Regeling van de Minister van Volksgezondheid, Welzijn en Sport van 8 december 2008, nr. MC-U-2898120, houdende aanwijzing categorieën van persoonsgegevens voor de uitvoering door de zorgautoriteit van de WMG (Regeling categorieën persoonsgegevens WMG)

Artikel 65 van de Wet marktordening gezondheidszorg (WMG) verplicht bij ministeriële regeling per artikel aan te geven of het de zorgautoriteit is toegestaan voor de uitvoering van de daarbij aangegeven artikelen van de wet persoonsgegevens te verwerken indien en voor zover zij naar het oordeel van de zorgautoriteit voor die uitvoering noodzakelijk zijn en voor zover zij behoren tot de bij die artikelen vermelde categorieën van persoonsgegevens.

Daarnaast geeft de regeling aan welke persoonsgegevens de zorgautoriteit mag verstrekken aan de in artikel 70 genoemde instanties ten behoeve van de taken en bevoegdheden van die instanties.

De WMG is gericht op het publieke belang een toegankelijke, betaalbare en kwalitatief goede gezondheidszorg voor de burgers te realiseren.

De Wet bescherming persoonsgegevens (WBP) richt zich op een zorgvuldig gebruik van persoonsgegevens. Er geldt geen absoluut verbod voor het verwerken van persoonsgegevens. Het verwerken is wel aan voorwaarden verbonden. Het moet noodzakelijk zijn, is gebonden aan de doeleinden waarvoor de persoonsgegevens zijn verstrekt en onnodig gebruik moet worden voorkomen.

Verwerken van persoonsgegevens is een ruim begrip en als volgt gedefinieerd in de WBP: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Hoe gedetailleerder een regeling de opgedragen taken beschrijft, des te gemakkelijker is het precies vast te leggen welke persoonsgegevens er voor welke taak noodzakelijkerwijs gebruikt moeten worden om die opgedragen taak adequaat te vervullen.

Bij regelgeving die niet zo gedetailleerd is, als kaderwetgeving, is dat is anders.

Kaderwetgeving houdt in dat de wet de doelen, kaders en instrumenten schept waarvan de toepassing nader wordt uitgewerkt in lagere regelgeving. Voor kaderwetgeving wordt gekozen als de hoeveelheid varianten van maatschappelijke of financieel/economische situaties niet bij voorbaat is te overzien en zodanig divers is, dat er niet op voorhand een eenduidige regeling voor kan worden gemaakt. De wetgever kiest er dan voor door zoveel mogelijk in te perken op wetniveau, de vaststelling van kaders waarbinnen de instrumenten kunnen worden toegepast, een zo groot mogelijke zekerheid te doen ontstaan voor hen die het betreft. In lagere regeling worden de situaties en de inzet van de instrumenten steeds specifieker beschreven en ontstaat er steeds meer eenduidigheid over de toepassing van de instrumenten en rechtszekerheid. De voorwaarden die aan hogere regelgeving worden gesteld blijven bij kaderwetgeving van toepassing voor lagere regelgeving voor zover het onmogelijk is die bij hogere regelgeving te voldoen. Daarnaast kan bij lagere regelgeving niet van hogere regelgeving worden afgeweken, tenzij die hogere regelgeving of andere wetgeving daarvoor de mogelijkheid biedt. Dat geldt ook voor de voorwaarden gesteld bij de WBP.

De WMG is een kaderwet, waarbij de doelen (considerans), kaders (zorgmarkten) en instrumenten zijn vastgelegd en waarbij de toepassing van die instrumenten op de zorgmarkten binnen de in de considerans omschreven doelen wordt uitgewerkt in regels en beleidsregels van de Nederlandse Zorgautoriteit, verder te noemen de zorgautoriteit. Het is de minister die het beleid bepaalt en de zorgautoriteit die de wet uitvoert. De besluitvorming over de gevolgen van die uitvoering van wet, regels en beleidsregels wordt door de zorgautoriteit jegens consumenten, zorgaanbieders en ziektekostenverzekeraars vastgelegd in beschikkingen. Het is dan ook logisch dat de zorgautoriteit, binnen de gegeven kaders en regels, bepaalt welke verwerking van persoonsgegevens bij de uitvoering van haar taken en bevoegdheden noodzakelijk zijn.

In de WMG is – voorzover dat in verband met dat kaderwetkarakter mogelijk is – getracht zo veel mogelijk te voldoen aan de voorwaarden die de WBP stelt en zo veel mogelijk het verwerken van persoonsgegevens in te perken.

Een eerste inperking is in de wet opgenomen door voor verschillende taken van die zorgautoriteit en de uitwisseling van gegevens aan te geven of het daarbij noodzakelijk is persoonsgegevens te gebruiken (voorbeelden directe beperking wetsartikelen: artikelen 21en 22 WMG).

Voorts is er een afbakening gepleegd door in de wet een drietal categorieën van persoonsgegevens te onderscheiden (artikel 60 WMG). Daarmee is het mogelijk door middel van onderhavige ministeriële regeling het gebruik van persoonsgegevens bij de uitvoering van taken en bevoegdheden neergelegd in de wet af te bakenen naar persoonsgegevens die behoren tot een of meer van die drie categorieën en persoonsgegevens die tot de andere categorieën behoren uitsluiten (artikel 65 WMG; zie hieronder). Artikel 65 verplicht de minister een regeling te treffen waarin deze per artikel aangeeft of het de zorgautoriteit is toegestaan voor de uitvoering van de daarbij aangegeven artikelen van de wet persoonsgegevens te verwerken indien en voor zover zij naar het oordeel van de zorgautoriteit voor die uitvoering noodzakelijk zijn en voor zover zij behoren tot de bij die artikelen vermelde categorieën van persoonsgegevens. De regeling begrenst aldus de categorie van persoonsgegevens waarbinnen de zorgautoriteit moet blijven bij de uitoefening van haar taken, bevoegdheden en gegevensverwerking. Het is daarbij zeker niet ondenkbaar dat die taakuitoefening in sommige gevallen zelfs zonder het verwerken van de daarbij aangegeven persoonsgegevens kan. Het kaderwetkarakter van de WMG brengt met zich dat de zorgautoriteit bij haar taakuitoefening van geval tot geval beziet of het verwerken van persoonsgegevens noodzakelijk, doelgebonden en proportioneel is. Het kaderwetkarakter van de WMG maakt het onmogelijk om de diverse situaties waarop de wet betrekking kan hebben in de wet of regeling van te voren vast te leggen.

