Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2011-2012 | 2881 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2011-2012 | 2881 |
Wat is uw reactie op het bericht dat medewerkers van diverse zorgverzekeraars persoonlijke behandelplannen en gespreksverslagen hebben ingezien van mensen die geestelijke gezondheidszorg ontvangen? Klopt dit bericht? Zo nee, wat klopt er precies niet aan?1
In de Zorgverzekeringswet (Zvw) is de wettelijke basis gelegd voor inzage in medische dossiers door zorgverzekeraars indien en voor zover een dergelijke verwerking van medische persoonsgegevens noodzakelijk is voor de uitvoering van de Zvw. In de Regeling zorgverzekering en de Gedragscode Verwerking persoonsgegevens Zorgverzekeraars met bijbehorend Protocol Materiële Controle van Zorgverzekeraars Nederland (verder: de Gedragscode Zorgverzekeraars) is nader uitgewerkt hoe en onder welke omstandigheden zorgverzekeraars van die mogelijkheid gebruik kunnen maken bij materiële controle. De regeling waarborgt een zorgvuldige en proportionele werkwijze van zorgverzekeraars door het voorschrijven van een gefaseerde opbouw van die materiële controle.
De zorgverzekeraar mag stappen in een volgende fase (met instrumenten die een grotere inbreuk maken op de persoonlijke levenssfeer van patiënten) niet eerder zetten dan nadat hij heeft vastgesteld dat met de stappen in de voorgaande fase niet kan worden volstaan om het door de zorgverzekeraar vastgestelde doel van de materiële controle te bereiken. Detailcontrole (in laatste instantie ook in de vorm van inzage in medische dossiers) is daardoor slechts mogelijk als de zorgverzekeraar richting de aanbieder kan aantonen dat met minder ingrijpende stappen het doel van de materiële controle niet kan worden bereikt. Inzage in medische dossiers kan dus uitsluitend plaatsvinden als uiterste middel, indien de proportionaliteit daarvan kan worden gemotiveerd.
Van zorgverzekeraar CZ heb ik begrepen dat de wijze waarop zij hun controle hebben uitgevoerd in overeenstemming is met de hierboven beschreven regels. CZ heeft eerst minder ingrijpende stappen gezet en vervolgens vastgesteld dat het noodzakelijk was om medische dossiers in te zien. De dossiercontrole (dus de detailcontrole) is uitgevoerd door een «functionele eenheid» onder verantwoordelijkheid van de medisch adviseur. De van de medisch adviseur afgeleide geheimhoudingsplicht geldt daarmee voor alle betrokkenen bij dit dossieronderzoek. Op deze wijze is de privacy van de betrokken patiënten gewaarborgd.
Op basis van bovenstaande informatie stel ik vast dat de door onder andere zorgverzekeraar CZ uitgevoerde controle past bij de rol van de verzekeraars in het stelsel. Uit deze controles is gebleken dat het grootste deel van de door Europsyche ingediende declaraties geen betrekking heeft op collectief verzekerde zorg. Europsyche diende declaraties in voor zorg die niet tot het basispakket behoort en dus niet uit de collectieve middelen vergoed mag worden. Dit was niet anders vast te stellen dan door de wijze waarop de controles zijn uitgevoerd. Gezien de problemen waarvoor wij ons gesteld zien met betrekking tot de betaalbaarheid van de zorg, ben ik verheugd dat de verzekeraars wat dit betreft hun rol oppakken.
Is het waar dat mensen thuis zijn gebeld door medewerkers van verzekeraars die over vertrouwelijke gegevens bleken te beschikken? Zo nee, wat is er werkelijk gebeurd? Indien u niet over deze gegevens beschikt, bent u dan bereid onderzoek te doen naar deze ernstige aantijging? Zo nee, waarom niet?
Is het waar dat zorgverzekeraar CZ controles door middel van inzage in dossiers of gespreksverslagen heeft laten uitvoeren door medewerkers die niet onder het medisch beroepsgeheim vallen? Zo ja, wat is hierover uw oordeel?
