29 689
Herziening Zorgstelsel

nr. 17
BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Graag wil ik uw Kamer vóór de behandeling van het wetsvoorstel Invoerings- en aanpassingswet Zorgverzekeringswet informeren over de stand van zaken rond de privacybeschermende regelgeving en maatregelen rond de nieuwe zorgverzekering en de in overleg met het CBP, ZN en de KNMG geboekte voortgang.

In de Memorie van Antwoord bij de Invoerings-en Aanpassingswet Zvw heb ik aangegeven dat op de draaggolf van de invoering van de Zvw thans een groot aantal waarborgen in ontwikkeling is voor de bescherming van de persoonlijke levenssfeer en een juist gebruik van persoonsgegevens. Daarmee ontstaat een expliciet en solide toetsingskader, dat wij in de situatie onder de Ziekenfondswet tot nog toe ontbeerden. In het proces van totstandkoming van dat toetsingskader en het maken van afspraken over het concrete gebruik van persoonsgegevens is de afgelopen maanden belangrijke voortgang geboekt. Ik memoreer de belangrijkste resultaten.

• Naar aanleiding van advisering door het CBP en daaropvolgend onderzoek zal de levering van dbc-gegevens aan het DIS via «privacy enhancing technologies» (versleuteling) plaatsvinden.

• Ook de risicoverevening gaat plaatsvinden met behulp van versleutelde persoonsgegevens.

• Zorgverzekeraars Nederland heeft een nieuwe gedragscode bescherming persoonsgegevens zorgverzekeraars opgesteld, op basis van een met de NPCF gesloten convenant. Een belangrijke bijlage bij de gedragscode vormt het protocol materiële controle.

• Mede op aandringen van het CBP is besloten af te zien van het gebruik van persoonsgegevens bij het dbc-onderhoud.

• De Zorgautoriteit i.o. en het CBP zijn voornemens een convenant te sluiten met betrekking tot het toezicht op het gebruik van persoonsgegevens.

• Er wordt in gezamenlijk overleg tussen partijen gewerkt aan een structurele oplossing voor het gebruik van persoonsgegevens in het kader van de dbc's.

• Met de Landelijke Huisartsen Vereniging (LHV) is afgesproken dat het gebruik van gegevens op de factuur in het nieuwe bekostigingssysteem niet zal afwijken van de huidige situatie. Dat betekent dat uitsluitend speciale verrichtingen indien daar aparte tarieven voor bestaan op de factuur vermeld behoeven te worden.

Dit overzicht illustreert het brede front waarover thans aan een structurele bescherming van persoonsgegevens wordt gewerkt. Een belangrijk deel van die bescherming zal voorts worden gerealiseerd door de tijdige totstandkoming van de ministeriële regeling op grond van artikel 87 Zvw, alsmede de gedragscode van de zorgverzekeraars. Over de voorbereiding daarvan kan ik u het volgende mededelen.

1. De ministeriële regeling op grond van artikel 87 Zvw.

Artikel 87 Zvw biedt een wettelijke basis voor het gebruik van persoonsgegevens in de uitvoering van de Zvw. Op aandringen van het CBP komt er een ministeriële regeling op basis van dit artikel, waarin helderheid wordt geboden over de door zorgaanbieders aan zorgverzekeraars te verstrekken gegevens.

Medische gegevens behoren tot de hoogste categorie van gevoeligheid en hebben in het (internationale) recht bijzondere bescherming gevonden. Daarnaast moet worden onderkend dat gegevensverkeer in het kader van een (wettelijk systeem van) ziektekostenverzekering en het declaratieverkeer onontbeerlijk is. Naar de aard van de materie zijn daarbij ook zeer gevoelige gegevens als medische gegevens in het geding.

In het kader van het privacyrecht en de Zvw staat voorop dat de verwerking van persoonsgegevens slechts is toegestaan voor zover dat noodzakelijk is voor de uitvoering van de zorgverzekering en de Zvw. Dit noodzakelijkheidscriterium beheerst dan ook de beantwoording van de vraag tot welk detailniveau persoonsgegevens in het kader van het declaratieverkeer door zorgaanbieders aan zorgverzekeraars verstrekt kunnen worden. De ministeriële regeling zal tesamen met de prestatiebeschrijvingen invulling geven aan de uitwerking van dit noodzakelijkheidscriterium. Voorts moet de ministeriële regeling helderheid scheppen over de doelen die met de verstrekking van persoonsgegevens gediend worden.