Daarnaast is ook het verstrekken van persoonsgegevens door de zorgautoriteit beperkt door in artikel 65 WMG de minister te verplichten in een regeling op te nemen welke van de in artikel 60 onderscheiden categorieën van persoonsgegevens de zorgautoriteit mag verstrekken aan de in artikel 70 genoemde instanties ten behoeve van de uitoefening van hun taken en bevoegdheden.

Het verwerken van persoonsgegevens door de zorgautoriteit is door de wetgever beperkt om zo veel mogelijk aan de voorwaarden die de WBP stelt tegemoet te komen en zonder aan het kaderwetkarakter van de WMG afbreuk te doen.

Bij de inwerkingtreding van de WMG is eerst een tijdelijke regeling vastgesteld op grond van artikel 65 van de wet om het College bescherming persoonsgegevens (CBP) de gelegenheid te geven te adviseren, voordat een definitieve regeling werd vastgesteld. Ook konden dan de eerste ervaringen van de zorgautoriteit met de nieuwe wet voor zover deze betrekking zou hebben op het verwerken van persoonsgegevens bij haar taken in de definitieve regeling een plaats krijgen ().

De oorspronkelijke tijdelijke regeling is totstandgekomen met medewerking van het CBP, de Koninklijke Nederlandsche Maatschappij ter bevordering van de Geneeskunst (KNMG), de Nederlandse Patiënten Consumenten Federatie (NPCF), Zorgverzekeraars Nederland en de Nederlandse Zorgautoriteit i.o.. Die Tijdelijke regeling categorieën persoonsgegevens WMG, Staatscourant 2006, 198, vormt de basis voor onderhavige regeling. De regeling is tweemaal opnieuw vastgesteld (Staatscourant 2007, 246; Staatscourant 2008, 135 ).

Het CBP heeft inmiddels geadviseerd.

Het CBP doet in zijn uitvoerig en gedetailleerd advies een aantal suggesties met betrekking tot de nadere invulling van de regeling en met betrekking tot aanpassingen van de wet (advies van op 6 juni 2007, met kenmerk z2006-01238). Een aantal van die suggesties met betrekking tot de wet is al verwerkt (Reparatiewet VWS 2008), een aantal andere suggesties wordt nader uitgewerkt in een voorstel van wet dat te gelegener tijd aan het CBP voor advies zal worden voorgelegd.

In zijn advies lijkt het CBP er van uit te gaan als zou de WMG zeer gedetailleerd en afgebakend vastleggen welke instrumenten voor welke doeleinden op welke zorgmarkten voor welke betrokkenen met welke bekostiging-, financiering- en tariferingsystemen van toepassing zijn, waarbij alleen nog de noodzaak van het verwerken van specifieke persoonsgegevens ontbreekt.

Daarmee gaat het CBP voorbij aan het kaderwetkarakter van de WMG. Het CBP gaat daarbij ook voorbij aan het feit dat artikel 65 die opdracht geeft tot vastlegging in de regeling op het niveau van categorie van persoonsgegeven en niet op het niveau van persoonsgegeven dat tot een categorie behoort.

De bepaling van de noodzaak en proportionaliteit van de verwerking van een gegeven en ook een persoonsgegeven, zo is reeds boven betoogd, is slechts vast te stellen door de zorgautoriteit. Immers, juist met het oog op het kaderwetkarakter van de WMG en de nadere invulling van het verwerken van persoonsgegevens in nadere regelingen en beleidsregels voor daarbij te onderscheiden situaties door de zorgautoriteit is uitdrukkelijk gekozen voor de formulering van artikel 65 zoals dat in de wet is opgenomen. Daarmee is op kaderwetwetniveau maximaal tegemoetgekomen aan de voorwaarden van de WBP. Specifieker kan de ministeriële regeling niet zijn. Ook bij de artikel 87 van de Zorgverzekeringswet, artikel 53 van de Algemene Wet Bijzondere Ziektekosten en artikel 68a van de wet wordt bij de vastlegging van de verwerking van persoonsgegevens gebruik gemaakt van een ministeriële regeling (CBP-advies Veegwet Zorgverzekeringswet, kenmerk z2006-00473). Deze praktische insteek is ook gekozen voor deze regeling. Alleen dan kan worden gekomen tot een goede beschrijving van de noodzaak om met het oog op het met de verschillende taken van de zorgautoriteit gemoeide zwaarwegend belang passende waarborgen te bieden ter bescherming van een zorgvuldig gebruik van persoonsgegevens. Het bovengenoemde advies van het CBP is om die reden veelal beter te gebruiken voor het opstellen van die nadere bepaling door de zorgautoriteit van de noodzaak van het verwerken van persoonsgegevens.

Het gaat er in deze regeling derhalve niet om of gemiddeld genomen bij de uitvoering van de taken en bevoegdheden neergelegd in de WMG persoonsgegevens noodzakelijk zijn, maar of het denkbaar is dat bij die uitvoering het verwerken van persoonsgegevens noodzakelijk kàn zijn. Het advies is in dat licht bezien of en in hoeverre het advies tot aanpassing ten opzichte van de tekst van de oorspronkelijke tijdelijke regeling moet leiden. Dat is in de regeling verwerkt.

