35 044 Wijziging van de Zorgverzekeringswet, de Wet langdurige zorg en enige andere wetten in verband met het controleren van de verzekeringsplicht voor de zorgverzekering en het regelen van de verwerking van gepseudonimiseerde persoonsgegevens door Onze Minister voor Medische Zorg, het Zorginstituut Nederland en het RIVM

Nr. 5 VERSLAG

Vastgesteld 14 november 2018

De vaste commissie voor Volksgezondheid, Welzijn en Sport, belast met het voorbereidend onderzoek van voorliggend wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.

Onder het voorbehoud dat de in het verslag opgenomen vragen en opmerkingen afdoende door de regering worden beantwoord, acht de commissie de openbare behandeling van het wetsvoorstel voldoende voorbereid.

Inhoudsopgave

I.

Algemeen

1

1.

Inleiding

1

2.

Hoofdlijnen van het voorstel

2

3.

(Financiële) gevolgen en regeldrukgevolgen

5

4.

Uitvoering

5

5.

Consultatie en advisering

5

I. ALGEMEEN

1. Inleiding

De leden van de CDA-fractie hebben kennisgenomen van het voorliggende wetsvoorstel. Deze leden hebben enkele vragen hierbij.

De leden van de D66-fractie hebben met interesse kennisgenomen van de Wijziging van de Zorgverzekeringswet, de Wet langdurige zorg en enige andere wetten in verband met het controleren van de verzekeringsplicht voor de zorgverzekering en het regelen van de verwerking van gepseudonimiseerde persoonsgegevens door Onze Minister voor Medische Zorg, het Zorginstituut Nederland en het RIVM. Deze leden hebben nog enkele vragen over het voorliggende wetsvoorstel.

De leden van de SP-fractie hebben kennisgenomen van de Wijziging van de Zorgverzekeringswet, de Wet langdurige zorg en enige andere wetten in verband met het controleren van de verzekeringsplicht voor de zorgverzekering en het regelen van de verwerking van gepseudonimiseerde persoonsgegevens door Onze Minister voor Medische Zorg, het Zorginstituut Nederland en het RIVM.

2. Hoofdlijnen van het voorstel

2.1. Regeling controle van de verzekeringsplicht voor de zorgverzekering

2.1.1 Aanleiding en doel van de bovenbedoelde regeling

De leden van de CDA-fractie vragen op basis waarvan de schatting is gemaakt dat ongeveer 79.000 personen niet verzekeringsplichtig zijn en toch een zorgverzekering hebben. Waardoor wordt de afname sinds 2015 van 92.500 naar 79.000 niet-verzekeringsplichtige verzekerden veroorzaakt?

De leden van de D66-fractie lezen dat verzekeringnemers, hoewel daartoe verplicht, hun zorgverzekeraar niet altijd volledig en tijdig informeren over feiten en omstandigheden die van belang zijn voor het voortbestaan van de verzekeringsplicht. Deze leden vragen op welke wijze het voorliggende voorstel bevordert dat de verzekeringnemers van deze verplichting op de hoogte worden gesteld. De leden van de D66-fractie vragen of de regering uiteen kan zetten wat tot dusver is gedaan om het aantal niet-verzekeringsplichtige verzekerden te beperken, en waarom deze maatregelen onvoldoende effectief zijn gebleken.

De leden van de SP-fractie willen graag weten wat voor extra handelingen de Sociale Verzekeringsbank (SVB) en de zorgverzekeraars zullen verrichten om de verzekeringsplicht beter te kunnen vaststellen.

2.1.2 Verzekeringsplicht voor de zorgverzekering

De leden van de CDA-fractie vragen of met de voorgestelde wijzigingen de primaire verantwoordelijkheid van de verzekeringnemer om de zorgverzekeraar op de hoogte te stellen, vervalt. Welke consequenties heeft het voor de verzekeringnemer als hij of zij de informatie niet (tijdig) verstrekt? Wat gebeurt er als een niet-verzekeringsplichtige verzekerde bij een zorgverzekeraar zorg declareert? Mag een zorgverzekeraar deze dan weigeren?

De leden van de SP-fractie vragen wat voor problemen zorgverzekeraars ondervinden bij de toetsing van de verzekeringsplicht.

Daarnaast willen zij graag weten waarom zorgverzekeraars zelf controleren of verzekerden verzekeringsplichtig zijn onder de Zorgverzekeringswet (Zvw), en of het niet wenselijk is om deze taak bij de SVB neer te leggen.