Over een concept van de ministeriële regeling is overeenstemming bereikt met het CBP, de KNMG en ZN. De ministeriële regeling zal zodanig worden vormgegeven dat conform de in het kader van de Wet tarieven gezondheidszorg (WTG) vastgestelde prestatiebeschrijving op de declaratie gegevens worden verstrekt over de ten behoeve van de verzekerde patiënt verrichte prestaties. Deze combinatie van de persoonskenmerken en de prestatiebeschrijvingen heeft tot gevolg dat op zich neutrale prestatiebeschrijvingen een gevoelig karakter krijgen omdat die prestatiebeschrijvingen informatie kunnen geven die aan een persoon is verbonden. Naarmate de prestatiebeschrijving meer informatie bevat, zal – aangezien de prestatiebeschrijving de kern van de declaratie vormt – ook de declaratie voor de aan de verzekerde geleverde zorg in dit opzicht gedetailleerder zijn.

In het licht van de uitvoering van de zorgverzekering en de Zvw wordt deze aanpak nochtans noodzakelijk geacht. Partijen hebben daarbij het volgende overwogen.

Er is een strikte relatie tussen de prestatie waarvoor de verzekerde is verzekerd, de aan deze door een zorgaanbieder geleverde prestatie, het in verband met die prestatie in rekening gebrachte tarief en het door de verzekeraar aan de zorgaanbieder te betalen of aan de verzekerde te vergoeden bedrag voor die prestatie. De verzekeraar moet kunnen vaststellen dat die strikte relatie er is. Zonder formele en materiële controle door de zorgverzekeraar is dat niet mogelijk. Die prestatie wordt vastgelegd in een prestatiebeschrijving op basis van de WTG en straks op basis van de Wet marktordening gezondheidszorg (WMG). Als de zorgaanbieder declareert moet hij daarbij de prestatiebeschrijving hanteren, de verzekeraar is strafbaar als hij een declaratie met een onjuiste prestatiebeschrijving betaalt of vergoedt. De WTG schrijft dan ook voor dat op de declaratie altijd het tariefén de daarbijbehorende prestatiebeschrijving moet worden vermeld. Het CTG mag daarbij nog aanvullende eisen aan de declaratie stellen. Die prestatiebeschrijving speelt in het verkeer tussen zorgaanbieder, verzekerde en zorgverzekeraar een centrale rol.

Voor de prestatiebeschrijving en het daarbij behorende tarief is het noodzakelijk dat deze aansluit bij de door de zorgverlener uitgevoerde verrichtingen en daaraan gekoppelde werkelijk gemaakte kosten. Naarmate de prestatiebeschrijving en het daarbij behorende tarief verder uiteen lopen, zullen verzekerden, zorgaanbieders en verzekeraars het tarievensysteem als onnauwkeurig en onrechtvaardig beoordelen. Dit geldt des te sterker wanneer (zoals in het kader van de Zvw het geval is) private verzekeraars voor eigen rekening verzekeringen sluiten en schades moeten vergoeden en waarbij verzekerden door no claim en vrijwillig eigen risico een direct financieel belang hebben bij de hoogte van het tarief.

De aard van de prestatiebeschrijvingen voor de verschillende onderdelen (huisartsen, fysiotherapeuten, tandartsen, verloskundigen, ziekenhuizen) lopen uiteen.

Bij huisartsen is er sprake van een zeer beperkt aantal tarieven en bevatten de prestatiebeschrijvingen geen medische informatie. Bij ziekenhuizen daarentegen bevat de prestatiebeschrijving (de dbc) wel medische informatie. Vanwege de medische informatie die de prestatiebeschrijving dbc bevat is er in de afgelopen jaren veelvuldig overleg gevoerd met partijen of deze informatie op de nota naar verzekeraars kan worden gestuurd. Voor 2005 heeft dat geleid tot de tijdelijke privacy oplossing. Deze oplossing hield in dat voor een aantal dbc's een zelfde prijs werd gehanteerd en met zgn. clusters wordt gewerkt.

De praktijk heeft echter inmiddels geleerd dat aan het werken met dbc-clusters een aantal belangrijke nadelen kleeft. Deze nadelen zijn:

– Verlies aan transparantie voor verzekerden. Prestatiebeschrijving sluit onvoldoende aan op geleverde diensten. Gevolg is dat verzekerden gaan klagen bij verzekeraar en ziekenhuis. In een nieuw zorgstelsel, waarin de verzekerde meer verantwoordelijkheid krijgt voor de zorg die hij ontvangt, is volledige informatie over de diagnose en behandeling een belangrijke voorwaarde voor die verzekerde om die verantwoordelijkheid te kunnen nemen.

