Uitspraak
vonnis
RECHTBANK MIDDEN-NEDERLAND
Civiel recht
handelskamer
locatie Utrecht
zaaknummer / rolnummer: C/16/560325 / HA ZA 23-472
Vonnis van 23 april 2025
in de zaak van
1.[eiseres sub 1] ,
wonende te [woonplaats] ,
2.
[eiseres sub 2],
[eiseres sub 2],
wonende te [woonplaats] ,
3.
[eiseres sub 3],
[eiseres sub 3],
wonende te [woonplaats] ,
4.
[eiseres sub 4],
[eiseres sub 4],
wonende te [woonplaats] ,
5.
[eiser sub 5],
[eiser sub 5],
wonende te [woonplaats] ,
6.
[eiseres sub 6],
[eiseres sub 6],
wonende te Amsterdam,
7.
[eiser sub 7],
[eiser sub 7],
wonende te [woonplaats] ,
8.
[eiseres sub 8],
[eiseres sub 8],
wonende te [woonplaats] ,
9. de stichting
STICHTING KOEPEL VAN DBC-VRIJE PRAKTIJKEN VAN PSYCHOTHERAPEUTEN EN PSYCHIATERS,
gevestigd te Amsterdam,
10. de stichting
STICHTING LOC WAARDEVOLLE ZORG,
gevestigd te Utrecht,
11. de stichting
STICHTING PLATFORM BESCHERMING BURGERRECHTEN,
gevestigd te Amsterdam,
eisers,
advocaat mr. A.H. Ekker te Amsterdam,
tegen
de publiekrechtelijke rechtspersoon
NEDERLANDSE ZORGAUTORITEIT,
zetelend te Utrecht,
gedaagde,
advocaten mr. M.M.C. van Graafeiland en mr. F.J.H van Tienen te Den Haag.
Eisers 1 tot en met 4 worden gezamenlijk aangeduid als ‘de individuele eisende cliënten’. Eisers 5 tot en met 8 worden gezamenlijk aangeduid als ‘de individuele eisende behandelaren’. Eisers 9 tot en met 11 worden samen ‘de belangenorganisaties’ genoemd. Afzonderlijk worden zij ‘Stichting DBC’, ‘Stichting LOC’ en ‘Stichting Platform Burgerrechten’ genoemd. Alle eisende partijen samen worden aangeduid als ‘eisers’. Gedaagde wordt ‘de NZa’ genoemd.
1.De procedure
1.1.
In het tussenvonnis van 17 juli 2024 (ECLI:NL:RBMNE:2024:4106) is geoordeeld dat de eisers ontvankelijk zijn in hun vorderingen. De behandeling van de vorderingen van de individuele eisende cliënten en behandelaren is opgeschort totdat de collectieve procedure, die de belangenorganisaties op grond van de WAMCA hebben aangespannen, in eerste aanleg is afgerond. De NZa heeft na het tussenvonnis een inhoudelijke conclusie van antwoord genomen. De belangenorganisaties hebben daarop bij akte gereageerd. In diezelfde akte hebben zij ook hun eis gewijzigd. Het betreft een verduidelijking van de vordering onder VII. Verder hebben de belangenorganisaties nog twee aktes met aanvullende producties 32 tot en met 41 ingediend. De NZa heeft ook een akte met aanvullende producties 30 tot en met 32 ingediend. Tot slot heeft de rechtbank op 7 januari 2025 het bericht ontvangen dat mevrouw [A] , oorspronkelijk eiseres sub 5, is overleden. Haar erfgenamen hebben verzocht om haar individuele vorderingen in te trekken. Daartegen is door de NZa geen bezwaar gemaakt. De rechtbank beschouwt deze vorderingen daarom als ingetrokken.
1.2.
Op 28 januari 2025 vond de mondelinge behandeling in de inhoudelijke fase van deze procedure plaats. De advocaten van partijen hebben spreekaantekeningen voorgedragen. De griffier heeft aantekeningen gemaakt van wat er verder is besproken.
1.3.
Na de mondelinge behandeling hebben partijen allebei twee aktes genomen over de vernietiging van de verzamelde HoNOS+-gegevens en de back-ups daarvan.
1.4.
Tot slot is er vonnis bepaald.
2. De kern van de zaak
2.1.