Welke verklaring heeft de regering voor de astronomische groei in het aantal verzoeken aan de SVB om na te gaan of iemand ingevolge de Wet langdurige zorg (Wlz) van rechtswege verzekerd is? Wat is het verschil tussen verzoeken van zorgverzekeraars en spontane verzoeken, en wat is de verklaring voor de stijging van die laatste categorie?

2.1.3 Gerede twijfel zorgverzekeraars

De leden van de CDA-fractie vragen of een zorgverzekeraar alleen bij het sluiten van een nieuwe zorgverzekering het vermelde adres van de aspirant-verzekerde mag checken in de basisregistratie, of dat de zorgverzekeraar dit jaarlijks mag doen. Als zorgverzekeraars dit nu al jaarlijks mogen doen, wat zijn dan redenen dat zij dat in de praktijk niet doen?

De leden van de SP-fractie willen graag weten wat voor regels met dit wetsvoorstel bij ministeriële regeling gesteld kunnen worden over de vaststelling van de verzekeringsplicht door de zorgverzekeraar. Zal de Richtlijn toepassing gerede twijfel verzekeringsplicht Zorgverzekeraars Nederland (Richtlijn gerede twijfel) afdwingbaar worden en zo ja, waarom is dit wenselijk? Komt het vaak voor dat zorgverzekeraars niet actief optreden als het gaat om hun taak om vast te stellen of verzekerden verzekeringsplichtig zijn?

2.1.4 Bestandvergelijking SVB

De SVB kan een bestandsvergelijking uitvoeren tussen de Basisadministratie Volksverzekeringen (BAV) en het Referentiebestand verzekerden Zorgverzekeringswet (RBVZ) van de gezamenlijke zorgverzekeraars. Op basis van die vergelijking kan het aantal niet-verzekeringsplichtige verzekerden worden teruggedrongen. De leden van de CDA-fractie vragen waarom dit niet nu al standaard gebeurt.

De regering schrijft tegelijk dat het niet uit te sluiten is dat de gegevens waar de SVB over beschikt niet compleet of actueel zijn. Dat betekent dat bij een bestandsvergelijking iemand ook als een niet-verzekeringsplichtige verzekerde geïdentificeerd wordt, terwijl die persoon wel degelijk verzekeringsplichtig is. De leden van de CDA-fractie vragen hoe de verzekerde beschermd wordt tegen onterechte uitschrijving in een dergelijk geval. Moet de verzekerde in eerste instantie door de zorgverzekeraar geïnformeerd worden? Zijn er mogelijkheden om in beroep te gaan?

De leden van de D66-fractie lezen dat de SVB een registratie bijhoudt van degenen die verzekerd zijn ingevolge de Wet langdurige zorg door middel van de BAV. Door deze BAV periodiek te vergelijken met het gezamenlijke bestand van de zorgverzekeraars waarin hun verzekerden zijn opgenomen, het RBVZ, kunnen de personen gezocht en gevonden worden die ten onrechte een zorgverzekering hebben omdat een verzekeringsplicht ontbreekt, zo lezen deze leden. De SVB zal er melding van doen bij de zorgverzekeraar over de uitkomsten van de bestandsvergelijking. Het is dan aan de zorgverzekeraar om hieraan gepaste consequenties te verbinden. Er kunnen echter verschillende oorzaken zijn voor verschillen tussen de BAV en de RBVZ. Kan de regering deze verschillende oorzaken uiteenzetten? Het is vervolgens aan de zorgverzekeraar om te bepalen welke gevolgen worden verbonden aan de uitkomst van de bestandsvergelijking en de zorgverzekeraar zal dit doen aan de hand van de in de Richtlijn gerede twijfel opgenomen criteria. Echter, genoemde leden lazen ook dat naleving van de Richtlijn gerede twijfel door zorgverzekeraars niet kan worden afgedwongen. Zorgverzekeraars zijn niet gehouden de in die richtlijn opgenomen handelingen uit te voeren. Hoe kan dan worden gegarandeerd dat zorgverzekeraars, aan de hand van de in de Richtlijn gerede twijfel opgenomen criteria, zullen bepalen welke consequenties er verbonden zullen worden aan de uitkomsten van de bestandsvergelijking? Zullen deze criteria worden opgenomen in de ministeriële regeling? Deze leden merken ook op de bestandsvergelijking periodiek zal plaatsvinden. Hoe vaak zal dit zijn? En kan de zorgverzekeraar nog steeds een verzoek blijven doen aan de SVB om na te gaan of iemand ingevolge de Wet langdurige zorg van rechtswege is verzekerd?