– Verlies aan transparantie voor verzekeraars. De verzekeraar heeft onvoldoende inzicht in waar hij voor betaalt en in hoeverre dit in het verzekerde pakket valt en in hoeverre in het kader van de zorginkoop de prijsprestatie van de geleverde dienst voldoende is.

– Bij clustering ontstaan er dbc-groepen. Dit kan gedragsreacties uitlokken, omdat het voor ziekenhuizen gunstig kan zijn om zo min mogelijk laag gewaardeerde en zo veel mogelijk hoog gewaardeerde dbc's te produceren. Dit leidt tot ongewenste prikkels in het aanbod.

– Binnen het ziekenhuis leidt clustering van dbc's er toe dat het interne verrekenproces (kostencalculatie) minder transparant wordt en bijvoorbeeld de specialistencomponent minder scherp is te onderscheiden.

Onderzocht wordt of op de middellange termijn het aantal dbc's kan worden teruggedrongen door indikking of vergroving. Dat zal er naar verwachting uiteindelijk toe leiden dat de dbc minder gedetailleerde informatie bevat. Dit stelsel is nog in ontwikkeling. Ik streef om diverse redenen (doelmatigheid, vermijden van onnodige administratieve belasting, en óók optimale privacybescherming) zo groot mogelijk eenvoud na, maar de realisering daarvan vergt tijd. Het CBP hecht ter verdere bescherming van de persoonlijke levenssfeer van de patiënt zeer aan dit perspectief.

Gezien het voorgaande wordt het noodzakelijk en aanvaardbaar geacht dat met ingang van 1 januari 2006 dbc-prestatiebeschrijvingen onder vermelding van de volledige dbc-code op de nota worden vermeld.

Het CBP heeft in dit verband zijn instemming gepaard doen gaan aan drie belangrijke opmerkingen. Ten eerste is het CBP van oordeel dat de huidige situatie, waarin de nota van de huisarts (behoudens specifieke verrichtingen waarvoor een apart tarief geldt) geen medische informatie bevat, dient te worden voortgezet. Ik onderschrijf dat oordeel, onder verwijzing naar de met de LHV gemaakte afspraak.

Ten tweede heeft het CBP erop gewezen dat de ontwikkeling van dbc's betreffende de geestelijke gezondheidszorg bijzondere aandacht vraagt in relatie tot het privacyrecht. De ontwikkeling van dbc's in de GGZ is nog niet afgerond. Op dit moment is het uitgangspunt dat GGZ dbc's gedeclareerd worden op productgroep niveau. De voorlopige productstructuur wordt eind 2005 vastgesteld, de definitieve productstructuur volgt in het voorjaar van 2006. Bij de ontwikkeling van de GGZ dbc's zal zowel het CBP als de KNMG nauw worden betrokken met het oog op het gevoelige privacykarakter hiervan. Het CBP is van oordeel dat het streven moet zijn dat de dbc's betreffende de geestelijke gezondheidszorg, gezien het buitengewoon gevoelige karakter van deze zorg, niet zulke gedetailleerde informatie zullen geven als de huidige dbc's in de curatieve zorg. Ik onderschrijf dit uitgangspunt. Anderzijds is van belang dat de prestatiebeschrijving, net als andere dbc's, een adequaat inzicht geeft in de activiteiten van de zorgaanbieder. De beide perspectieven zullen met medewerking van de betrokken partijen met elkaar in evenwicht worden gebracht.

Ten derde heeft deze aanpak het CBP ertoe gebracht zich nader te oriënteren op zijn rol bij de totstandkoming van prestatiebeschrijvingen. Bij de totstandkoming van die prestatiebeschrijving zijn tot nu toe wel zorgaanbieders en zorgverzekeraars betrokken. De door het CTG vastgestelde prestatiebeschrijvingen kennen voor hen geen geheimen. De prestatiebeschrijvingen worden soms zelfs vanuit de branches of gezamenlijk voorgesteld aan het CTG. Voor zover bekend is bij het vaststellen van prestaties het beoordelen van de gevolgen voor de bescherming van persoonsgegevens bij het mogelijke declaratieverkeer tussen zorgaanbieders en ziektekostenverzekeraars nog geen algemeen gangbare praktijk. Dat geldt evenzo voor het geven van aanwijzingen aan het CTG.