In de inhoudelijke fase van de procedure moet worden geoordeeld of het opvragen van HoNOS+-gegevens en de verwerking daarvan door de NZa in strijd is met het recht. De feitelijke achtergrond van het geschil is weergegeven in hoofdstuk 3 van het tussenvonnis van 17 juli 2024. In rechtsoverweging 3.4 van dat tussenvonnis zijn ook de ingestelde vorderingen weergegeven, waarvan vordering VII nadien nog is gewijzigd door eisers en nu luidt als volgt:
"de NZa te verbieden om aan beroepsbeoefenaren in de zin van artikel 88 Wet BIG een verplichting op te leggen om de in artikel 4.2 lid 4 Regeling geestelijke gezondheidszorg en forensische zorg genoemde informatie-elementen te verstrekken aan de NZa, althans om deze informatie-elementen ten behoeve van zorgvraagtypering te verwerken."
"de NZa te verbieden om aan beroepsbeoefenaren in de zin van artikel 88 Wet BIG een verplichting op te leggen om de in artikel 4.2 lid 4 Regeling geestelijke gezondheidszorg en forensische zorg genoemde informatie-elementen te verstrekken aan de NZa, althans om deze informatie-elementen ten behoeve van zorgvraagtypering te verwerken."
2.2.
Kort gezegd moesten behandelaren in de geestelijke gezondheidszorg (GGZ) in 2023 eenmalig de antwoorden op zogenaamde HoNOS+-vragenlijsten over hun cliënten aanleveren bij de NZa. Dit is bepaald in artikel 4.2, vierde lid, van de Regeling geestelijke gezondheidszorg en forensische zorg (NR/REG-2313a) zoals die gold vanaf 17 januari 2023 tot en met 31 december 2023 (hierna: de Regeling 2023). De HoNOS+-vragenlijst bevat negentien vragen over de sociale en psychische problematiek bij de cliënt. De behandelaar moet een score geven over de ernst van de problemen. De NZa heeft de antwoorden op deze vragen verwerkt in een algoritme dat kan voorzien in een zogenoemde zorgvraagtypering. De zorgvraagtypering is bedoeld om beter inzicht te geven in de zorgvraag en problematiek van de patiënt, zodat tot een betere inzet van zorg kan worden gekomen. De zorgvraagtypering is onderdeel van het zorgprestatiemodel. Het zorgprestatiemodel is het nieuwe bekostigingsstelsel voor de geestelijke gezondheidszorg en forensische zorg dat op 1 januari 2022 is ingevoerd door de Nederlandse wetgever.
2.3.
Eisers vinden dat de HoNOS+-gegevens persoonsgegevens bevatten en dat het opvragen en verwerken daarvan door de NZa in strijd is met de artikelen 5 en 6 van de Algemene Verordening Gegevensbescherming (AVG). Ook menen zij dat de NZa een ernstige inbreuk maakt op het recht op bescherming van de persoonlijke levenssfeer van cliënten in de GGZ (artikel 8 Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, hierna: het EVRM, en artikel 10 van de Grondwet). Tegelijkertijd worden behandelaren in de GGZ gedwongen om hun medisch beroepsgeheim te overtreden. Eisers willen daarom – samengevat – dat de rechtbank voor recht verklaart dat de Regeling 2023 in strijd is met hoger recht en onrechtmatig is tegenover alle cliënten in de GGZ en GGZ-beroepsbeoefenaren. Zij willen verder dat het de NZa wordt verboden om de HoNOS+-gegevens in de toekomst op te vragen en te verwerken. Zij vorderen ook een gebod voor de NZa om de opgevraagde en verwerkte gegevens te vernietigen. De NZa betwist dat zij handelt in strijd met het recht en bepleit afwijzing van de vorderingen.
3.De beoordeling van de vorderingen
3.1.
De vorderingen van de belangenorganisaties worden afgewezen. Het opvragen van de HoNOS+-gegevens en het verwerken van die gegevens is niet in strijd met het recht en daarom ook niet onrechtmatig tegenover cliënten in de GGZ en beroepsbeoefenaren. De rechtbank zal het oordeel hierna per grondslag uitleggen.
De antwoorden op de HoNOS+-vragen zijn geen persoonsgegevens in de zin van de AVG
3.2.