De leden van de SP-fractie constateren dat louter een bestandsvergelijking niet genoeg is om te concluderen of iemand verzekeringsplichtig is. Zij vragen dan ook wat voor extra maatregelen zullen worden getroffen om wel zeker te zijn. De zorgverzekeraar bepaalt vervolgens welke gevolgen worden verbonden aan de uitkomst van de bestandsvergelijking. Hoe groot acht de regering de kans dat er abusievelijk zorgverzekeringen worden stop- /of voortgezet?

2.2 Regeling verwerking gepseudonimiseerde persoonsgegevens door de Minister voor Medische Zorg, het Zorginstituut en het RIVM

2.2.1 Aanleiding en doel van de bovenbedoelde regeling

De Artikel 29-werkgroep heeft het standpunt ingenomen dat pseudonimisering geen definitief onomkeerbare bewerking van persoonsgegevens is en dat deze gegevens daardoor het karakter van persoonsgegevens behoudt. De leden van de CDA-fractie vragen de regering hoe andere Europese landen met dit standpunt omgaan.

De leden van de SP-fractie willen graag weten welke gegevens gepseudonimiseerd worden en welke niet. Welke gegevens zijn er nodig om de verzekeringsplicht vast te stellen? Welke niet? Welke gegevens zullen niet gepseudonomiseerd worden? En welke gegevens worden altijd gepseudonimiseerd?

Er worden veel verschillende partijen genoemd die gebruik maken van gepseudonimiseerde gegevens (RIVM, SVB, de Minister voor Medische Zorg, het Zorginstituut). Hoe meer partijen persoonlijke (gezondheids-)gegevens tot hun beschikking hebben (om welke reden/wet dan ook), hoe groter de kans op bijvoorbeeld fouten of datalekken. Wat is de stand van zaken als het gaat om meldingen van datalekken van persoonlijke (gezondheids-)gegevens? Hoe vaak is dit de afgelopen twee jaar voorgekomen? Welke acties worden er ondernomen om (de herhaling van) dergelijke situaties te voorkomen?

2.2.2 Regeling voor verwerking van gepseudonimiseerde persoonsgegevens door de Minister voor Medische Zorg, het Zorginstituut en het RIVM

Deze leden van de D66-fractie lezen dat het wetsvoorstel de verwerking van gepseudonimiseerde persoonsgegevens regelt voor de Minister voor Medische Zorg, het Zorginstituut en het met infectieziektebestrijding belaste onderdeel van het RIVM voor verschillende, afgebakende doeleinden. Deze leden vragen of, en op welke wijze de mogelijkheden die hiermee wettelijk worden vastgelegd, afwijken van de mogelijkheden die de Minister voor Medische Zorg, het Zorginstituut en het RIVM momenteel hebben voor het uitvoeren van hun taken.

De leden van de D66-fractie lezen dat de persoonsgegevens tweemaal worden gepseudonimiseerd door een ingeschakelde vertrouwde derde partij, de trusted third party (TTP). De TTP beschikt als enige over de sleutels voor de pseudonimisering. De ingeschakelde TTP zendt echter de persoonsgegevens alleen door en slaat ze niet op. De ingeschakelde TTP kan gezien de daarmee gemoeide onevenredige grote inspanningen, technische uitdagingen en de grote risico’s voor de integriteit van de gegevensbestanden, de pseudonimisering feitelijk niet ongedaan maken. De combinatie van pseudonimisering en andere technische en organisatorische maatregelen vormt een passende waarborg voor de bescherming van de persoonsgegevens van de betrokkenen. Kan de regering nog nader ingaan op de «andere» technische en organisatorische maatregelen, die voor een passende waarborg zorgen? Kan de regering nader ingaan op de aanwijzing van de TTP? Klopt het dat alleen met behulp van de TTP-gegevens weer tot de persoon herleidbaar kunnen worden? Deze leden lezen dat de TTP de persoonsgegevens niet op slaat, maar alleen doorzendt. Hoe lang blijven de gegevens in bezit van de TTP, om deze te kunnen pseudonimiseren? Op welke wijze zou de pseudonimisering ongedaan gemaakt kunnen worden, wat als een van de risico’s wordt genoemd? Op welke wijze zou er sprake kunnen zijn van indirecte herleidbaarheid; een ander risico dat wordt benoemd? Kan hiervan een voorbeeld worden gegeven?