Het CBP heeft in de WTG geen formele rol. Dat verandert met de inwerkingtreding van de WMG. In de WMG wordt bepaald dat met het oog op een effectieve en efficiënte besluitvorming over de wijze van behandeling van aangelegenheden van wederzijds belang en het verzamelen van informatie daarvan afspraken worden gemaakt tussen de Nederlandse Zorgautoriteit en andere toezichthouders of regulators in de zorg. Het CBP behoort daar ook toe. De zorgautoriteit en het CBP maken samen afspraken over invulling van de betrokkenheid van het CBP bij de totstandkoming van de prestatiebeschrijvingen. Het CBP zal zich met name willen vergewissen of er niet zodanige prestatiebeschrijvingen tot stand komen die dermate gevoelige informatie bevatten dat daarvan de noodzaak tot verstrekking aan anderen dan de verzekerde of patiënt en behandelende zorgaanbieder niet de toets van noodzakelijkheid kan doorstaan.

2. Gedragscode

Behalve een duidelijke regeling over de te verstrekken persoonsgegevens, wordt ook groot belang gehecht aan een zorgvuldige omgang met de door een gerechtigde ontvangen gegevens. De door ZN ontwikkelde gedragscode geeft in dit kader regels. Daarnaar wordt in de regeling verwezen en bovendien wordt een verplichting tot naleving opgelegd. Op basis van de Zvw en de WBP zijn zorgverzekeraars gehouden tot de bouw van de zogenaamde Chinese muren. Dat wil zeggen dat zodanige technische en organisatorische maatregelen bij zorgverzekeraars worden getroffen dat is gewaarborgd dat onbevoegden geen kennis kunnen nemen van persoonsgegevens en dat die gegevens niet voor een ander doel dan de uitvoering van de betreffende verzekering kunnen worden gebruikt. Dit wordt uitgewerkt in het addendum.

Zoals ik u in de tweede voortgangsrapportage heb bericht hebben ZN en het CBP inmiddels overeenstemming bereikt over het feit dat de gedragscode wordt vormgegeven als een addendum op de bestaande Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van de Nederlandse Vereniging van Banken en het Verbond van Verzekeraars. In aanvulling op de genoemde gedragscode bevat dit addendum specifieke gedragsregels voor zorgverzekeraars. Daarmee is over de verhouding tussen de gedragscode en het addendum op de door het CBP voorgestane wijze duidelijkheid gecreëerd. Naar verwachting zal het CBP tijdig zijn goedkeuring ex artikel 25 van de WBP kunnen hechten aan het addendum.

Het addendum heeft betrekking op de verstrekking van persoonsgegevens aan zorgverzekeraars en op de zorgvuldige verwerking en beveiliging van de persoonsgegevens waarover de zorgverzekeraars de beschikking krijgen. De regeling en het addendum zijn nauw met elkaar verbonden. Voor de bescherming van de persoonlijke levenssfeer van de verzekerde is immers van belang dat derden alleen kunnen beschikken over persoonsgegevens die noodzakelijk zijn voor de uitvoering van hun taak. Die bescherming wordt zowel gerealiseerd door een grens te stellen aan de te verstrekken gegevens (de regeling), als door een complementaire voorziening (gedragscode en het addendum) die bewerkstelligt dat eenmaal bevoegd ontvangen gegevens niet terecht kunnen komen bij personen of instellingen die niet gerechtigd zijn tot gegevensverwerking. Bovendien bevat het addendum op onderdelen een nadere en specifieke uitwerking van elementen van de regeling. Deze koppeling tussen regeling en addendum brengt met zich mee dat het overleg met de betrokken partijen zodanig is georganiseerd, dat er ruimte is om de beide elementen in hun onderlinge samenhang te bezien.

Over de inhoud van het addendum vindt thans afrondend overleg plaats tussen ZN, het CBP, de KNMG en VWS. Gezien het belang van (het draagvlak voor) het addendum luistert de precieze vormgeving ervan nauw. Om die reden acht ik het van groot belang dat de inbreng van de genoemde partijen op zorgvuldige wijze tot zijn recht kan komen. Partijen hebben er vertrouwen in dat alle betrokkenen ruim voor 1 januari 2006 met de gedragscode zullen hebben ingestemd.

Met de voorzitter van het CBP heb ik afgesproken dat ik ter verdere versterking van de overlegstructuur een structureel Privacy-overleg instel. Voor dit overleg zullen, behalve het CBP, in elk geval ook de KNMG, ZN en de NPCF worden uitgenodigd.

Resumerend meen ik op grond van het voorgaande te mogen vaststellen dat de regeling van de privacybescherming in het kader van het declaratieverkeer voldoet aan de eisen die daaraan gesteld moeten worden.