Voor de verschillende in de regeling genoemde bepalingen uit de WMG die taken en bevoegdheden van de zorgautoriteit moet (zoals volgt uit het juridisch kader voor het verwerken van persoonsgegevens) worden bekeken of de WMG (in andere artikelen dan de artikelen 65 jo. 60 en 61) een specifieke grondslag biedt voor het verwerken van (bepaalde) bijzondere persoonsgegevens ter uitvoering van deze verschillende artikelen. De informatiebepalingen in de WMG maken in beginsel geen onderscheid tussen de soorten gegevens die moeten worden verwerkt. Tot het begrip gegevens in de WMG behoren ook persoonsgegevens en bijzondere persoonsgegevens als strafrechtelijke en medische persoonsgegevens. Zij worden naast identificerende persoonsgegevens mede als categorie onderscheiden in artikel 60 van de WMG. Uitzonderingen ten aanzien van de toepassing van medische gegevens is bij sommige artikelen in de wet expliciet vermeldt ( zie boven). Deze algemene formulering zet het noodzakelijkheidsvereiste met betrekking tot het verwerken van persoonsgegevens uit de WBP niet opzij.

Binnen de formulering ‘redelijkerwijs van toepassing zijn’, gebezigd in artikel 61 van de wet , is ruimte voor het opvragen van persoonsgegevens, met dien verstande dat daaronder mede worden begrepen: persoonsgegevens alleen indien en voor zover dat noodzakelijk is voor een zwaarwegend algemeen belang dat met de uitoefening van de desbetreffende taak is gediend zullen kunnen worden verwerkt, tenzij een andere vrijstelling van het verbod op het verwerken van persoonsgegevens in de WBP van toepassing is (artikelen 8, aanhef en onder e, 21, eerste lid, aanhef en onder f, 22, eerste jo. vijfde lid, en 23, eerste lid, aanhef en onder e, WBP). Daarmee wordt aan de eisen van de WBP voldaan.

Het advies van het CBP over het ontwerp-wetsvoorstel WMG om voor persoonsgegevens daarop toegesneden afzonderlijke bepalingen op te nemen is uitdrukkelijk niet gevolgd, omdat dat een onnodige verdubbeling van informatiebepalingen in de WMG met zich zou brengen. Wel wordt voor zover dat noodzakelijk is ter verduidelijking een wetswijziging overwogen.

De zorgautoriteit gebruikt gegevens en inlichtingen van zorgaanbieders en ziektekostenverzekeraars in hun hoedanigheid van zorgondernemer. Met het oog op het voeren van correspondentie en een juiste adressering is het al noodzakelijk om persoonsgegevens te gebruiken van personen die zorgaanbieder zijn of die belast zijn met de dagelijkse leiding of personen die op een onderdeel van de voor de WMG relevante bedrijfsvoering zijn gemachtigd. Ook is niet altijd duidelijk welke juridische hoedanigheid een (onderdeel van een) zorgaanbieder of ziektekostenverzekeraar heeft. Zo kan het bij een zorgaanbieder gaan om een natuurlijk persoon of rechtspersoon of een organisatorisch verband. De zorgautoriteit gebruikt dus gegevens die aangeven wie of welke persoon of rechtspersoon het betreft. Die gegevens met betrekking tot zorgondernemers dragen dus een puur zakelijk karakter. De in artikel 1, eerste lid, vastgelegde begrippen bestuurder en medewerker spreken voor zich en behoeven geen verdere uitleg. Wellicht ten overvloede zij vermeldt dat onder het begrip medewerker niet wordt verstaan de zorgaanbieder die met een ziektekostenverzekeraar een overeenkomst heeft gesloten om zorg te leveren aan verzekerden van die ziektekostenverzekeraar. Veelal kan voor de identificatie worden volstaan met naam, adres, woonplaats en postadres van zorgaanbieders, bestuurders of medewerkers.

Het tweede lid verklaart de regeling ook van toepassing op degenen bedoeld in artikel 44 van de wet. Het betreft degene die voor een zorgaanbieder of ziektekostenverzekeraar een administratie voert alsmede degene die een administratie voert ten behoeve van of in verband met het aanbieden, overeenkomen, leveren, in rekening brengen, betalen of vergoeden aan derden van een prestatie of een tarief of het ontvangen van een betaling.

Ten behoeve van de leesbaarheid van de regeling zijn aan de definitie bepaling nog de begrippen categorie van persoonsgegevens als bedoeld in de WMG en uit de WBP het brede begrip verwerking van persoonsgegevens en de begrippen verzamelen en verstrekken van persoonsgegevens opgenomen.

Onder identificerende persoonsgegevens wordt verstaan: naam, adres, woonplaats, postadres, geboortedatum en geslacht en administratieve gegevens. Als voorbeelden van dat laatste zijn in artikel 60 van de wet genoemd: nummers van bank-, giro- en creditcard, inschrijvingsgegevens van de gemeentelijke basisadministratie en registratie ingevolge de Wet op de beroepen in de individuele gezondheidszorg. Het CBP adviseert in een uitputtende lijst aan te geven wat onder administratieve gegevens kan worden verstaan. Anders dan het CBP ben ik van mening dat een dergelijke lijst niet is te maken, omdat van geval moet worden bezien welke administratieve gegevens noodzakelijk zijn voor de uitoefening van de taak of bevoegdheid en omdat een dergelijk lijst dynamisch is. Met de aangehaalde voorbeelden is de aard en inhoud van dergelijke gegevens nader aangegeven. In de concrete situatie wordt door de zorgautoriteit bezien of en hoe en onder welke benaming een administratief gegeven noodzakelijkerwijs wordt verwerkt. Met het CBP ben ik van mening dat niet in alle gevallen alle persoonsgegevens uit een categorie noodzakelijk zijn voor de uitvoering van een taak of bevoegdheid.

Onder strafrechtelijke persoonsgegevens worden ook begrepen de gegevens die noodzakelijk zijn om vast te stellen dat een verzekerde geen recht heeft op zorg op grond van de Zorgverzekeringswet (Zvw) of de Algemene Wet Bijzondere Ziektekosten (AWBZ) omdat hij recht heeft op forensische zorg ten laste van de begroting van het ministerie van Justitie.

