31 765 Kwaliteit van zorg

Nr. 233 BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 29 september 2016

Op 21 september jl. heeft de Nederlandse Zorgautoriteit (NZa) het rapport «Zorgverzekeraars, controles en privacyvoorschriften» gepubliceerd. In navolging van mijn toezegging1 hierover treft u dit rapport bijgaand aan2. In deze brief geef ik mijn reactie op de onderzoeksbevindingen.

Aanleiding van het onderzoek van de NZa zijn 14 signalen, afkomstig van verzekerden en zorgaanbieders, inhoudend dat de privacyregeling GGZ door zorgverzekeraars niet altijd goed zou worden nageleefd. Het onderzoekrapport van de NZa spitst zich dan ook enerzijds toe op de uitvoering door zorgverzekeraars van de privacyregeling GGZ3. Anderzijds richt het zich meer in het algemeen op de wijze waarop zorgverzekeraars de omgang met persoonsgegevens binnen hun organisatie hebben geborgd bij de controles die zij op grond van de Zorgverzekeringswet en de Regeling zorgverzekering moeten uitvoeren.

Kernboodschap

De onderzoeksbevindingen van de NZa laten een positief beeld zien van hoe verzekeraars met (medische) persoonsgegevens omgaan in het kader van hun controletaak. Wel doet de NZa een aantal aanbevelingen aan zorgverzekeraars ten aanzien van privacybeleid en de organisatie van en communicatie over controles. Een groot deel van de verbeterpunten is al door zorgverzekeraars opgepakt. Eén verzekeraar is gecorrigeerd vanwege het opvragen van diagnosegegevens terwijl de privacyregeling GGZ van toepassing was. Deze overtreding is door de zorgverzekeraar hersteld, maar ik betreur het dat dit is gebeurd.

Continue alertheid van zorgverzekeraars op dit punt is essentieel. In deze brief wijs ik zorgverzekeraars specifiek op mogelijke verbeteringen in de communicatie richting zorgaanbieders, met name over de rol van de medisch adviseur bij detailcontrole. Ik zal hierover nog met Zorgverzekeraars Nederland (ZN) in gesprek gaan. Ook ga ik met de NZa in overleg over hoe zij de rol van de medisch adviseur kan meenemen in haar toezicht, conform mijn toezegging in het debat met uw kamer over het VTO-Wmg 8 september jl. (Handelingen II 2015/16, nr. 109, Marktordening gezondheidszorg).

Onderzoeksbevindingen NZa

Privacyregeling GGZ

Uit het onderzoek van de NZa blijkt dat zorgverzekeraars de privacyregeling GGZ in zijn algemeenheid goed naleven. Wel heeft de NZa bij één verzekeraar een overtreding vastgesteld die inmiddels is hersteld. De betreffende zorgverzekeraar vroeg diagnosegegevens op terwijl dat op grond van de privacyregeling niet was toegestaan. De NZa heeft de verzekeraar derhalve met ingang van 1 april 2016 een periodieke verantwoordingsplicht opgelegd voor de duur van een jaar, over de wijze waarop uitvoering wordt gegeven aan de privacyregeling GGZ. Vier verzekeraars hebben de werkwijze voor toepassing van de privacyregeling GGZ op aangeven van de NZa duidelijker vastgelegd.

Privacybeleid

Alle zorgverzekeraars besteden beleidsmatig aandacht aan privacy. Het onderzoek laat zien dat waar het privacybeleid van de verzekeraar samenhangend is beschreven in één afzonderlijk en openbaar document, het eenvoudiger is om duidelijkheid te geven over de naleving van de privacyregels. De NZa beveelt derhalve aan dat het privacybeleid door de zorgverzekeraar centraal en kenbaar wordt vastgelegd. Een reguliere periodieke evaluatie en monitoring moeten onderdeel zijn van dat beleid. Dit wordt door een groot deel van de verzekeraars al gedaan, een klein deel kan op dit punt nog verbeteringen doorvoeren. De enkele verzekeraar die het privacybeleid niet in een afzonderlijk document had vastgelegd, heeft dat inmiddels op aangeven van de NZa alsnog gedaan.

Organisatie van en communicatie over controles

De NZa vermoedt dat het voor zorgaanbieders lastig voorspelbaar is welke controles zij van de verschillende verzekeraars kunnen verwachten, waardoor hierbij terughoudendheid kan ontstaan. Het op voorhand uitwerken van de keuze voor bepaalde controlemiddelen biedt aan zorgaanbieders een zekere mate van comfort. Dit past ook in de stapsgewijze formele en materiële controles, waarbij de verzekeraar in een algemeen controleprotocol aangeeft hoe de controles worden verricht. De NZa heeft verzekeraars erop aangesproken om meer duidelijkheid te bieden over de vorm van controle (formeel, materieel of fraudeonderzoek) die wordt toegepast richting de zorgaanbieder. Bij vier verzekeraars werd dit niet altijd voldoende duidelijk gemaakt.

