nieuws

Rechter fluit CBP terug om Gedragscode Zorgverzekeraars

Het College Bescherming Persoonsgegevens heeft ten onrechte de Gedragscode Zorgverzekeraars goedgekeurd, zo oordeelde de Rechtbank in Amsterdam vorige week. De Gedragscode bevat onvoldoende waarborgen om het misbruik van medische gegevens tegen te gaan en de privacy van patiënten te beschermen.

Dat betekent een overwinning voor Platformdeelnemer Stichting KDVP in de zaak die ze aanspande wegens de goedkeuring van de Gedragscode. De toezichthouder krijgt daarmee een gevoelige tik op de vingers van de rechter, die constateert dat het CBP de Gedragscode niet behoorlijk heeft getoetst aan de wettelijke eisen van de Wet Bescherming Persoonsgegevens (WBP).

Doorbreking medisch beroepsgeheim

Zorgverzekeraars verwerken voor hun bedrijfsdoeleinden grote hoeveelheden medische gegevens van hun verzekerden. Aangezien het om diagnose-informatie gaat die de lichamelijke en geestelijke toestand van patiënten weergeeft, en deze onder ogen komt van medewerkers van zorgverzekeraars die niet zoals artsen aan een medisch beroepsgeheim zijn gebonden, dient deze verwerking aan strikte eisen te voldoen, zoals die zijn vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en de WBP.

De wijze waarop zorgverzekeraars in deze Gedragscode de regels hiervoor uiteen hebben gezet, is op verschillende cruciale punten in strijd met dit grondrecht, waardoor niet wordt gewaarborgd dat medische gegevens niet onder onbevoegde ogen komen. Het CBP had als toezichthouder op de privacy deze Gedragscode niet mogen goedkeuren.

Losse waarborgen door ontbrekende doelbinding

Waar de Wet Bescherming Persoonsgegevens beperkende eisen stelt aan het verwerken van medische persoonsgegevens, laat de Gedragscode veel cruciale vragen open over waarvoor deze data wel en niet mogen worden verwerkt en hoe voorkomen moet worden dat medische informatie niet voor onbevoegde doelen wordt gebruikt. De doelbindingseis in de WBP, die voorschrijft dat medische gegevens alleen voor strikt omschreven doelen mogen worden verwerkt, ziet de rechter niet terug in de gedragscode, zo blijkt uit het vonnis.

Stichting KDVP liet in haar zienswijze, die ze tijdens de toetsingsprocedure van het CBP indiende, al weten dat in plaats van een nadere uitwerking van de wettelijke eisen rondom het verwerken van medische gegevens, de regels in de Gedragscode juist ‘geabstraheerd’ waren; er moesten concreter uitgewerkte regels komen. Aan de bezwaren gaf het CBP destijds geen gehoor, waardoor Stichting KDVP zich genoodzaakt zag deze procedure aan te spannen.

Een labyrinth van Chinese Muren

De wijze waarop de Gedragscode uiteenzet wie binnen de organisatie van de zorgverzekeraar wel en wie niet medische gegevens mogen inzien, wordt door de rechter afgewezen. In de Gedragscode staat het zogeheten systeem van “Chinese muren” uiteengezet; door verschillende bedrijfsprocessen binnen de zorgverzekeringsmaatschappij van elkaar te scheiden, moet worden voorkomen dat medische gegevens worden gebruikt voor andere doeleinden dan waarvoor ze zijn verzameld.

De regels in de Gedragscode bieden echter geen garantie dat medische gegevens die zijn verzameld om bijvoorbeeld declaratiefraude te controleren, niet worden gebruikt om de aanvraag van een aanvullende verzekering te beoordelen, zorgbemiddeling of marketingdoeleinden. Volgens KDVP scheppen deze regels de ruimte voor een ‘function creep’.

In plaats van expliciet omschreven doeleinden te formuleren waarvoor medische gegevens mogen worden verwerkt, verwijst de gedragscode naar taken en bedrijfsprocessen binnen de zorgverzekeraar, zonder daarbij te omschrijven wat die taken precies inhouden en of ze in het kader van de Wet Bescherming Persoonsgegevens een legitiem doel vormen. Daarbij beschrijft de Gedragscode niet aan welke verplichtingen werknemers zich moeten houden bij het verwerken van medische gegevens.

Hierdoor valt het naleven van de WBP niet te controleren, noch te handhaven volgens KDVP. De rechtbank stelt in haar vonnis dat “de Gedragscode onvoldoende waarborgen biedt dat persoonsgegevens op de juiste manier wijze in de systemen worden verwerkt.” “De daardoor opgeworpen ‘Chinese muren’ zijn daartoe onvoldoende.”

Daarmee komt naar alle waarschijnlijkheid een einde aan het Chinese Muren systeem, dat al sinds 2005 de praktijk vormt van medische gegevensverwerking bij zorgverzekeraars.

Het College Bescherming Persoonsgegevens moet nu binnen zes weken een nieuwe beslissing nemen. Dat houdt in dat Zorgverzekeraars Nederland (ZN), die de Gedragscode opstelde, aanpassingen moet maken naar aanleiding van dit vonnis, waarna het CBP opnieuw de Gedragscode moet beoordelen.

Uitzonderingsregel voor privacybezwaren

Voor de psychotherapeuten en psychiaters die de goedkeuring van de Gedragscode aanvochten, betekent het een overwinning en erkenning van hun medische beroepsethiek en de privacy van patiënten.

Het is de tweede overwinning die de psychotherapeuten en psychiaters bij de rechter behalen in hun strijd tegen zorgverzekeraars die medische gegevens opeisen. In 2010 wonnen ze een zaak bij de hoogste bestuursrechter op dit terrein, het College van Beroep voor het bedrijfsleven (CBb). Dat constateerde dat de verwerking van van diagnose-informatie over psychische klachten door personeel van zorgverzekeraars zonder medisch beroepsgeheim, onvoldoende recht deed aan het belang van patiënten. Het CBb bepaalde destijds onder meer dat er een bezwaarregeling moest komen die patiënten met privacybezwaren de mogelijkheid gaf hun medische gegevens af te schermen voor verwerkingen door zorgverzekeraars.

Volgens de Rechtbank Amsterdam zijn de implicaties van die uitspraak genegeerd; ook voor de de verwerking van medische gegevens die in deze Gedragscode aan de orde zijn, moet een dergelijke bezwaarregeling komen.

Lees hier het bericht van KDVP en hier de uitspraak (PDF) van de Rechtbank Amsterdam