Dit artikel van de regeling geeft per artikel aan of het de zorgautoriteit is toegestaan voor de uitvoering van de daarbij aangegeven artikelen van de wet persoonsgegevens te verwerken indien en voor zover zij naar het oordeel van de zorgautoriteit voor die uitvoering noodzakelijk zijn en voor zover zij behoren tot de bij die artikelen vermelde categorieën van persoonsgegevens.

In veel gevallen spreekt voor zich dat identificerende gegevens worden gebruikt. Het is immers in het dagelijkse en bestuurlijke verkeer gebruikelijk een persoon te adresseren bij naam, en schriftelijk bij adres en woonplaatsgegevens. Ook dient het gebruik van identificerende persoonsgegevens om vergissingen bij overdracht van informatie en bij toekenningen van rechten door middel van beschikkingen en bij controle op beschikkingen dan wel de afhandeling van klachten te voorkomen. In de onderstaande toelichtingen zijn die vermeldingen voor dat doel niet altijd vermeld.

Artikel 16: in dit artikel zijn in de wet de taken van de zorgautoriteit beschreven. Die taken zijn vaak nader uitgewerkt in artikelen van de WMG. In dat geval wordt hier verwezen naar de desbetreffende artikelen en de daarbij behorende toelichting. Voor zover de uitwerking niet in die wet nader wordt vormgegeven zoals bij opgedragen toezichttaken op andere wetgeving zoals de Wet burgerservicenummer in de zorg en Wet tegemoetkoming chronisch zieken en gehandicapten, wordt verwezen naar het gestelde bij of krachtens die wetten over het verwerken van persoonsgegevens. Teneinde geen lacune te laten ontstaan en gelet op de bovenvermelde opdracht op grond van artikel 65 WMG zijn ook voor artikel 16 de benodigde categorieën van persoonsgegevens in de onderhavige regeling aangewezen.

Artikel 18: ten behoeve van de juiste adressering van de persoon bij de gegevensoverdracht en ten behoeve van de verwerking van de verkregen gegevens door de zorgautoriteit.

Artikel 19: ten behoeve van de juiste adressering van de betrokken persoon bij de gegevensoverdracht en ten behoeve van de verwerking van de verkregen gegevens door de zorgautoriteit. de verwerking van individuele medische persoonsgegevens kan noodzakelijk zijn in individuele gevallen waarbij de inspectie vaststelt dat de prestatiebeschrijving zoals die voor de individuele patiënt door de zorgautoriteit is vastgesteld niet toereikend is en bijstelling behoeft.

Artikel 20: het verwerken van persoonsgegevens kan noodzakelijk zijn bij het geven van voorlichting waarbij veelal door de zorgautoriteit kan worden volstaan met het gebruiken van een telefoonnummers dan wel het adres van degene die voorlichting of advies ontvangt. Verder is het soms noodzakelijk identificerende persoonsgegevens van zorgaanbieders op beschikkingen te vermelden.

Artikel 21 en 22: in rapportages over feitelijke ontwikkelingen bij bijvoorbeeld instellingen in financiële problemen worden meestal ook de betrokken bestuurders met naam en toenaam genoemd. Omdat bij dergelijke instellingen bestuurswisselingen niet ongewoon zijn is het gebruik van persoonsidentificerende gegevens evident. Beide wetsartikelen verbieden het verstrekken van medische persoonsgegevens.

Artikel 23: op grond van artikel 23 WMG kan bij de zorgautoriteit worden geklaagd over door zorgaanbieders en ziektekostenverzekeraars gebruikte formulieren. Waarschijnlijk zullen dergelijke klachten voornamelijk worden ingediend door consumenten en mogelijk ook door medewerkers van zorginstellingen (behandelaars) die namens cliënten bijvoorbeeld een machtiging aanvragen of middels een formulier bij de ziektekostenverzekeraar aan moeten geven waarom een cliënt in het ‘verkeerde bed’ ligt (nog opgenomen in een ziekenhuis terwijl de cliënt eigenlijk in een verpleeghuis moet worden opgenomen, bijvoorbeeld). NAW-gegevens van consumenten, zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en ziektekostenverzekeraars kunnen noodzakelijk zijn om in het kader van artikel 23 WMG een gerichte klacht te kunnen indienen. Meestel zal de klacht gaan over het formulier zelf, dus een niet-ingevuld expemplaar. Tegen deze achtergrond is het de vraag of andere persoonsgegevens hierbij noodzakelijk (kunnen) zijn. Wanneer een consument zijn beklag doet over een formulier zullen daarmee in een aantal gevallen impliciet ook medische gegevens worden verstrekt, aangezien een consument in de meeste gevallen slechts in aanraking komt met bepaalde formulieren wanneer hij een bepaalde behandeling ondergaat of wil ondergaan. De ontheffing van het verbod van artikel 16 WBP voor de verwerking van deze medische gegevens wordt gevonden in artikel 23, eerste lid, sub a, WBP.

Artikel 24 en 28: aan de wettelijke taak rapportages op te stellen is onlosmakelijk de bevoegdheid tot het doen van onderzoek verbonden met alle daarbij behorende voorbereidingshandelingen daaronder begrepen. De verplichting tot levering van gegevens waaronder persoonsgegevens wordt opgelegd op grond van artikel 61 van de wet (zie artikel 3 van onderhavige regeling). Bij dat onderzoek kunnen identificerende persoonsgegevens van bestuurders of medewerkers noodzakelijk zijn, al is niet zonder meer evident dat daartoe alle in artikel 60, tweede lid, WMG genoemde identificerende persoonsgegevens noodzakelijk zijn. Gezien het doel van de artikelen 24 en 28 WMG ligt de noodzaak van het verwerken van identificerende persoonsgegevens in het rapport zélf niet voor de hand, dit temeer daar deze rapportages openbaar zijn. Het enkele feit dat het vermelden in de rapportage van het handelen van een – naar uit de geanonimiseerde kenmerken blijkt – unieke functionaris kan op zich voldoende zijn voor de identificatie van die persoon. Hoewel ik van mening ben dat niet meer persoonsgegevens dan strikt noodzakelijk moeten worden vermeld, is het natuurlijk ook niet zo, dat iedere aanduiding over een functionaris die een essentiële beleids- of uitvoering bepalende rol speelt bij degene waarover het rapport wordt uitgebracht enkel om die reden moet worden weggelaten.

