Vragen van het lid Van Gerven (SP) aan de minister van Volksgezondheid, Welzijn en Sport over de privacyschending van medische persoonsgegevens door zorgverzekeraars (ingezonden 10 augustus 2011).

Antwoord van minister Schippers (Volksgezondheid, Welzijn en Sport) (ontvangen 14 september 2011).

Vraag 1

Vindt u het acceptabel dat zorgverzekeraars medische dossiers kunnen inzien zonder dat toestemming van de verzekerde wordt gevraagd? Zo nee, waarom niet?1

Antwoord 1

Er is voor de toegang van zorgverzekeraars tot medische gegevens een zorgvuldige regeling getroffen. Die regeling geldt zowel voor de Zvw, de AWBZ als de aanvullende verzekering. Deze regeling is afgestemd met de Nederlandse Patiënten en Consumenten Federatie (NPCF), de Koninklijke Nederlandse Maatschappij tot bevordering van de Geneeskunst (KNMG), GGZ Nederland, Zorgverzekeraars Nederland (ZN) en de Nederlandse Zorgautoriteit (NZa) en vastgesteld op basis van advisering door het College bescherming persoonsgegevens (CBP).

Vraag 2

Heeft u inzicht in welke mate de regels omtrent privacy van medische persoonsgegevens worden nageleefd door zorgverzekeraars? Zo ja, wilt u de Kamer hierover informeren?

Zo nee, bent u bereid dit uit te zoeken?

Antwoord 2

De NZa heeft in 2007 een uitgebreide nulmeting verricht op de naleving van de privacyregelgeving door zorgverzekeraars. Het doel van de nulmeting was om inzicht te verkrijgen in de organisatorische en technische maatregelen die zorgverzekeraars hadden getroffen voor de bescherming van persoonsgegevens, hoe deze maatregelen werden gewaarborgd en of de getroffen maatregelen voldeden aan wat bij wet- en regelgeving is bepaald. Naar aanleiding van de bevindingen van de nulmeting heeft de NZa in 2008 een follow up onderzoek verricht. Dit had als doel om vast te stellen of alle zorgverzekeraars (inmiddels) de noodzakelijke organisatorische maatregelen hadden getroffen om op een adequate wijze uitvoering te kunnen geven aan de naleving van de privacyregelgeving. Dat bleek in voldoende mate het geval te zijn.

Voorts verwijs ik u ook naar mijn antwoord op vraag 6.

Vraag 3

Vindt u het met het oog op de zorgvuldigheid en veiligheid wenselijk dat zorginstellingen medische gegevens uit dossiers per post opsturen naar de zorgverzekeraar die de controle houdt? Zo nee, welke actie gaat u hierop ondernemen? Zo ja, wilt u toelichten waarom?

Antwoord 3

Het is niet ongebruikelijk deze gegevens per post te versturen. Binnen de post zijn voldoende waarborgen (aangetekend versturen, track & trace) mogelijk voor een zorgvuldige en veilige verzending van deze gegevens.

Vraag 4

Onderschrijft u, met het oog op de medische privacy, dat medische dossiers alleen op locatie van de gecontroleerde zorginstellingen en met toestemming van de verzekerde te bezichtigen zijn door zorgverzekeraars? Zo nee, waarom niet?

Antwoord 4

Niet is in te zien waarom detailcontrole uitsluitend moet plaatsvinden bij de instelling. In de regelingen bedoeld in het antwoord op de eerste vraag is vastgelegd dat de detailcontrole steeds plaatsvindt onder verantwoordelijkheid van de medisch adviseur van de zorgverzekeraar. Uit dit voorschrift vloeit voort dat deze bepaalt welke persoonsgegevens moeten worden opgevraagd bij het uitvoeren van de controle. Hiermee is gewaarborgd dat bij de uitvoering van de detailcontrole voldoende deskundigheid beschikbaar is en adequaat (door de medisch adviseur) wordt gemotiveerd.

De zorgverzekeraar legt voorafgaand aan de detailcontrole aan de zorgaanbieder uit wat het doel is van de controle. De zorgaanbieder kan daarover vragen stellen die de verzekeraar met inachtneming van de regeling naar beste weten beantwoordt. Een zorgaanbieder kan in een voorkomend geval gemotiveerd aangeven bij een verzekeraar waarom hij van mening is dat in dat geval niet aan de in de regeling gestelde eisen is voldaan. De verzekeraar zal naar aanleiding daarvan de noodzaak tot inzet van het controle-instrument nader motiveren en toelichten. Waar bij nader inzien blijkt dat het controledoel ook zonder het betreffende instrument kan worden gerealiseerd, is een andere oplossing aangewezen. Het voorgaande laat onverlet dat de zorgaanbieder ook de medisch adviseur van de zorgverzekeraar om een (nadere) toelichting kan vragen. Mocht de verzekeraar in voorkomend geval van mening blijven dat de inzet van het betreffende controle-instrument noodzakelijk is en de zorgaanbieder blijft van mening dat niet aan de eisen van de regeling is voldaan, dan zal de verzekeraar in overweging nemen of hij een juridische procedure zal entameren.

