Zorgverzekeraars Nederland acht zich niet verantwoordelijk om procedures voor het verwerken van medische gegevens aan te passen, nadat de rechter oordeelde dat deze niet voldoen aan privacywetgeving. Dat stelt voorzitter André Rouvoet in een briefwisseling met Platformdeelnemer KDVP, die privacytoezichthouder CBP officieel heeft verzocht in actie te komen.
Het winnen van een rechtszaak tegen onrechtmatige gegevensverwerking door zorgverzekeraars heeft ruim een jaar later nog niet geleid tot aanpassing van gehanteerde werkwijzen. Daarmee negeren de verantwoordelijke partijen niet alleen hun verantwoordelijkheid, maar tevens een rechterlijke uitspraak.
Een onrechtmatige gedragscode
Zorgverzekeraars verwerken voor hun bedrijfsdoeleinden op grote schaal medische persoonsgegevens van hun verzekerden. Diagnose-informatie komt daardoor onder ogen van medewerkers die niet zoals artsen aan een beroepsgeheim zijn gebonden. De verwerking ervan dient aan strikte eisen te voldoen, zoals die zijn vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en de Wet bescherming persoonsgegevens (WBP).
Daarvoor hanteren zorgverzekeraars de zogeheten Gedragscode Zorgverzekeraars, die sinds haar invoering periodiek wordt beoordeeld door privacytoezichthouder College Bescherming Persoonsgegevens (CBP). De gedragscode beschrijft de procedures voor verwerking en gebruik van medische gegevens van verzekerden door zorgverzekeraars.
In november 2013 oordeelde de Rechtbank Amsterdam op fundamentele gronden dat het CBP de gedragscode nooit had mogen goedkeuren. De procedures vormden naar het oordeel van de rechter geen juiste uitwerking van de wet en verdrag (hier meer over dit vonnis). Ook bevatte de gedragscode geen aangepaste declaratieprocedure voor patiënten die gebruik maken van de privacy opt-out regeling. De regeling werd in 2010 door psychiaters en psychotherapeuten afdwongen in een bodemprocedure maar werkt al sinds de invoering ervan niet naar behoren. De rechter besloot tot vernietiging van de verleende goedkeuring.
Omdat brancheorganisatie Zorgverzekeraars Nederland (ZN) als opsteller van de gedragscode na de uitspraak van de Rechtbank Amsterdam niet binnen de gestelde termijn een aangepaste gedragscode ter goedkeuring aandroeg bij het CBP, verklaarde de toezichthouder in december 2013 dat het oorsponkelijke verzoek tot goedkeuring van de gedragscode alsnog werd afgewezen.
Vervolgens gebeurde er niets.
Business as usual
Weliswaar riep Stichting KDVP, die de zaak tegen de goedkeuring van de gedragscode aanspande en won, toezichthouder CBP op om zijn handhavende bevoegdheden in te zetten tegen zorgverzekeraars die medische gegevens bleven verwerken volgens procedures die door de rechter waren afgekeurd. Het CBP ondernam vooralsnog echter geen actie.
Ook Zorgverzekeraars Nederland laat zich weinig gelegen liggen aan de uitspraak. Voorzitter André Rouvoet pleit zijn organisatie in een recente briefwisseling KDVP vrij van elke verplichting om de gedragscode te corrigeren naar aanleiding van de uitspraak die rechter ruim een jaar geleden deed.
Rouvoet: geen aanpassing regels nodig
Rouvoet wijst er in zijn schrijven op dat minister Schippers van Volksgezondheid de wet heeft aangepast, waardoor de gedragscode niet langer periodiek hoeft te worden goedgekeurd door het College Bescherming Persoonsgegevens. De ZN-voorzitter stelt dat het geheel aan zorgverzekeraars zelf is om al dan niet een nieuwe gedragscode aan te dienen bij het CBP.
Omdat zorgverzekeraars door de aangepaste regelgeving van minister Schippers niet meer verplicht zijn om de gedragscode ter goedkeuring voor te leggen aan het CBP, ziet Zorgverzekeraars Nederland zich ook niet genoodzaakt om de bestaande – door de rechter afgekeurde – procedures aan te passen. Onvoorstelbaar, aldus Ab van Eldijk, voorzitter van KDVP:
“Ook al heeft de rechter verwerking en gebruik van medische gegevens door zorgverzekeraars afgekeurd omdat ze geen juiste uitwerking vormen van wet en verdrag, Zorgverzekeraars Nederland meent deze procedures niet te hoeven aanpassen omdat zij niet langer verplicht is de gedragscode ter goedkeuring voor te leggen aan het CBP. Volgens deze redenering gaat het er niet om of verwerkingsprocedures legitiem, rechtmatig zijn, maar slechts om de vraag of ZN verplicht is opnieuw goedkeuring te vragen van de toezichthouder privacy.”
Volgens KDVP negeert ZN daarmee haar verantwoordelijkheid: “Met dit bedenkelijke en ronduit onjuiste standpunt wordt nu te kennen gegeven dat zorgverzekeraars zich niet behoeven te verantwoorden voor de wijze waarop bijzondere persoonsgegevens worden verzameld, verwerkt en gebruikt. Naar het oordeel van de heer Rouvoet staan zorgverzekeraars kennelijk boven de wet”, stelt de organisatie op haar website.
CBP officieel verzocht om handhaving
Daarom deed Stichting KDVP op 2 maart jl. een officieel handhavingsverzoek (link) bij het College Bescherming Persoonsgegevens. In het handhavingsverzoek wordt de toezichthouder opgeroepen haar handhavende bevoegdheden in te zetten tegen Zorgverzekeraars Nederland, dat weigert haar procedures aan te passen aan de rechterlijke uitspraak uit november 2013.
Lees de volledige correspondentie tussen KDVP en Zorgverzekeraars Nederland achtereenvolgens hier, hier, hier en hier op de site van Stichting KDVP.