Artikelen 26 en 30: In het kader van haar taak toezicht te houden op de uitvoering van de zorgverzekering en de Zorgverzekeringswet en de AWBZ zal de zorgautoriteit ook feitelijk moeten kunnen controleren of de verzekeraars die die verzekeringen uitvoeren voldoende en adequaat formele en materiële controles uitvoeren. Dat betekent dat ook de zorgautoriteit die formele en materiële controles uit moet kunnen voeren. Voor die controles is het noodzakelijk kennis te kunnen nemen van de persoonsgegevens waarover ook de verzekeraars moeten beschikken om die controles te doen. Die persoonsgegevens zijn vermeld in de regelingen op grond van artikel 87 Zorgverzekeringswet, artikel 68a Wet marktordening gezondheidszorg en artikel 53 van de Algemene Wet Bijzondere Ziektekosten. Op de bevoegdheid van de zorgautoriteit formele en materiële controles uit te voeren kom ik nog terug bij de handhaving taken in de toelichting op de noodzakelijke categorie van persoonsgegevens bij artikel 76 van de wet.

De noodzaak tot formele en materiële controle door ziektekostenverzekeraars neem af naarmate er een gestandaardiseerde en door interne en externe controles gewaarborgde verwerking van persoonsgegevens is. Op de bevoegdheid en rol van de zorgautoriteit bij interne en externe controles kom ik nog terug bij de toelichting op de noodzakelijke categorie van persoonsgegevens bij artikel 61 van de wet.

Artikel 32: op grond van artikel 32 WMG onderzoekt de zorgautoriteit de concurrentieverhoudingen en het marktgedrag op het gebied van de zorg. Deze onderzoeken kunnen gericht zijn op zorgaanbieders, ziektekostenverzekeraars en consumenten. De zorgautoriteit weegt af welke identificerende persoonsgegevens behorend tot de categorieën, bedoeld in artikel 60, tweede lid, van de wet van wie noodzakelijk zijn.

Artikel 33: op grond van artikel 33 WMG kan de zorgautoriteit haar bevindingen op grond van het onderzoek van artikel 32 WMG openbaar maken, met uitzondering van gegevens en inlichtingen die naar hun aard vertrouwelijk zijn. In beginsel geldt voor artikel 33 WMG hetzelfde als in de voorgaande alinea is opgemerkt ten aanzien van artikel 32 WMG, waarbij het feit dat de bevindingen openbaar worden gemaakt nog een extra punt van afweging is. Daarbij verdient de vraag of sommige identificerende persoonsgegevens naar hun aard reeds vertrouwelijk zijn bijzonder aandacht van de zorgautoriteit. Slechts die persoonsgegevens die voor het doel waarvoor de publicatie plaats vindt noodzakelijk en proportioneel zijn van geval tot geval te beoordelen.

Artikelen 38 en 40: bij de openbaarmaking van informatie over de tarieven en kwaliteit van aangeboden prestaties en diensten door de zorgautoriteit kan noodzakelijk zijn te specificeren naar individuele medewerkers van een zorgaanbieder om te weten wie de zorg daadwerkelijk levert. Ook is het aannemelijk dat het in dit kader in voorkomende gevallen noodzakelijk is identificerende persoonsgegevens van bestuurders te verwerken. Dat kan ook in een op het eerste oog concurrerend systeem noodzakelijk zijn, te weten dat de bestuurder van zorgverzekeraars A en B of van zorgaanbieders C en D dezelfde persoon is. Hetzelfde geldt niet voor het verwerken van identificerende persoonsgegevens als bedoeld in artikel 60, tweede lid, sub b en c, van de wet.

Artikel 44: bij de uitvoering van artikel 44 WMG zijn hooguit de persoonsgegevens noodzakelijk die voor de uitvoering van de in artikel 44 WMG genoemde bepalingen noodzakelijk zijn. De artikelen 39 en 41 tot en met 43 WMG worden niet genoemd in de regeling, zodat op gelijke voet ook voor de uitvoering van die bepalingen door de in artikel 44 genoemde derden geen persoonsgegevens mogen worden verwerkt. Waar het hier om gaat is dat de zorgautoriteit ook het verstrekken van identificeerbare gegevens kan opleggen aan voor zorgverzekeraars werkende administratieve organen. De bevoegdheid die de zorgautoriteit op voet van artikel 38 van de wet uitvoert strekt zich derhalve ook uit tot die administratiekantoor/zelfstandige administrerende afdelingen/onderdelen. In deze regeling wordt bevestigd dat de zorgautoriteit ook materiële controles moet kunnen uitvoeren; opsporen van prestaties die in rekening zijn gebracht maar niet overeenstemmen met de daadwerkelijk verleende zorg. En dat daarbij persoonsgegevens de gezondheid betreffende noodzakelijkerwijs dienen te worden verstrekt (= doorbreken van beroepsgeheim door zorgaanbieders).

