die data niet koppelen aan andere datastromen binnen zijn organisatie zoals declaratiegegevens.
Met deze garanties voldoet de NZa aan belangrijke randvoorwaarden voor dataminimalisatie, doelbinding en bescherming tegen onbevoegd gebruik. Verder kan de NZa slechts eenmalig gegevens van alle ggz-patiënten over de periode van één jaar opvragen. Mocht de NZa op een later moment opnieuw gegevens nodig hebben voor het nieuwe systeem, dan moet daarvoor eerst een nieuwe wettelijke regeling komen met een onderbouwing van de noodzaak. Bovendien moet die nieuwe regeling dan eerst worden voorgelegd aan de AP.
De zorgaanbieder hoeft van de patiënt geen toestemming te hebben voor de verplichte aanlevering. De patiënt kan zich middels een privacyverklaring verzetten tegen het delen van diens gegevens. De NZa heeft toegezegd de informatievoorziening aan de patiënt op dit punt te intensiveren.
