Zorgverzekeraars hebben al ruim een maand geen geldige gedragscode meer om medische gegevens te verwerken, sinds de rechter deze onrechtmatig verklaarde. Het CBP moet daarom optreden tegen verzekeraars die nog steeds deze data gebruiken, stelt Platformdeelnemer Stichting KDVP. Ondertussen probeert de NZa via een wetgevingsverzoek aan de minister de implicaties van de uitspraak te omzeilen, zo wordt gevreesd.
De Gedragscode Zorgverzekeraars vormde tot voor kort de wettelijke basis waarop zorgverzekeraars medische gegevens mogen verwerken. In de zaak die Stichting KDVP in 2013 aanspande tegen het goedkeuren van de Gedragscode door het College Bescherming Persoonsgegevens, bepaalde de Rechtbank Amsterdam dat de gedragscode noch voldeed aan de eisen in de Wet Bescherming Persoonsgegevens noch aan het Europees Verdrag voor de Rechten van de Mens. De medische privacy van patiënten is volgens het vonnis niet gewaarborgd als verwerking en gebruik van medische persoonsgegevens door zorgverzekeraars plaatsvindt volgens de regels vastgelegd in de gedragscode. De door het CBP eerder verleende goedkeuring van deze gedragscode werd door de rechter vernietigd. Lees hier meer over deze rechtszaak.
Het CBP ging niet in beroep tegen het vonnis en publiceerde zes weken na de uitspraak – de termijn waarbinnen Zorgverzekeraars Nederland (ZN) volgens de rechter een verbeterde gedragscode had moeten aandragen – een nieuw besluit, waarin geen goedkeuring werd verleend aan de gedragscode.
Daarmee is er sinds 19 december 2013 geen rechtmatige basis voor zorgverzekeraars om medische persoonsgegevens volgens de procedures in de gedragscode te verwerken. Dat Zorgverzekeraars Nederland in beroep is gegaan tegen de uitspraak van november, doet daar niets aan af, aldus KDVP; het College Bescherming Persoonsgegevens moet als toezichthouder op de privacy daarom haar handhavende bevoegdheden inzetten bij zorgverzekeraars die op dit moment nog steeds medische persoonsgegevens verwerken op een wijze die inmiddels ook van het CBP zelf geen goedkeuring krijgt, zo stelt de stichting.
Het inzetten van handhavende bevoegdheden houdt in dat het CBP onaangekondigd onderzoek kan doen naar deze praktijken bij verzekeraars. Indien daaruit blijkt dat de verwerking van medische gegevens nog steeds plaatsvindt in strijd met de wet, kan het CBP bestuursboetes en dwangsommen opleggen en in het uiterste geval bestuursdwang toepassen.
“Doet het dat niet, dan is de conclusie gerechtvaardigd dat het privacytoezicht zoals uitgeoefend door het CBP een wassen neus is, wanneer de handhavende bevoegdheden waar het CBP zo nadrukkelijk om heeft gevraagd, niet worden ingezet bij een zo belangrijk publiek dossier”, stelt KDVP.
Één-tweetje NZa en minister
Tegelijkertijd probeert de NZa (Nederlandse Zorgautoriteit) de controlebevoegdheden die voorheen uiteen werden gezet in de Gedragscode wettelijk vastgelegd te krijgen, zo blijkt uit een rapportage die eerder deze maand naar de minister van Volksgezondheid is verstuurd. Dit omdat de uitspraak van de Rechtbank Amsterdam controle voor verzekeraars ‘niet eenvoudiger maakt’, zo valt te lezen in een aanbeveling die de NZa in het rapport doet aan de minister van Volksgezondheid:
De privacy regelgeving geeft verzekeraars de bevoegdheid om te controleren, maar gezien deze uitspraak wordt controle voor verzekeraars niet eenvoudiger. Daarbij is fraude, waarbij de zorgaanbieder samenspant met de verzekerde/patiënt, door de verzekeraar niet goed te bestrijden met de nu geldende regels voor controle. Indien fraudebestrijding versterkt moet worden, moeten argumenten van privacy en het medisch beroepsgeheim hiertegen afgewogen worden. (bron: Rapport Toezichtonderzoek curatieve GGZ, p.10)
De controlebevoegdheid van verzekeraars wordt door de uitspraak gedwarsboomd, zo wordt in de rapportage van de zorgverzekeraars aan de minister gesteld. Wil men de fraudebestrijding versterken, dan “moeten argumenten van privacy en het medisch beroepsgeheim hiertegen afgewogen worden”.