Zorgverzekeraar CZ heeft een telefonische enquête uitgevoerd om te verifiëren of er sprake was van onrechtmatigheden voorafgaand aan het dossieronderzoek. De medewerkers die deze enquête uitvoerden, opereerden onder de verantwoordelijkheid van de medisch adviseur en zijn gehouden aan het medisch beroepsgeheim. Op het moment van de enquête waren er geen vertrouwelijke gegevens uit het dossieronderzoek beschikbaar.
Wilt u uitzoeken of het klopt dat mensen zelfs zijn gebeld met de vraag of zij zich realiseren hoeveel zij de samenleving kosten? Zo nee, waarom niet?
Navraag bij zorgverzekeraar CZ leert dat deze vraag niet is gesteld in de telefonische enquête die zij hebben uitgevoerd in het kader van het verifiëren of er sprake was van onrechtmatigheden, voorafgaand aan het dossieronderzoek. Deze enquête was geprotocolleerd en bestond uit 9 vragen. De vragen richtten zich voornamelijk op de kwalificatie van de behandelaar en de naamsbekendheid en rol van Europsyche binnen de behandeling.
Is patiënten in alle gevallen vooraf om toestemming gevraagd voor inzage in het dossier en/of gespreksverslagen? Zo nee, wat is hierover uw oordeel en welke consequentie verbindt u hieraan?
Ik vind het van groot belang dat verzekeraars toezicht kunnen uitoefenen op uitgaven voor verzekerde zorg en dat daarbij een zorgvuldige omgang met de persoonsgegevens van verzekerden gewaarborgd is. In sommige gevallen is het noodzakelijk om medische dossiers van patiënten te kunnen inzien zonder toestemming van de verzekerde.
In verreweg de meeste gevallen is inzage in het medisch dossier door een zorgverzekeraar (een zware vorm van detailcontrole) niet nodig, omdat veelal minder vergaande vormen van controles soelaas kunnen bieden. Inzage in het medisch dossier van een individuele verzekerde is alleen in uiterste instantie mogelijk, namelijk pas als methoden die de privacy veel minder belasten niet toereikend zijn.
Voor het doorbreken van het beroepsgeheim door zorgaanbieders en het verwerken van medische persoonsgegevens door verzekeraars (zonder toestemming van de verzekerde/patiënt) bestaat in de Regeling zorgverzekering een afdoende wettelijke grondslag. Zie verder mijn antwoord op vraag 1.
Welke andere zorgverzekeraars hebben controles uitgevoerd door medewerkers die niet onder het medisch beroepsgeheim vallen?
Is het waar dat slechts één zorgverzekeraar de controles uitsluitend heeft verricht met behulp van een medisch adviseur. Zo nee, welke zorgverzekeraars hebben nog meer op deze wijze gewerkt?
Dossiercontrole door zorgverzekeraars dient altijd te gebeuren onder verantwoordelijkheid van een medisch adviseur zoals vastgelegd in de Regeling zorgverzekering en de Gedragscode Zorgverzekeraars. De geheimhoudingsplicht geldt daarmee voor alle betrokken medewerkers bij dit dossieronderzoek. Er zijn mij geen signalen bekend van verzekeraars die in strijd met het voorgaande materiële controles hebben uitgevoerd.
Aan welke controleregels moeten zorgverzekeraars voldoen? Wat is de sanctie indien zij deze overtreden?
De controleregels zijn vastgesteld in de Regeling zorgverzekering en nader uitgewerkt in de Gedragscode Zorgverzekeraars (Stcrt. 2012, nr. 401, pagina 49 e.v.). Voor een uitgebreide toelichting verwijs ik graag naar mijn antwoord op vraag 1.