Het opvragen van medische persoonsgegevens gebeurt bij elke verzekeraar altijd onder verantwoordelijkheid van de medisch adviseur. De meerderheid van de zorgverzekeraars biedt in haar communicatie ook voldoende duidelijkheid over de positie van de medisch adviseur bij de uitvoering van controles. Voor een aantal verzekeraars geldt dat zij de positie van de medisch adviseur nog kunnen verhelderen richting zorgaanbieders, wat de zorgaanbieders meer vertrouwen kan geven. Zo worden bij twee verzekeraars informatieverzoeken niet door de medisch

adviseur zelf ondertekend. De NZa geeft aan dat een directe ondertekening zorgaanbieders meer duidelijkheid biedt. De medisch adviseur is – op één verzekeraar na – altijd aanwezig bij de uitvoering van detailcontroles op locatie bij de zorgaanbieder. Maar ook in dat geval is en blijft de medisch adviseur verantwoordelijk voor het gebruik en het beschermen van medische persoonsgegevens in het kader van de detailcontrole.

Hoewel het standaardiseren van informatieverzoeken en andere correspondentie met zorgaanbieders niet verplicht is, beveelt de NZa dit wel aan. Dit is volgens de NZa nuttig bij het informeren van zorgaanbieders over het controleonderzoek, de methode die daarbij wordt gehanteerd en de rol van de medisch adviseur hierbij.

Beleidsreactie

Ik ben blij dat de NZa signalen van verzekerden en zorgaanbieders serieus neemt. Juist met deze signalen kan de NZa haar toezichtstaak effectief oppakken. Dat blijkt ook uit dit rapport. Het is daarom belangrijk dat verzekerden en zorgaanbieders zich met signalen blijven melden bij de NZa.

Over het algemeen is de NZa positief gestemd over de naleving van privacyregels door zorgverzekeraars bij de uitvoering van hun controletaak. Zij constateert dat zorgverzekeraars de toepassing van de privacyregeling GGZ over het algemeen goed naleven. En privacybeleid, organisatie van en communicatie over de uitvoering van controles hebben zij in het algemeen ook op orde. Het onderzoek heeft dan ook geen aanwijzingen opgeleverd dat medische persoonsgegevens vanuit de controleketen naar buiten zouden zijn gekomen.

Verder zijn waar nodig door toedoen van de NZa al verbeterslagen gemaakt. Zo is de verzekeraar die bij toepassing van de privacyregeling onterecht toch diagnose-informatie opvroeg, door de NZa op de vingers getikt en heeft de verzekeraar de overtreding hersteld. Veel door de NZa genoemde verbeterpunten zijn al door zorgverzekeraars opgepakt. Ook met de aanbevelingen van de NZa gaan verzekeraars blijkens het rapport aan de slag.

Ik heb derhalve een positief beeld van hoe verzekeraars met (medische) persoonsgegevens omgaan in het kader van hun controletaak. Maar het is van belang dat verzekeraars hier continu alert op zijn. Dat een verzekeraar diagnosegegevens opvraagt terwijl er een regeling bestaat die dat juist moet voorkomen, mag niet meer voorkomen. Ik betreur het dat dit is gebeurd. Ik neem aan dat alle zorgverzekeraars door het onderzoek van de NZa scherp blijven op dit punt. Daarbij zal helpen dat de NZa heeft aangegeven nieuwe signalen in gaten te houden, deze te zullen onderzoeken en zo nodig handhavend zal optreden.

Specifiek ten aanzien van de communicatie richting zorgaanbieders, met name over de rol van de medisch adviseur, wil ik zorgverzekeraars nog op het volgende wijzen. Borg als zorgverzekeraar niet alleen de veiligheid van medische gegevens (zoals blijkens het rapport op orde is), maar laat dat ook expliciet zien. Hiermee kunnen eventuele zorgen over de veiligheid van de medische gegevens die kunnen worden opgevraagd bij detailcontrole bij zorgaanbieders weg worden genomen. Maak daarnaast duidelijk welke rol en verantwoordelijkheid de medisch adviseur heeft, hoe hij bij de detailcontrole is betrokken, welke opgevraagde gegevens bij welke personen in de verzekeringsorganisatie belanden en dat deze gegevens niet langer worden bewaard dan strikt noodzakelijk. Dit zal de medewerking van de zorgaanbieder bij de detailcontrole ten goede komen. Standaardisering van brieven zou daarbij volgens mij goed kunnen helpen, zoals ook de NZa constateert.

Ik zal met ZN bespreken hoe hierin op eenduidige wijze verbeterslagen kunnen worden gemaakt. Zoals toegezegd op 8 september jl. tijdens de plenaire behandeling van het wetsvoorstel VTO Wmg4, zal ik ook met de NZa in overleg gaan over hoe zij in haar toezicht aandacht kan besteden aan de rol van de medisch adviseur bij de controles die zorgverzekeraars uitvoeren. Communicatie over die rol zal ik hierbij specifiek aan de orde laten komen.

De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers


X Noot
1

Toezegging voor het eerst gedaan in de brief van 8 juli 2015, met Kamerstuk 31 765, nr. 161

X Noot
2

Raadpleegbaar via www.tweedekamer.nl

X Noot
3

Toepassing van deze regeling (te weten: Regeling gespecialiseerde geestelijke gezondheidszorg van de NZa) maakt het onder meer mogelijk dat geen diagnosegegevens op de factuur hoeven te worden vermeld en dat een niet tot de diagnose herleidbaar tarief kan worden gedeclareerd, mits door de patiënt en zorgverzekeraar een zogenaamde privacyverklaring wordt getekend.

X Noot
4

Wijziging van de Wet marktordening gezondheidszorg en enkele andere wetten in verband met het verbeteren van toezicht, opsporing, naleving en handhaving. (Kamerstuk33 980)

Naar boven