Bovenstaande procedure is geheel in overeenstemming met de regeling.

Vraag 5

Deelt u de mening dat medische dossiers uitsluitend in behandeling zouden mogen worden genomen door medisch geschoolde adviseurs die gebonden zijn aan het medisch beroepsgeheim en niet door andere kantoormedewerkers? Zo nee, waarom niet?

Antwoord 5

In de regeling is bepaald dat detailcontrole plaatsvindt onder verantwoordelijkheid van de medisch adviseur van de zorgverzekeraar en dat deze op verzoek van de zorgaanbieder bij de detailcontrole aanwezig is. Hieruit vloeit voort dat de medisch adviseur bepaalt welke persoonsgegevens moeten worden opgevraagd bij het uitvoeren van de controle. De daarbij ingeschakelde medewerkers hebben een van de medisch adviseur afgeleide geheimhoudingsplicht.

Vraag 6

Op welke wijze ziet de Nederlandse Zorgautoriteit (NZa) intensiever toe op de uitvoering van materiële controles met betrekking tot inzage van (medische) persoonsgegevens door zorgverzekeraars, sinds zorgverzekeraars ingevolge de nieuwe ministeriële regeling op basis van de Zorgverzekeringswet geen toestemming meer nodig hebben van verzekerden om deze gegevens in te kunnen zien?2

Antwoord 6

De nieuwe regeling heeft hierin geen beleidswijziging gebracht. Ook onder de oude regeling was geen toestemming van de verzekerde nodig.

De NZa besteedt intensiever aandacht aan materiële controles vanwege het in het regeerakkoord opgenomen onderwerp over intensivering van het rechtmatigheidsonderzoek. Dit krijgt bij het lopende onderzoek Zvw 2010 gestalte door het aspect materiële controle verdiepend te onderzoeken. Via het informatiemodel uitvoeringsverslag 2011 en het controleprotocol 2011 heeft de NZa de verantwoording en controle voorschriften voor de zorgverzekeraars over de materiële controle aangescherpt. Ten algemene valt het op dat zorgverzekeraars in beperkte mate verdiepende controles aan de hand van medische dossiers uitvoeren. Tegelijkertijd constateren we dat er – wellicht door de in de regeling omschreven heldere procedure en bevoegdheden – een countervailing power van de zorgaanbieders bestaat waarbij in het algemeen alleen goed onderbouwde verzoeken van de zorgverzekeraars tot inzage in de medische dossiers leiden.

Vraag 7

Deelt u de mening, met het oog op de privacy, dat een verzekerde te allen tijde toestemming gevraagd dient te worden zodra (medische) gegevens gecontroleerd worden? Zo nee, waarom niet? Zo ja, hoe gaat u dit waarborgen?

Antwoord 7

Nee, zie mijn antwoord op vraag 1.

Vraag 8

Wat is het oordeel van het College bescherming persoonsgegevens (CBP) met betrekking tot inzage van (medische) persoonsgegevens die door zorgverzekeraars tijdens controles worden ingezien?

Antwoord 8

In de Zvw is de wettelijke basis gelegd voor (onder omstandigheden ook) inzage in medische dossiers door zorgverzekeraars indien en voor zover een dergelijke verwerking van medische persoonsgegevens noodzakelijk is voor de uitvoering van de Zvw. In de Regeling zorgverzekering is nader uitgewerkt hoe en onder welke omstandigheden zorgverzekeraars van die mogelijkheid gebruik kunnen maken bij materiële controle. In de regeling wordt beoogd een zorgvuldige en proportionele werkwijze van zorgverzekeraars te waarborgen door het voorschrijven van een stapsgewijze opbouw van die materiële controle. De zorgverzekeraar mag stappen in een volgende fase (met instrumenten die een grotere inbreuk maken op de persoonlijke levenssfeer van patiënten) niet eerder zetten dan nadat is vastgesteld dat met de stappen in de voorgaande fase niet kan worden volstaan om het door de zorgverzekeraar vastgestelde doel van de materiële controle te bereiken. Detailcontrole (in laatste instantie ook in de vorm van inzage in medische dossiers) is daardoor slechts mogelijk als de zorgverzekeraar kan aantonen dat minder ingrijpende stappen het doel van de materiële controle niet kan worden bereikt. Inzage in medische dossiers kan dus uitsluitend plaatsvinden als uiterste middel, indien de proportionaliteit daarvan kan worden gemotiveerd. Het aldus inbouwen van waarborgen voor zorgvuldigheid en proportionaliteit is conform de advisering van het CBP ter zake.


X Noot
1

http://knmg.artsennet.nl/Nieuws/Nieuwsarchief/Nieuwsbericht-1/Controle-verzekeraars-op-uitvoering-zorgverzekeringen-1.htm

X Noot
2

http://www.nza.nl/publicaties/nieuws/Scherper-toezicht-materiele-controle-verzekeraars/

Naar boven