Artikelen 50 tot en met 56: behandeling aanvraag tarief aan een individuele consument in rekening te brengen; persoonsgegevens de gezondheid betreffende voor vaststelling van individuele prestatiebeschrijving. Het is in voorkomende gevallen, zoals bij de invoering van prestatiebekostiging in de intramurale langdurige zorg op grond van zorgzwaartepakketten, met het oog op de bijzondere zorgbehoefte van een patiënt noodzakelijk voor deze een individuele prestatiebeschrijving vast te stellen. In die gevallen is het noodzakelijk voor het daartoe strekkend onderzoek en het vaststellen van die individuele zorgbehoefte identificerende en medische kenmerken van de patiënt te verwerken. Identificerende persoonsgegevens van zorgaanbieders en consumenten kunnen dus noodzakelijk zijn om de beschikking te adresseren of af te bakenen tot degene waarvoor de individuele prestatiebeschrijving is vastgesteld

Artikel 58: de experimenten waarover artikel 58 WMG spreekt, strekken tot afwijking van bestaande beleidsregels in bijzondere gevallen. Die afwijking kan betrekking hebben op een categorie van of een beperkt aantal zorgaanbieders, ziektekostenverzekeraars, patiënten of prestaties. De beleidsregels hebben over het algemeen geen betrekking op door de zorgautoriteit nader te identificeren patiënten, waarbij het noodzakelijk is identificerende en medische persoonsgegevens van consumenten te verwerken. het rapporteren over experimenten met een of zeer beperkt aantal deelnemende consumenten; Wellicht zullen de namen van enkele zorgaanbieders worden genoemd, zoals uit de memorie van toelichting bij dit artikel blijkt.1 Overigens kan voor de evaluatie een noodzaak tot het verwerken van identificerende en medische persoonsgegevens door de zorgautoriteit bestaan. Bij experimenten rond nieuwe prestatiebeschrijvingen mogelijk dat patiënten gegevens worden geanonimiseerd. Ook dat is een verwerking van persoonsgegevens, die derhalve in de regeling ex 65 WMG moet worden opgenomen. De rapportage aan de minister van VWS zal voor wat consumenten betreft op niet-herleidbare wijze kunnen plaatsvinden.

Artikel 61, eerste onderdeel:Voor de uitvoering van artikel 61 WMG mogen indien en voor zover dat noodzakelijk is, identificerende, medische en strafrechtelijke persoonsgegevens worden verwerkt, ten behoeve van en voor zover die gegevens noodzakelijk worden verwerkt voor de uitvoering van de in onderhavige regeling genoemde artikelen uit de wet en voor zover het betreft persoonsgegevens die behoren tot de categorie van persoonsgegevens daarbij is vermeld.

Het CBP heeft in zijn advies over de WMG2 terecht opgemerkt dat het huidige artikel 61 WMG geen vangnetbepaling is, waarmee wordt bedoeld dat dit artikel geen zelfstandige grondslag voor de verwerking van persoonsgegevens geeft. Dat deze bepaling op zich uitgaat van zowel gegevens en inlichtingen als van persoonsgegevens en derhalve ruim is geformuleerd en de zorgautoriteit daarmee de mogelijkheid geeft alle noodzakelijke gegevens op te vragen bij ‘een ieder’ doet daaraan niet af. Over het feit dat de bepaling uitgaat van gegevens die ‘redelijkerwijs van belang zijn’ en niet van gegevens die noodzakelijk zijn, één van de primaire eisen uit de WBP, is in de algemene toelichting nader verklaard.

Artikel 61 heeft naar de aard van die wet en naar de aard van de WMG, in eerste instantie betrekking op financiële en marktordening gegevens. Daar kunnen persoonsgegevens bij zitten maar dat hangt af van geval tot geval. Artikel 61, eerste lid, WMG bepaalt dat (persoons)gegevens die op grond van de andere bepalingen van de WMG moeten worden verstrekt, kosteloos moeten worden verstrekt; Artikel 61, tweede tot en met zesde lid, WMG heeft hoofdzakelijk betrekking op de wijze van verstrekking van gegevens en inlichtingen. en dat een ieder de zorgautoriteit of een door deze aangewezen persoon de beschikking moet geven over zijn boeken, bescheiden en andere gegevensdragers of de inhoud daarvan, wanneer dat noodzakelijk is voor de uitvoering van de WMG door de zorgautoriteit en er een grondslag is voor de verstrekking van de daarin vervatte (persoons)gegevens en inlichtingen.

Artikel 61, tweede onderdeel: ten behoeve van een rechtmatige gegevensverwerking in verband met de AO/IC-regeling, die door de zorgautoriteit op grond van artikel 36 heeft vastgesteld, heeft het CBP in 20073 geadviseerd bij de aanpassing van de regeling en de toelichting rekening te houden met de betreffende brief van het CBP. Dat advies is in deze regeling als volgt verwerkt.

In de regeling is met verwijzing naar artikel 61 opgenomen: persoonsgegevens behorend tot de categorieën identificerende, medische en strafrechtelijke persoonsgegevens die noodzakelijk zijn voor de interne en externe controle van de naleving van een door de zorgautoriteit vastgestelde regeling door een op grond van artikel 61 van de wet door de zorgautoriteit aangewezen persoon en voor zover de categorie van persoonsgegevens daarbij is vermeld. Op grond van artikel 61 is een ieder gehouden desgevraagd aan de zorgautoriteit of aan een daartoe door deze aangewezen persoon kosteloos en met inachtneming van het bepaalde krachtens artikel 65 gegevens en inlichtingen te verstrekken. De zorgautoriteit kan zelf of door een daartoe door haar aangewezen persoon zodanig gegevens opvragen dat zij daarmee de naleving kan controleren van de voorschriften zoals de zorgautoriteit die bijvoorbeeld op grond van artikel 36 aan zorgaanbieders of ziektekostenverzekeraars oplegt. Zonder aanvullende bepaling is de zorgautoriteit of de door deze aangewezen persoon niet bevoegd van bijzondere persoonsgegevens kennis te nemen en kan derhalve in voorkomende controle over de voorgeschreven administratieve verwerking niet uitvoeren. Derhalve is in de regeling opgenomen dat de zorgautoriteit en de door deze aangewezen persoon bevoegd is voor dat doel van die bijzondere persoonsgegevens kennis te nemen. Op verzoek van de zorgautoriteit dan wel de door deze aangewezen persoon dienen de zorgaanbieder dan wel ziektekostenverzekeraar kosteloos de voor het uitvoeren van zijn taak benodigde persoonsgegevens te verstrekken. Artikel 67, eerste lid, is van toepassing. De aan te wijzen persoon kan zowel een natuurlijke persoon als rechtspersoon zijn dan wel een functionaris werkzaam bij een zorgaanbieder of ziektekostenverzekeraar. De aanwijzing kan ook betrekking hebben op een functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de WBP.