Eisers voeren aan dat de NZa in strijd handelt met de AVG. Zij stellen dat de HoNOS+-gegevens persoonsgegevens zijn. Iedere individuele lijst met antwoorden op de vragen zou namelijk indirect kunnen worden herleid tot individuele cliënten in de GGZ. Er is geen welbepaald en gerechtvaardigd doel om deze gegevens te verwerken (artikelen 5 en 6 AVG). Volgens eisers mag de NZa deze gegevens daarom niet opvragen en verwerken voor het ijken van het algoritme achter de zorgvraagtypering. De NZa betwist dat de HoNOS+-gegevens persoonsgegevens zijn. Volgens de NZa zijn deze gegevens niet te herleiden tot individuele cliënten; de AVG is daarom niet van toepassing.
3.3.
De NZa heeft, voorafgaand aan de inwerkingtreding van de Regeling 2023, advies gevraagd aan de Autoriteit Persoonsgegevens (hierna: AP) over de rechtmatigheid van de verplichte aanlevering van de HoNOS+-gegevens. [1] Volgens eisers bevestigt het vragen van dat advies aan de AP dat de NZa zelf ook van mening is dat zij persoonsgegevens opvraagt. De NZa betwist dat en heeft tijdens de zitting toegelicht dat zij uit zorgvuldigheid om advies heeft gevraagd aan de AP. Voor de rechtbank is het vragen van advies aan de AP niet van doorslaggevend belang. De NZa heeft in deze procedure gemotiveerd betwist dat sprake is van persoonsgegevens in de zin van de AVG. De rechtbank moet daarom zelfstandig beoordelen of er sprake is van (de verwerking van) persoonsgegevens en een schending van de AVG. Dat de NZa dit standpunt bij de adviesaanvraag aan de AP niet heeft ingenomen, maakt dat niet anders. Volledigheidshalve merkt de rechtbank op dat dit ook geldt voor de inhoud van het advies van de AP. De rechtbank is hier niet aan gebonden en dient in deze procedure zelfstandig een oordeel te vellen over de toepasselijkheid van de AVG.
3.4.
In artikel 4, eerste lid, van de AVG staat de definitie van het begrip ‘persoonsgegevens’. Het gaat om alle informatie over geïdentificeerde of identificeerbare personen. Dat zijn niet alleen gegevens die direct herleidbaar zijn tot een natuurlijk persoon, maar ook gegevens waarmee een persoon indirect kan worden geïdentificeerd. Er is sprake van indirecte persoonsgegevens als de gegevens in combinatie met andere gegevens kunnen worden herleid tot een individu. Zo vallen ook gepseudonimiseerde gegevens onder de bescherming van de AVG als deze kunnen worden gekoppeld aan aanvullende gegevens, waardoor deze samen herleidbaar zijn tot een individu. [2] Het kan dan gaan om aanvullende gegevens die bij de verwerkingsverantwoordelijke zelf aanwezig zijn, maar ook bij derden. [3]
3.5.
Uit overweging 26 van de considerans bij de AVG volgt dat bij de beoordeling of een natuurlijk persoon identificeerbaar is, rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke om de natuurlijk persoon te identificeren. Om te beoordelen of redelijkerwijs te verwachten is dat middelen zullen worden gebruikt om een persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren. Het gaat daarbij bijvoorbeeld om de kosten en de tijd die nodig is voor de identificatie gelet op de beschikbare technologie. Op grond van het Breyer-arrest van het Hof van Justitie valt niet redelijkerwijs te verwachten dat een middel zal worden gebruikt om een persoon te identificeren als dat bij wet verboden is of in de praktijk ondoenlijk is. Van dat laatste geval kan sprake zijn, als dit – gelet op de vereiste tijd, kosten en mankracht – een excessieve inspanning vergt, zodat het gevaar voor identificatie in werkelijkheid onbeduidend lijkt. [4]
3.6.
De eerste vraag die voorligt, is of de HoNOS+-gegevens direct herleidbare persoonsgegevens zijn. Dat is niet het geval. De rechtbank stelt vast dat de HoNOS+-gegevens anoniem zijn. Er staan geen identificeerbare gegevens op die betrekking hebben op cliënten, zoals namen, adresgegevens en burgerservicenummers. De ingevulde vragenlijsten bevatten alleen aangekruiste scores als antwoorden op de vragen. De NZa kan de HoNOS+-gegevens daarom niet direct herleiden tot een individu.
3.7.