Volgens Stichting KDVP, die de rechtszaak aanspande waardoor de gedragscode werd afgekeurd en de goedkeuring ervan door het CBP werd ingetrokken, zijn er echter wel degelijk manieren om fraudecontrole uit te oefenen zonder daarbij het medisch beroepsgeheim te doorbreken en de privacy van patiënten te schaden. Daarop heeft de hoogste bestuursrechter in Nederland, het College van Beroep voor het bedrijfsleven (CBb), al in 2010 gewezen in een zaak die de psychotherapeuten aanspanden – en wonnen – tegen het verplicht aanleveren van diagnose-informatie op de declaratiefactuur aan zorgverzekeraars.
Geen oog voor privacyvriendelijke controlewijzen
Van de vermeende tegenstelling tussen fraudebestrijding en het medisch beroepsgeheim, zoals de NZa die voorstelt in haar aanbeveling, hoeft dan ook geen sprake te zijn volgens de stichting. Er is echter tot op heden geen actie ondernomen om op een privacyvriendelijke manier dergelijke controles uit te voeren, zo stelt KDVP op haar site:
Helaas lijken we met de rechter te moeten concluderen dat zorgverzekeraars en de NZa bij het ontwerpen van controlesystemen in de zorg tot op heden hebben nagelaten informatiesystemen zodanig op te zetten, dat verantwoording en controle met respect voor privacy en beroepsgeheim kunnen worden uitgevoerd. Het feit dat de NZa en zorgverzekeraars alle mogelijkheden tot digitale gegevensverwerking in de zorg – waarbij effectieve controle kan plaatsvinden met respect voor privacyrechten van patiënten/burgers – negeren en/of afwijzen, komt neer op het negeren van één van de basisbeginselen van het privacyrecht. Hiermee wordt in feite het subsidiariteitsbeginsel geheel opzijgeschoven en genegeerd.
Het subsidiariteitsbeginsel is een eis uit de Wet Bescherming Persoonsgegevens, de belangrijkste privacywet in ons land. De eis houdt in dat bij maatregelen die een inbreuk maken op de privacy van burgers – in dit geval het recht van de patiënt op vertrouwelijkheid van zijn medische gegevens – altijd gekozen moet worden voor de wijze waarop de minste inbreuk wordt gemaakt op de privacy. Daar is bij de huidige wijze van controleren, waarbij grote hoeveelheden medische persoonsgegevens worden verwerkt door medewerkers van zorgverzekeraars zonder beroepsgeheim, geen sprake van.
Ook vreest de stichting dat een wettelijke regeling zoals NZa aan de minister vraagt, de punten waarop de Gedragscode werd afgekeurd door de Rechtbank Amsterdam, ongemoeid laat. Dat zou betekenen dat daarmee de rechterlijke uitspraak zou worden omzeild en de huidige, onrechtmatige wijze van medische gegevensverwerking door zorgverzekeraars in stand blijft.
“Een wettelijke regeling die noch in overeenstemming is met het oordeel van de Rechtbank Amsterdam, noch met het eerdere oordeel van het College van Beroep voor het bedrijfsleven (CBb) kan echter de vereiste toetsing aan grondrechten niet doorstaan”, stelt Stichting KDVP op haar website.
Lees ook de berichtgeving van Stichting KDVP over de implicaties van de uitspraak over de Gedragscode en het wetgevingsverzoek van de NZa aan de minister van VWS.