Het mag bekend geacht worden dat de leden van de SP-fractie een groot belang hechten aan een veilige informatiedeling van persoonlijke (gezondheids-)gegevens en tegelijkertijd aan een goede bescherming van de privacy van de betrokkenen. Zij vinden het dan ook goed dat hier binnen verschillende wetten aandacht aan wordt besteed en dat de Algemene Verordening Gegevensbescherming (AVG) een duidelijke plaats krijgt. Op dit onderdeel hebben de leden van de SP-fractie echter nog wel een aantal vragen.

In de memorie van toelichting wordt aangegeven dat «pseudonimisering van persoonsgegevens een methode vormt voor de bescherming van die gegevens teneinde de inbreuk op de bescherming van persoonsgegevens zoveel mogelijk te beperken». Graag ontvangen de leden van de SP-fractie een nadere toelichting op de zinssnede «zoveel mogelijk». Wat wordt gezien als zoveel mogelijk? In hoeverre is de regering van mening dat middels de nu voorgestelde wijzigingen de privacy en gezondheidsgegevensbescherming voldoende/goed is geregeld binnen de desbetreffende wetten? Genoemde leden zijn benieuwd of er andere wijzigingsvoorstellen op dit gebied op korte termijn te verwachten zijn.

3. (Financiële) gevolgen en regeldrukgevolgen

3.1 Effecten

De leden van de SP-fractie constateren dat de wijzigingen niet op verzoek maar periodiek gegevens uitwisselen en vragen waarom hiervoor is gekozen en wat voor verbeteringen dit met zich mee zal brengen.

3.2 Regeldrukgevolgen

De leden van de SP-fractie vragen welke wettelijke grondslag er bestaat voor de uitwisseling van gegevens tussen de SVB en zorgverzekeraars die reeds plaatsvindt. In wat voor gevallen komt dit voor en hoe verschillen deze van de casussen waarvoor deze wijzigingen worden doorgevoerd? Op basis waarvan is vastgesteld dat deze processen niet optimaal zijn en wat zijn de meest voorkomende foute afwegingen die zorgverzekeraars maken in dit verband?

4. Uitvoering

4.1 Privacy Impact Assessment

De leden van de SP-fractie begrijpen dat uit zowel de Privacy Impact Assessment (PIA) van de SVB, de zorgverzekeraars, het Ministerie van Volksgezondheid, Welzijn en Sport als het Zorginstituut en het RIVM blijkt dat de risico’s afwezig of zeer klein zijn. Deze leden vinden dit een belangrijk gegeven. Zij vragen wel of het mogelijk is om een jaar na invoering van de wetswijziging nogmaals een dergelijke privacy impact assessment uit te voeren, omdat tegen die tijd wellicht nieuwe relevante situaties bestaan/informatie beschikbaar is. Door de bescherming van de privacy en de persoonlijke gegevens regelmatig te beoordelen kunnen wellicht problemen in een vroeg stadium worden gesignaleerd, dan wel voorkomen.

5. Consultatie en advisering

5.1 AP

De leden van de SP-fractie lezen de reactie van de Autoriteit Persoonsgegevens (AP) op het concept-wetswijzigingsvoorstel en de reactie van de regering op de door de AP gemaakte opmerkingen en suggesties. Genoemde leden vinden het positief dat de opmerkingen en adviezen van de AP serieus genomen worden en dat bijvoorbeeld is besloten dat de SVB geen gebruik zal maken van een bestand met gemoedsbezwaren en dat besloten is het voornemen tot het gebruik van het Burgerservicenummer (BSN) op polisbladen en in correspondentie met verzekerden te schrappen. Immers, gegevensdeling is van belang, maar deze moet volgens de leden van de SP-fractie wel beperkt blijven tot enkel de noodzakelijke gegevens. Het gebruik van zulke op de persoon herleidbare informatie moet met grote voorzichtigheid plaatsvinden. Genoemde leden zijn benieuwd naar het oordeel van de AP als het gaat om de wijze van verwerking van hun opmerkingen/aanvullingen in het uiteindelijke wetswijzigingsvoorstel. Zij vragen dan ook of het mogelijk is om een reactie van de AP te ontvangen hierop. Zou de AP bij het nu voorliggende voorstel wel over kunnen gaan tot het adviseren van het indienen van het voorstel? Oftewel wijzigt het Dictum van de AP?

De voorzitter van de commissie, Lodders

Adjunct-griffier van de commissie, Bakker

Naar boven