De NZa is belast met het toezicht op de rechtmatige uitvoering door de zorgverzekeraars van hetgeen bij of krachtens de Zvw is geregeld (artikel 16, onderdeel b, van de Wet marktordening gezondheidszorg, verder Wmg). De NZa kan de bepalingen in de Zvw over de verwerking van persoonsgegevens bestuursrechtelijk handhaven met een last onder dwangsom en/of een bestuurlijke boete (artikel 83 respectievelijk artikel 89 Wmg). Bij overtreding van de gedragscode, en daarmee de Wet bescherming persoonsgegevens, kan het CBP handhavend optreden.
Tussen het CBP en de NZa is een protocol opgesteld waarin de samenwerking tussen beide partijen is geregeld2. Het doel van het protocol is tweeledig. Ten eerste om tot een verdeling te komen van het toezicht, daar waar sprake is van een samenloop in taken en bevoegdheden.
Ten tweede om elkaar die informatie te verschaffen die van belang kan zijn voor de handhavingactiviteiten van de ander. Beide organisaties houden toezicht op de naleving van de eisen die de Regeling zorgverzekering en de Gedragscode Zorgverzekeraars stellen aan het verrichten van materiële controles.
Bieden de controleregels ruimte voor inzage van persoonlijke medische en behandelinformatie van cliënten door mensen die niet onder het medisch beroepsgeheim vallen? Zo nee, bent u bereid te onderzoeken of alle zorgverzekeraars zich aan deze regels hebben gehouden? Zo ja, deelt u de mening dat hier sprake is van een onwenselijke schending van de privacy van patiënten en dat de regels of het toezicht op de naleving moeten worden aangescherpt? Wilt u uw antwoord toelichten?
Deelt u de mening van CZ dat het opleidingsniveau van controleurs die inzage hebben in privacygevoelige informatie niet relevant is? Wilt u uw antwoord toelichten?
Deelt u de mening dat interne integriteitsverklaringen van medewerkers van een zorgverzekeraar minder zwaar wegen dan het medische beroepsgeheim en de tuchtrechtelijke aansprakelijkheid van medici en andere BIG-geregistreerden (Beroepen Individuele Gezondheidszorg)? Zo nee, wat is dan nog de betekenis van het beroepsgeheim en de tuchtrechtelijke aansprakelijkheid?
De kern van de aanpak van materiële controle is te zorgen voor een controlesysteem dat de betrokkenen en de persoonlijke levenssfeer zo weinig mogelijk belast. Met dat doel is gekozen voor een aanpak die bevordert dat de inzet van detailcontrole waar mogelijk kan worden vermeden door de inzet van niet tot de personen herleidbare controlemiddelen in een vroegere fase van het onderzoek. Zie verder mijn antwoord op vraag 5.
Indien bij de uitvoering van detailcontrole persoonsgegevens van verzekerden worden verwerkt moet dit plaatsvinden onder verantwoordelijkheid van een medisch adviseur (wettelijke verplichting, artikel 7.4, tweede lid, Regeling zorgverzekering). De regeling is tot stand gekomen met instemming van het CBP en het veld. Zie ook mijn antwoord op de vragen 6 en 7. Er worden daarbij inderdaad geen eisen gesteld aan het opleidingsniveau van de betreffende medewerkers.
Bij de beantwoording van de vragen 6 en 7 heb ik tevens aangegeven dat er mij geen signalen bekend zijn van verzekeraars die in strijd met het vereiste, dat materiële controles moeten worden verricht onder verantwoordelijkheid van een medisch adviseur, hebben gehandeld. Nader onderzoek hiernaar acht ik niet noodzakelijk. Zoals ik in mijn antwoord op vraag 8 heb aangegeven zijn er twee toezichthouders, het CBP en de NZa, die toezicht houden op de wijze waarop verzekeraars materiële controles uitvoeren.
Welke lichtere controle-instrumenten hebben zorgverzekeraars tot hun beschikking? Hebben zij hiervan op adequate wijze gebruik gemaakt alvorens over te gaan tot het lezen van medische dossiers en gespreksverslagen? Indien u niet over deze gegevens beschikt, bent u dan bereid dit uit te zoeken? Zo nee, waarom niet?