De tweede vraag die voorligt, is of de HoNOS+-gegevens indirect herleidbare persoonsgegevens zijn, doordat de NZa de HoNOS+-gegevens kan koppelen aan gepseudonimiseerde declaratiegegevens waarover zij ook beschikt. Deze gepseudonimiseerde declaratiegegevens over verleende zorg binnen de GGZ zijn in twee stappen gepseudonimiseerd. Zorgverzekeraars delen de declaratiegegevens eerst met Vektis. Vektis is een organisatie die systemen aanbiedt waarin declaratiegegevens tussen zorgaanbieders en zorgverzekeraars worden uitgewisseld. Vektis versleutelt en pseudonimiseert de persoonlijke gegevens op de declaraties. Vervolgens worden deze versleutelde en gepseudonimiseerde gegevens doorgestuurd aan ZorgTTP. ZorgTTP is ook een organisatie die zorggegevens pseudonimiseert. Zij pseudonimiseert de declaratiegegevens in een tweede stap voordat de gegevens aan de NZa worden verstrekt. De gepseudonimiseerde declaratiegegevens die de NZa ontvangt zijn daardoor geen direct herleidbare persoonsgegevens meer. Hooguit zijn deze declaratiegegevens dan nog indirect herleidbaar, wanneer zij gekoppeld worden aan informatie bij derden (zoals die van de zorgaanbieder zelf of de betrokken zorgverzekeraar).
3.8.
Wat dan nog beoordeeld moet worden, is of koppeling van deze gepseudonimiseerde declaratiegegevens aan de anonieme HoNOS+-gegevens tot identificatie van individuele personen kan leiden. De NZa bestrijdt dat. Zij heeft onderbouwd dat de NZa de anonieme HoNOS+-gegevens opslaat in een afzonderlijk systeem. Deze gegevens worden daardoor afgescheiden bewaard van andere data, waaronder de (dubbel) gepseudonimiseerde declaratiedata. Drie werknemers van de NZa hebben toegang tot de HoNOS+-gegevens. Van die drie werknemers hebben twee werknemers ook toegang tot de gepseudonimiseerde declaratiegegevens. Volgens de Nza hebben deze twee werknemers nooit tegelijkertijd toegang tot beide sets data en kunnen zij die gegevens dus nooit tegelijkertijd verwerken en aan elkaar koppelen. Dat koppelen is de NZa bovendien verboden. In artikel 4.2, vierde lid, van de Regeling 2023 is namelijk een zogenoemd koppelverbod opgenomen.
3.9.
Om met het laatste te beginnen: de rechtbank is van oordeel dat dit koppelverbod onvoldoende is voor de conclusie dat er geen sprake is van indirect herleidbare persoonsgegevens. De Regeling 2023 gold tot 31 december 2023. In de opvolgende Regeling die gold in 2024 en ook in de huidige Regeling is het koppelverbod niet meer opgenomen, terwijl de HoNOS+-gegevens en de declaratiedata in die periode nog wel bij de NZa aanwezig waren en zijn. Er is hiervoor in de Regelingen volgend op die van 2023 geen overgangsrecht bepaald, waardoor het koppelverbod na het aflopen van de Regeling 2023 ontbreekt. Bovendien is namens de NZa op de zitting verklaard dat niet wordt gecontroleerd of de twee werknemers gelijktijdig de HoNOS+-gegevens en de declaratiedata bekijken. Daarmee is het koppelverbod uit de Regeling 2023 een onvoldoende waarborg om te kunnen spreken van een wettelijk verbod in de zin van de AVG.
3.10.
Daarmee staat echter niet vast dat van indirect herleidbare persoonsgegevens sprake is. De rechtbank oordeelt namelijk dat, zelfs al zouden de twee werknemers binnen de NZa de HoNOS+-gegevens koppelen aan declaratiedata, dat het voor de NZa redelijkerwijs niet mogelijk is om de gegevens te herleiden tot individuen. Doordat de declaratiedata door hashing zijn gepseudonimiseerd, zijn ze versleuteld. De NZa kan deze gegevens niet ‘ontsleutelen’. Zij beschikt namelijk niet over de sleutel om de hashing, en daarmee de pseudonimisering, ongedaan te maken. Ook heeft zij – zoals de NZa heeft aangevoerd - niet de benodigde quantumcomputer om deze hashing te 'kraken', omdat die computer simpelweg nog niet bestaat. Het is daarom voor haar technisch gezien niet mogelijk om de versleuteling terug te draaien. De NZa kan dus niet zelfstandig de HoNOS+-gegevens indirect herleiden tot individuen.