Artikel 62: Op grond van dit artikel kan de zorgautoriteit regels stellen, inhoudende welke gegevens en inlichtingen regelmatig moeten worden verstrekt. Hieronder vallen ook identificerende persoonsgegevens betreffende zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en ziektekostenverzekeraars en, in geval van een experiment (artikel 58 WMG), identificerende en medische persoonsgegevens van consumenten. De gegevens en inlichtingen die op grond van de artikelen 61 en 62 van de WMG zijn verkregen dienen dus tot uitvoering van de andere wetsartikelen die in de opsomming in artikel 2 van de onderhavige regeling zijn genoemd.’4 Die artikelen kunnen zoals eerder gesteld alleen worden gebruikt voor opvragen van (persoons)gegevens die noodzakelijk zijn voor de uitvoering van de WMG.

Artikel 66: de zorgautoriteit is bevoegd op grond van deze wettelijke bepaling zorgaanbieders en ziektekostenverzekeraars te verplichten henzelf betreffende identificerende gegevens alsmede, met inachtneming van het bepaalde krachtens artikel 65, de in artikel 60 bedoelde identificerende persoonsgegevens en medische persoonsgegevens aan de zorgautoriteit en de FIOD-ECD te verstrekken ten behoeve van het toezicht op de naleving en de handhaving van de artikelen 35, 36 en 38, waaronder begrepen de uitvoering van de Wet op de economische delicten. Het kader heeft tot gevolg dat deze gegevens ook het karakter krijgen van strafrechtelijke persoonsgegevens.

Artikel 67: alvorens de zorgautoriteit gegevens of inlichtingen aan instellingen bedoeld in artikel 70, tweede lid, van de wet verstrekt dient zij na te gaan of de geheimhouding van die gegevens en inlichtingen voldoende is gewaarborgd. Zoals uit artikel 4 van deze regeling blijkt kan dat gaan over persoonsgegevens uit alle onderscheiden categorieën.

Artikel 69: de bevoegdheden met betrekking tot het gebruik van gegevens voor alle taken en bevoegdheden van de zorgautoriteit strekken zich uit tot de verwerking van persoonsgegevens uit alle onderscheiden categorieën.

Voor de verstrekking aan de in de artikel 70 genoemde instanties is gekeken naar de persoonsgegevens waarover de zorgautoriteit beschikt en is een inschatting gemaakt tot welke categorie van persoonsgegevens de gegevens behoren die de zorgautoriteit ten behoeve van de uitoefening van hun taken en bevoegdheden kan en mag verstrekken. De zorgautoriteit vraagt geen gegevens en persoonsgegevens op die het niet voor eigen taken en bevoegdheden nodig heeft. Een ontvangende instantie mag persoonsgegevens slechts verwerken voor de uitvoering van de taak of bevoegdheid waarvoor deze de gegevens heeft ontvangen, of verder verwerken voor een taak of bevoegdheid die niet onverenigbaar is met de taak of bevoegdheid waarvoor de instantie de gegevens heeft ontvangen (artikel 9 WBP).

Wellicht ten overvloede zij gezegd dat de in het eerste lid, van artikel 70 genoemde instanties vallen onder de wettelijke aansturing van de minister van Volksgezondheid, Welzijn en Sport, en in dat kader kan de minister het onderlinge verstrekken en verwerken van persoonsgegevens reguleren. Derhalve is het niet noodzakelijk artikel 67, tweede lid, WMG zich te laten uitstrekken tot het eerste lid van artikel 70. Voor de in het tweede lid vermelde instanties geldt dat niet. Die vallen alle onder de jurisdictie van een andere minister.

Terzijde merkt het CBP op dat artikel 9 WBP ook geldt voor artikel 69, lid 2, WMG. De genoemde artikelen doch vullen deze elkaar aan in die zin dat bij het gebruik voor alle doeleinden van gegevens door de zorgautoriteit, deze voorzover het betreft persoonsgegevens gebonden is aan de ruimte die artikel 9 WBP biedt.

Bij gegevensverstrekkingen gebruikt de zorgautoriteit identificerende gegevens. Zie daarvoor ook de opmerkingen daarover in het algemeen deel van deze toelichting. Ik beperk mij hieronder tot de situaties waarbij sprake is van noodzakelijke verstrekking van identificerende en medische persoonsgegevens van consumenten en strafrechtelijke persoonsgegevens door de zorgautoriteit.

Artikel 74: Op grond van artikel 74 WMG heeft de zorgautoriteit een meldpunt voor het ontvangen van ‘gegevens en inlichtingen omtrent feiten en omstandigheden die mogelijk niet in overeenstemming zijn met het bij of krachtens de wet bepaalde.’ In artikel 74 WMG wordt gesproken over ‘de wet’ en niet over ‘deze wet’, waardoor de reikwijdte van deze bepaling heel ruim is. Het ontvangen van gegevens en inlichtingen door het meldpunt is een vorm van verwerken van persoonsgegevens en wordt daarom op grond van artikel 65 van de wet in onderhavig besluit vermeld. De verwerking strekt zich uit tot persoonsgegevens behorend tot alle onderscheiden categorieën. Net als bij klachtenbehandeling heeft de zorgautoriteit niet zelf in de hand welke gegevens en inlichtingen aan haar meldpunt worden verstrekt. Het hangt af van de vervolgaktie na die melding of de verkregen gegeven en inlichtingen, waaronder persoonsgegevens, op grond van een van de andere taken en bevoegdheden van de zorgautoriteit noodzakelijk zijn voor het uitvoeren van die taken en bevoegdheden. Het verzamelen, registreren, opslaan en bewaren van persoonsgegevens behoort ook tot het ruime begrip ‘verwerken van persoonsgegevens’.