In de Gedragscode Zorgverzekeraars is een stappenplan opgenomen. Alvorens eventueel over te gaan tot het inzien van medische dossiers, wat een vorm van detailcontrole is, dienen een algemene risicoanalyse en algemene controle plaats te vinden. Alleen wanneer de uitkomsten hiervoor aanleiding geven, zal detailcontrole worden ingezet. De instrumenten die kunnen worden ingezet in het kader van een algemene controle zijn onder meer het gebruik van de AO/IC-verklaring van de zorgaanbieder (dan wel bestuurs- en accountantsverklaringen), statistische analyses en verbands- en logicacontroles. Hierbij moet onderscheid gemaakt worden tussen onderzoek naar aanleiding van risicoanalyse en onderzoek naar aanleiding van signalen. Bij onderzoek naar een concreet signaal, zoals het onderhavige onderzoek, is het niet nodig eerst een risicoanalyse en algemene controle te doen. Wel moet bij onderzoek naar een signaal eveneens de proportionaliteit in acht genomen worden (eerst minder ingrijpende procedures alvorens verdergaande stappen te nemen). Het inzien van medische dossiers vindt derhalve uitsluitend plaats als andere mogelijkheden niet voorhanden zijn.
In de onderhavige casus zijn eerst minder ingrijpende stappen gezet. Zoals de Regeling zorgverzekering voorschrijft, zijn er pas zwaardere middelen ingezet toen bleek dat er sprake was van ernstige verdenking van onrechtmatigheden. Dossierinzage is een zeer arbeidsintensieve manier van controleren. Zorgverzekeraars doen dit soort onderzoeken alleen als er aanleiding toe is. Op basis van de informatie die ik heb, stel ik vast dat zorgverzekeraars de signalen rond vermoedens over het declareren van niet verzekerde zorg serieus hebben opgepakt en dat zij daartoe alle in de Gedragscode Zorgverzekeraars vastgestelde stappen hebben doorlopen. Zo kan worden voorkomen dat we collectieve middelen inzetten voor zorg die niet vergoed had mogen worden. Dat dit heel belangrijk is vanuit het oogpunt van de betaalbaarheid van de zorg spreekt voor zich.
Deelt u de mening dat het vertrouwen van de burger in de zorg ernstig wordt geschaad als hij er niet langer zeker van kan zijn dat vertrouwelijke gesprekken en gevoelige dossierinformatie binnen de muren van de behandelkamer blijven? Zo nee, waarom niet?
Neen, die mening deel ik niet. Het kan niet zo zijn dat er zorg wordt vergoed die niet tot het basispakket behoort. Dit zet immers de betaalbaarheid van het hele zorgstelsel onder druk. De burger moet er ook op kunnen vertrouwen dat hier op gelet wordt. Daarvoor is het onontbeerlijk om persoonsgegevens te verwerken. Dat neemt niet weg dat zeer zorgvuldig met medische gegevens dient te worden omgegaan. Deze behoren immers tot de hoogste categorie van gevoeligheid en hebben daarom in het (internationale) recht bijzondere bescherming gevonden. In het kader van het privacyrecht en de Zvw staat dan ook voorop dat de verwerking van persoonsgegevens slechts is toegestaan voor zover dat noodzakelijk is voor de uitvoering van de zorgverzekering en de Zvw. Dit noodzakelijkheidcriterium is dan ook cruciaal voor de beantwoording van de vraag tot welk detailniveau in het kader van materiële controle persoonsgegevens mogen worden ingezien, zoals geregeld in de Regeling zorgverzekering en de Gedragscode Zorgverzekeraars.
Op basis van de signalen die ik heb, stel ik vast dat de zorgverzekeraars hebben gehandeld zoals het protocol materiële controle, onderdeel van de Gedragscode Zorgverzekeraars, voorschrijft.
Wat stelt de opt-in-regeling van het Elektronisch Patiëntendossier nog voor als zorgverzekeraars via andere weg bij patiëntengegevens kunnen komen? Wilt u uw antwoord toelichten?