3.11. In theorie bestaat de (enige) mogelijkheid voor de NZa om de ontvangen gegevens indirect te herleiden tot individuen als zij nadere gegevens opvraagt bij de zorgverzekeraar. Dat is pas mogelijk als de antwoorden op een HoNOS+-vragenlijst dermate uniek zijn dat die kunnen worden gekoppeld aan declaratiegegevens die in diezelfde mate uniek zijn. Die kans is zodanig klein, aangezien er vijf mogelijke antwoorden kunnen worden gegeven op de negentien verschillende vragen op de HoNOS-lijst, dat de rechtbank dat onvoldoende vindt. Bovendien heeft de NZa geen bevoegdheid om (niet-gepseudonimiseerde) gegevens op te vragen bij zorgverzekeraars of zorgaanbieders. De bevoegdheden van de NZa zijn namelijk wettelijk ingekaderd in de Wet marktordening gezondheidszorg (hierna: Wmg). Daar komt bij dat voor het opvragen van aanvullende gegevens ook geen gerechtvaardigd doel op grond van de AVG bestaat. Er is ook niet onderbouwd dat de NZa dit zal doen.
3.12.
Tijdens de mondelinge behandeling is verder nog duidelijk geworden dat de belangenorganisaties en daarmee de cliënten en behandelaren in de GGZ vrezen voor de mogelijkheid dat de systemen van de NZa worden gehackt, waardoor de HoNOS+-gegevens in verkeerde handen van derden komen. De rechtbank beaamt dat dat in deze tijd een risico is. In de praktijk komt het tenslotte met enige regelmaat voor dat systemen worden gehackt, waardoor derden toegang krijgen tot (persoons)gegevens. Hacking is evenwel een bij wet verboden middel waarvan (dus) niet redelijkerwijs valt te verwachten dat dit door een verwerkingsverantwoordelijke of een derde wordt gebruikt om een persoon te identificeren, als bedoeld in overweging 26 van de considerans van de AVG en voornoemde jurisprudentie van het Europese Hof van Justitie. In dit specifieke geval geldt overigens dat bij een mogelijke hack bij de NZa de HoNOS+-gegevens anoniem blijven en de declaratiegegevens versleuteld. Ook voor een hacker zal het daardoor technisch gezien vrijwel onmogelijk (en in ieder geval verboden) zijn om de gegevens te herleiden tot individuen, omdat hij dan meerdere partijen zou moeten hacken.
3.13.
Uit het voorgaande volgt naar het oordeel van de rechtbank dat de HoNOS+-gegevens geen persoonsgegevens zijn. Voor de NZa is het in de praktijk onmogelijk om de anonieme HoNOS+-gegevens te herleiden tot een individu, ook niet nadat deze gekoppeld zouden worden aan de gepseudonimiseerde declaratiedata. Er bestaan voor de NZa geen middelen, waarvan redelijkerwijs te verwachten is dat zij deze gaat gebruiken, om personen te identificeren. Daardoor is de AVG niet van toepassing op het opvragen en verwerken van de HoNOS+-gegevens. De Regeling 2023 is daarmee niet in strijd met de AVG. Bij de nieuwe regelingen die hierna zijn ingevoerd, is de bevoegdheid tot het opvragen van HoNOS+-gegevens niet opgenomen. Over een nieuwe regeling in de toekomst kan de rechtbank niet oordelen, omdat de inhoud van de Regeling daarvoor relevant is, evenals de concrete feiten en omstandigheden op dat moment.
Er is geen sprake van een schending van artikel 8 EVRM en artikel 10 van de Grondwet
3.14.
Eisers voeren aan dat de NZa ook inbreuk maakt op artikel 8 van het EVRM en artikel 10 van de Grondwet. Zij menen dat de NZa zich onterecht inmengt in de persoonlijke levenssfeer van cliënten, doordat de behandelaar wordt verplicht vragenlijsten in te vullen over de psychische gesteldheid van een individuele cliënt.
3.15.
De rechtbank begrijpt dat de vragenlijst over hun psychische gesteldheid voor cliënten in de GGZ als een grote inbreuk op hun privacy kan worden ervaren. Cliënten hebben recht op een vertrouwelijke behandelrelatie met hun behandelaar. Zeker voor cliënten met geestelijke problematiek kan er een hoge drempel bestaan om zich te wenden tot een behandelaar. Voor hen is het extra belangrijk dat zeer privacygevoelige informatie over hun geestelijke gezondheid niet openbaar wordt gemaakt en zij daar redelijkerwijs ook niet voor hoeven te vrezen. De rechtbank stelt echter vast dat er door het verstrekken van de HoNOS+-gegevens geen sprake is van een schending van artikel 8 EVRM en het daaraan gelijke artikel 10 van de Grondwet. Er kunnen namelijk wettelijke beperkingen worden gesteld aan het recht op bescherming van de persoonlijke levenssfeer. Artikel 8, tweede lid, van het EVRM bepaalt dat een inperking van het recht op bescherming van de persoonlijke levenssfeer mogelijk is als dit (i) een legitiem doel dient, (ii) noodzakelijk is in een democratische samenleving, en (iii) bij wet is voorzien. Aan deze voorwaarden is in dit geval voldaan. Dat wordt hierna toegelicht.