Met een opt-in geven patiënten aan of zij willen dat hun gegevens beschikbaar zijn voor elektronische uitwisseling tussen zorgaanbieders waarmee zij een behandelrelatie hebben. Als patiënten niet willen dat gegevens op elektronische wijze worden uitgewisseld kunnen zij ervoor kiezen niet aan deze uitwisseling mee te doen.
Zorgverzekeraars krijgen echter geen toegang tot het EPD. Verder is van belang dat in de Gedragscode Zorgverzekeraars (artikel 4.9.4) is bepaald dat zorgverzekeraars de persoonsgegevens die worden verzameld in het kader van materiële controle, gericht op de zorgaanbieder, in beginsel niet mogen gebruiken voor een ander doel dan materiële controle van de betreffende zorgaanbieder. De gegevens van de patiënten mogen bijvoorbeeld niet worden gebruikt om hen uit te sluiten van een (aanvullende) verzekering. Dat is ook één van de redenen waarom materiële controle plaatsvindt onder verantwoordelijkheid van de medisch adviseur van de zorgverzekeraar.
Wat is het oordeel van het College Bescherming Persoonsgegevens (CBP) over deze zaak? Indien het CBP hierover nog geen standpunt heeft ingenomen, bent u dan bereid dit College om advies te vragen? Zo nee, waarom niet?
Ik verwijs u kortheidshalve naar mijn antwoord op de vragen 9, 10 en 11. Daarenboven wil ik er op wijzen dat zorgverzekeraars hun controles uitvoeren volgens de Regeling zorgverzekering en de Gedragscode Zorgverzekeraars waar het protocol materiële controle deel van uitmaakt. Het College bescherming persoonsgegevens (CBP) heeft voor deze gedragscode een goedkeurende verklaring afgegeven (Stcrt. 2012, nr. 401). Het is aan het CBP om te bepalen of onderzoek wenselijk is. Het CBP is een onafhankelijke toezichthouder en bepaalt zelf of en wanneer het onderzoek noodzakelijk is.
Is het CBP van mening dat de gedragscode voor zorgverzekeraars moet worden aangescherpt aangezien deze geen uitsluitsel geeft over zaken als inzage van patiëntengegevens door niet-medici en het onaangekondigd opbellen van verzekerden? Zo nee, waarom niet?
Zoals in mijn antwoorden op voorgaande vragen aangegeven, geven zowel de Regeling zorgverzekering als de Gedragscode Zorgverzekeraars wel uitsluitsel over dit soort zaken.
Bieden de wettelijke regels ruimte aan zorgverzekeraars voor verregaande privacyschendende controles, zoals inzage in gespreksverslagen? Kunt u de regelingen noemen waarin die ruimte precies wordt bepaald? Ziet u aanleiding deze aan te scherpen? Zo nee, waarom niet?
Ik verwijs u naar mijn antwoorden op de vragen 5 alsmede de antwoorden op de vragen 9, 10 en 11.
Vindt u het nog wel verantwoord om het Elektronisch Patiëntendossier in handen van de zorgverzekeraars te geven, gelet op de toenemende signalen dat velen van hen geen boodschap hebben aan de medische privacy en deze ondergeschikt maken aan hun eigen bedrijfseconomische belangen?
Het EPD is en wordt niet in handen van zorgverzekeraars gegeven. De koepels van zorgaanbieders hebben besloten tot een doorstart van het Landelijk Schakel Punt (LSP). Zij hebben voor de financiering hiervan afspraken gemaakt met de zorgverzekeraars, zoals zij ook voor andere vormen van zorg doen. Zorgverzekeraars hebben ook geen toegang tot het LSP.