3.16.
De rechtbank oordeelt dat het opvragen van de HoNOS+-gegevens een legitiem doel dient en noodzakelijk is in onze democratische samenleving. Partijen zijn het erover eens dat het noodzakelijk is om de wachtlijsten in de GGZ te verkorten. Ook zal het systeem om de Nederlandse gezondheidszorg te bekostigen moeten worden doorontwikkeld. De politiek heeft meerdere jaren nagedacht over de wijze waarop zij dat wil vormgeven. Uiteindelijk is er gekozen voor het zorgprestatiemodel waarbij aan de hand van een systeem van zorgvraagtypering de hiervoor geschetste problematiek moet worden aangepakt. Er bestaat voldoende steun vanuit de zorgsector en politiek voor dit model.
3.17.
De belangenorganisaties zijn van mening dat het gekozen zorgprestatiemodel met het systeem van zorgvraagtypering niet geschikt is om de doelen te bereiken, en daarom niet voldoet aan het noodzakelijkheidsvereiste. Zij hebben, onder leiding van professor dr. J. van Os [5] verschillende kritiekpunten geuit en alternatieven voorgesteld. Het is echter niet aan de rechterlijke macht om de politieke keuze voor het zorgprestatiemodel te beoordelen en af te wegen tegen alternatieve keuzes. De keuze voor het zorgprestatiemodel is op wettige wijze gemaakt. Men is daardoor gebonden aan het gekozen zorgprestatiemodel.
3.18.
Het is verder niet gebleken dat het huidige zorgprestatiemodel met het systeem van zorgvraagtypering op voorhand en per definitie ongeschikt is om de doelstellingen te bereiken, zoals eisers hebben betoogd. Daarbij geldt dat niet op voorhand vast hoeft te staan wat de uitkomst zal zijn van het algoritme en het systeem van zorgvraagtypering en in hoeverre dat geschikt is. De NZa moet onderbouwen dat het systeem tot een betere uitkomst kán leiden. Dat heeft zij gedaan; de NZa heeft in deze procedure gemotiveerd naar voren gebracht dat de HoNOS+-gegevens kunnen leiden tot de ontwikkeling van een goed werkend algoritme, waarmee het systeem van zorgvraagtypering kan worden verbeterd. Het staat daarmee vast dat het algoritme en het systeem van zorgvraagtypering niet op voorhand kansloos of per definitie onwerkbaar te noemen is. De doelstelling van het zorgprestatiemodel (en het opvragen van de HoNOS+-gegevens om dit model te laten functioneren) vindt de rechtbank daarom legitiem en noodzakelijk.
3.19.
De uitvraag en verwerking voldoet ook aan de beginselen van subsidiariteit en proportionaliteit. De NZa heeft gemotiveerd aangevoerd waarom het opvragen van de HoNOS+-gegevens nodig was om tot ontwikkeling van het algoritme – en daarmee verbetering van het systeem van zorgvraagtypering – te komen. De NZa heeft daarbij voldoende onderzocht of de doelen die zij nastreeft ook kunnen worden bereikt met minder ingrijpende middelen. Zij heeft gemotiveerd toegelicht waarom niet kon worden volstaan met een beperktere uitvraag of alternatieven, zoals het gebruik van alleen kwalitatief onderzoek of declaratiegegevens. Dit is door eisers onvoldoende gemotiveerd weersproken. Daarmee staat vast dat aan de subsidiariteitseis is voldaan.
3.20.
De eenmalige uitvraag was ook proportioneel. Hoewel de rechtbank begrip heeft voor cliënten in de GGZ die een onveilig gevoel ervaren doordat er vragenlijsten over hun psychische problemen zijn ingevuld en gedeeld met de NZa, heeft de rechtbank hiervoor vastgesteld dat de NZa geen informatie heeft ontvangen waaruit zij kan afleiden om welke specifieke persoon het gaat. Hetzelfde geldt bij een eventuele hack van de systemen. De aangeleverde informatie is volledig geanonimiseerd (HoNOS+-gegevens) en gepseudonimiseerd (declaratiegegevens). Cliënten hoeven er dus niet voor te vrezen dat specifieke informatie over hun individuele situatie op enige wijze (openbaar) bekend kan worden. De privacy van de cliënten loopt dus geen gevaar, terwijl het in het belang van de samenleving is dat het zorgprestatiemodel op deze wijze wordt doorontwikkeld.
3.21.
De eenmalige verplichting om de HoNOS+-gegevens aan te leveren aan de NZa is tot slot bij wet voorzien. Deze verplichting is opgenomen in artikel 4.2, vierde lid, van de Regeling 2023. De artikelen 62 en 65 Wmg vormen de grondslag voor de uitvraag op basis van de Regeling. De Wmg is een wet in formele zin. De NZa mag op grond van artikel 62 Wmg nadere regels stellen over de verstrekking van gegevens en inlichtingen door zorgaanbieders aan haar. Dat heeft zij gedaan door het opstellen van de Regeling. Vervolgens is op grond van artikel 65 Wmg bepaald welke gegevens de NZa bij de zorgaanbieder en de zorgverzekeraar mag opvragen. Daarnaast voldoet de Regeling aan de vereisten van voorzienbaarheid en toegankelijkheid. De Regeling is duidelijk en openbaar.
Het medisch beroepsgeheim kan worden doorbroken
3.22.
Eisers stellen dat de eenmalige aanleververplichting van de HoNOS+-gegevens uit de Regeling 2023 ook in strijd is met het medisch beroepsgeheim dat op grond van artikel 7:457 Burgerlijk Wetboek (BW) en artikel 88 van de Wet op de beroepen in de individuele gezondheidszorg (Wet BIG) op de behandelaren rust. Daardoor is de Regeling onrechtmatig tegenover hen. De NZa betwist dit.
3.23.
De rechtbank is van oordeel dat de behandelaren hun medisch beroepsgeheim niet schenden door het verstekken van de HoNOS+-gegevens aan de NZa. Met de belangenorganisaties is de rechtbank het eens dat het medisch beroepsgeheim een groot goed is, maar dit recht is niet absoluut. De behandelaar mag inlichtingen over zijn patiënt verstrekken of inzage geven in gegevens uit het behandeldossier als daartoe een wettelijke verplichting bestaat. In dat geval is hiervoor geen toestemming nodig van de patiënt. Hiervoor is overwogen dat de Regeling 2023 een wettelijke grondslag bevat, op basis waarvan de behandelaar verplicht is om de HoNOS+-gegevens over de patiënt aan de NZa te verstrekken. De NZa heeft op grond van de Wmg de bevoegdheid om deze Regeling op te stellen met daarin de wettelijke verplichting tot het aanleveren van de HoNOS+-gegevens. De behandelaar mag zijn medisch beroepsgeheim daardoor doorbreken, ook zonder toestemming van de cliënt. Daar komt bij dat in de Regeling een opt-out mogelijkheid is opgenomen. Als de cliënt niet wil dat zijn behandelaar de HoNOS+-gegevens deelt met de NZa, dan kan er een privacyverklaring worden ingevuld. In dat geval hoeft de behandelaar zijn beroepsgeheim niet te doorbreken, omdat iedere cliënt de gegevensverstrekking- en verwerking kan voorkomen.
Conclusie
3.24.
De rechtbank zal de vorderingen van de belangenorganisaties afwijzen. Het opvragen van de HoNOS+-gegevens en de verwerking daarvan, op grond van artikel 4.2, vierde lid, van de Regeling 2023, is niet in strijd met het recht. De NZa mocht de HoNOS+-gegevens opvragen en verwerken. Zij had deze bevoegdheid op grond van de Wmg. De HoNOS+-gegevens zijn geen direct of indirect herleidbare persoonsgegevens, waardoor de AVG niet van toepassing is op de aanleveringsverplichting en de verdere verwerking. Er is ook geen sprake van een ongerechtvaardigde inbreuk op de persoonlijke levenssfeer van cliënten. Tot slot vormt de Regeling een wettelijke grondslag, waardoor behandelaren hun medische geheimhoudingsplicht mogen doorbreken.
3.25.