Herinnert u zich uw antwoorden op eerdere vragen, waarin u stelde de rechterlijke uitspraak tegen het verplicht vermelden van diagnose-informatie op ggz-declaraties te respecteren? Indien de Nederlandse Zorgautoriteit opnieuw zou handelen in strijd met de uitspraak van de rechter, bent u dan bereid in te grijpen? Zo nee, waarom niet?3
De NZa heeft op 5 juni 2012 (Stcrt. 2012, nr. 11860) uitvoering gegeven aan de opdracht van het CBB in de uitspraak van 8 maart 2012.
Herinnert u zich uw antwoord waarin u stelde dat uit gegevens uit het DBC-informatiesysteem (DIS) geen personen zijn te herleiden, omdat deze gegevens zijn gepseudonymiseerd? Hoe verhoudt dit antwoord zich dit tot de brief van het CBP aan u, waarin wordt gesproken over een aan het Centraal Bureau voor de Statistiek (CBS) verstrekte sleutel waarmee «pseudo-entiteiten» alsnog kunnen worden geïdentificeerd? Wilt u uw antwoord toelichten?4
Door de toegepaste pseudonimisering zijn in het DBC-Informatiesysteem (DIS) geen personen te herleiden. Voor het CBS is een situatie gecreëerd waardoor het CBS de DIS-gegevens kan koppelen met de Gemeentelijke Basisadministratie (GBA). Dat gaat als volgt in zijn werk. De DIS-gegevens worden eerst opgestuurd aan een zogenaamde trusted third party, die de DIS-pseudoniemen omzet in een speciaal CBS-pseudoniem en deze naar het CBS verstuurt. Het CBS stuurt vervolgens de benodigde GBA-gegevens versleuteld en dus onherkenbaar naar de trusted third party, die deze GBA-gegevens van hetzelfde CBS-pseudoniem voorziet als voor de DIS-gegevens, en de gepseudonimiseerde GBA-gegevens naar het CBS verstuurt. Daarmee kan het CBS dan de DIS-gegevens aan de GBA-gegevens koppelen. De DIS-pseudoniemen worden dus niet geïdentificeerd door deze procedure. Ten behoeve van statistische doeleinden is het CBS wettelijk gerechtigd om persoonsgegevens te verwerken (CBS-wet, artikel5.
Het CBP geeft overigens in de door u genoemde brief aan, dat het kan instemmen met de gehanteerde pseudonimiseringsprocedure voor de DIS, inclusief de voor het CBS gecreëerde variant.
Aan welke personen of instanties anders dan het CBS wordt de in vraag 20 genoemde sleutel nog meer verstrekt?
Is het waar dat ook de Stichting ZorgTTP, die een schakel vormt in de pseudonymisering van DBC-registraties, medische gegevens in handen krijgt, zoals wordt gesteld in een document van de Stichting Informatievoorziening Zorg? Vindt u de beveiliging door middel van een wachtwoord dat bekend is bij het DIS afdoende bescherming? Wilt u uw antwoord toelichten?6
DIS-gegevens worden dubbel gepseudonimiseerd. Voordat een zorgaanbieder gegevens aanlevert bij Stichting ZorgTTP, worden de persoonsgegevens al eenmaal onomkeerbaar gepseudonimiseerd. Ook wordt er dan een scheiding aangebracht tussen persoonsgegevens en overige gegevens. Alleen de gepseudonimiseerde persoonsgegevens kunnen door ZorgTTP worden geopend, zodat ZorgTTP ze voor de tweede keer kan pseudonimiseren. De overige gegevens, zoals zorgproducten en zorgactiviteiten, zijn voor de ZorgTTP niet toegankelijk. Er kunnen door ZorgTTP dus geen medische gegevens worden ingezien. De overige gegevens, kunnen alleen door DIS worden geopend. Deze gegevens zijn mijns inziens afdoende beveiligd.
deze vragen dienen ter aanvulling op eerdere vragen ter zake van het lid Bouwmeester, ingezonden 23 mei 2012 (vraagnummer 2012Z10339)
Beschrijving gebruik pseudo-identiteiten binnen het Diagnose Behandel Combinatie Informatiesysteem, Stichting Informatievoorziening Zorg, 2005.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20112012-2881.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.