Daardoor handelt de NZa niet onrechtmatig tegenover de belangenorganisaties en de cliënten en de behandelaren in de GGZ, waarvan zij de belangen behartigen. Artikel 4.2, vierde lid, van de Regeling 2023 zal niet (met terugwerkende kracht) buiten werking worden gesteld of onverbindend worden verklaard. De rechtbank laat zich niet uit over de artikelen 4.3 en 2.1 van de Regeling 2023, ondanks dat de belangenorganisaties deze artikelen wel noemen in hun dagvaarding. Alleen artikel 4.2 ziet namelijk op de eenmalige aanleververplichting van de HoNOS+-gegevens.
3.26.
Nu artikel 4.2, vierde lid, van de Regeling 2023 niet onverbindend wordt verklaard of buiten werking wordt gesteld en is vastgesteld dat de HoNOS+-gegevens geen persoonsgegevens bevatten, zal de NZa niet worden veroordeeld om de verzamelde HoNOS+-gegevens te vernietigen. Eisers hebben ook geen belang meer bij deze vordering. De NZa heeft verklaard dat zij de verzamelde HoNOS+-gegevens op 13 februari 2025 heeft vernietigd en niet aan derden heeft verstrekt. De NZa heeft ook al de opdracht verstrekt om de laatste back-ups te vernietigen. Dit zal op 12 mei 2025 en op 12 juni 2025 worden gedaan. Het is vanwege technische redenen voor de beveiliging niet mogelijk om de back-ups eerder te verwijderen.
Vervolg geschorste procedure van individuele cliënten en behandelaren
3.27.
In het tussenvonnis van 17 juli 2024 heeft de rechtbank geoordeeld dat de vorderingen, die de individuele cliënten en de individuele behandelaren tegenover de NZa hebben ingesteld, worden opgeschort totdat de collectieve procedure is afgerond. De collectieve procedure wordt met dit eindvonnis afgerond. De individuele procedures kunnen daardoor worden hervat. De individuele cliënten en behandelaren mogen op de roldatum van 21 mei 2025 een akte nemen om de rechtbank en de NZa te informeren of zij hier nog behoefte aan en belang bij hebben, gezien het oordeel dat in dit eindvonnis is gegeven. Als de individuele cliënten en behandelaren hun vorderingen wensen in te trekken, dan mag de NZa zich nog uitlaten over de proceskostenveroordeling van de individuele cliënten en behandelaren.
Proceskosten
3.28.
De belangenorganisaties hebben in deze procedure ongelijk gekregen. Hun vorderingen worden afgewezen. Daarom moeten zij hoofdelijk de kosten van de NZa voor deze procedure (inclusief nakosten) betalen.
3.29.
De kosten aan de kant van de NZa worden tot op vandaag begroot op:
- griffierecht € 676,00
- salaris advocaat € 2.456,00 (4 punten x tarief II)
- salaris advocaat € 2.456,00 (4 punten x tarief II)
- nakosten
€ 178,00(plus de verhoging zoals vermeld in de beslissing)
€ 178,00(plus de verhoging zoals vermeld in de beslissing)
Totaal € 3.310,00
3.30.
De NZa heeft ook de wettelijke rente over de proceskosten gevorderd. Deze rente wordt toegewezen op de wijze zoals in het dictum is vermeld.
4.De beslissing
De rechtbank
4.1.
wijst de vorderingen af,
4.2.
veroordeelt de belangenorganisaties hoofdelijk tot betaling van de proceskosten, aan de kant van de NZa tot op vandaag begroot op € 3.310,00, te betalen binnen veertien dagen na aanschrijving daartoe. Als de belangenorganisaties niet tijdig aan de veroordeling voldoen en het vonnis daarna wordt betekend, dan moeten zij € 92,00 extra betalen, plus de kosten van betekening, en te vermeerderen met de wettelijke rente (als bedoeld in artikel 6:119 BW) over dit bedrag met ingang van de vijftiende dag na de datum van dit vonnis tot aan de dag van betaling,
4.3.
verwijst de zaak naar de rol van 21 mei 2025 voor het nemen van een akte door de individuele cliënten en behandelaren over de hervatting van hun procedure,
4.4.
verklaart de proceskostenveroordeling in randnummer 4.2. van dit vonnis uitvoerbaar bij voorraad.
Dit vonnis is gewezen door mr. J.R. Hurenkamp, mr. M. Eversteijn en mr. H.J. ter Meulen, bijgestaan door mr. N.L. Lintel-Kuipers en in het openbaar uitgesproken op 23 april 2025.
5427 (NLK)