Artikel 76: Het artikel laat de mogelijkheid open tot het geven van een preventieve aanwijzing en tot het geven van een restauratieve aanwijzing. In het eerste geval wordt de aanwijzing gegeven zonder dat een overtreding is geconstateerd. Bij de restauratieve aanwijzing is wel een of meer overtredingen geconstateerd en strekt de aanwijzing tot correctie van de situatie die met die overtredingen is ontstaan.

Een van de overtredingen kan zijn het overtreden van artikel 35 van de wet, het declareren onjuiste prestatie en onjuist tarief. De WMG verbiedt in artikel 35, eerste lid, aanhef en onder b, het in rekening brengen van een tarief met een prestatiebeschrijving die niet past bij de daadwerkelijk verrichte prestatie (onjuiste prestatie). De WMG verbiedt in artikel 35, eerste lid, aanhef en onder c, het in rekening brengen van een tarief dat niet past bij de daadwerkelijk verrichte prestatie (onjuist tarief). Dit artikellid spreekt over de ‘betrokken prestatie’ en niet over de – al dan niet terecht – gedeclareerde ‘betrokken prestatiebeschrijving’. Een combinatie van de verboden in beide artikelonderdelen levert het verbod op van het in rekening brengen van een ander tarief dan het tarief dat de zorgautoriteit aan de daarbij behorende prestatiebeschrijving heeft gekoppeld.

Om dat laatste te kunnen vaststellen is kennisnemen van declaratie en tariefbeschikking voldoende. Om de overtreding van de eerste twee verboden vast te stellen is het noodzakelijk de medische gegevens in te zien die bij de desbetreffende declaratie horen. De zorgautoriteit beschikt voor die vaststelling noodzakelijkerwijs over de medische gegevens en de gegevens die zijn vermeld op de declaratie. Die laatste zullen veelal overeenkomen met de gegevens waarover ziektekostenverzekeraars beschikken in de regelingen op grond van artikel 87 Zorgverzekeringswet, artikel 68a Wet marktordening gezondheidszorg en artikel 53 van de Algemene Wet Bijzondere Ziektekosten. De zorgautoriteit kan zelf op grond van artikel 38, tweede lid, nog het eerste lid aanvullende declaratievoorschriften maken over het specificeren van de op verrichtte prestaties betrekking hebbende rekeningen.

Artikel 77: De aanwijzing kan alleen gegeven worden als er is geconstateerd dat niet aan het bepaalde bij of krachtens de Zvw is voldaan. Voor de onderbouwing daarvan kunnen persoonsgegevens uit de vermelde categorieën van persoonsgegevens noodzakelijk zijn, bijvoorbeeld voor de constatering dat niet aan de zorgplicht is voldaan.

Artikel 78: De aanwijzing kan alleen gegeven worden als er is geconstateerd dat niet aan het bepaalde bij of krachtens de AWBZ is voldaan. Voor de onderbouwing daarvan kunnen persoonsgegevens uit de vermelde categorieën van persoonsgegevens noodzakelijk zijn, bijvoorbeeld voor de constatering dat niet aan de zorgplicht is voldaan.

Artikel 80: voorafgaande aan het opleggen van de maatregel bedoeld in artikel 80 dient de zorgautoriteit onderzoek te doen of aan de aanwijzing is voldaan. Als de aanwijzing betrekking zou hebben op de handhaving van zorgplicht (zie toelichting bij artikel 77) dan moet zij over de daarvoor noodzakelijke persoonsgegevens kunnen beschikken.

Artikel 81: voorafgaande aan het opleggen van de maatregel bedoeld in artikel 80 dient de zorgautoriteit onderzoek te doen of aan de aanwijzing is voldaan. Als de aanwijzing betrekking zou hebben op de handhaving van artikel 35 (zie toelichting bij artikel 76) dan moet zij over de daarvoor noodzakelijke persoonsgegevens kunnen beschikken.

Artikel 82: Voordat bestuursdwang wordt toegepast dan wel een last onder dwangsom wordt opgelegd moet de zorgautoriteit constateren dat aan het bij of krachtens de artikelen genoemd in artikel 82 niet is voldaan. Voor zover het betreft het handhaven van artikel 35 betreft wordt verwezen naar de toelichting bij artikel 76.

Artikel 83: Om bijvoorbeeld vast te kunnen stellen dat een verzekeraar niet meer persoonsgegevens verzamelt of opvraagt op grond van artikel 87, vijfde en zesde lid, Zorgverzekeringswet is het noodzakelijk dat de zorgautoriteit van alle persoonsgegevens uit alle categorieën die in een administratie van een verzekeraar aanwezig zijn kennis kan nemen.

Artikel 84: De last onder dwangsom kan alleen worden opgelegd als er is geconstateerd dat niet aan het bepaalde bij of krachtens de AWBZ is voldaan. Voor de onderbouwing daarvan kunnen persoonsgegevens uit de vermelde categorieën van persoonsgegevens noodzakelijk zijn, bijvoorbeeld voor de constatering dat niet aan de zorgplicht is voldaan.

Artikel 85: Voordat een bestuurlijke boete wordt opgelegd moet de zorgautoriteit constateren dat aan het bij of krachtens de artikelen genoemd in artikel 85 niet is voldaan. Voor zover het betreft het handhaven van artikel 35 betreft wordt verwezen naar de toelichting bij artikel 76.

Artikel 86, 87 en 88: De overtredingen betreffen administratieve voorschriften door een verzekeraar. Voor het vaststellen van die overtreding zijn alleen identificerende en strafrechtelijke persoonsgegevens noodzakelijk van bestuur of medewerkers.

Artikel 89: Om vast te kunnen stellen dat een verzekeraar niet meer persoonsgegevens verzamelt of opvraagt op grond van artikel 68a van deze wet en artikel 87, vijfde en zesde lid, van de Zorgverzekeringswet is het noodzakelijk dat de zorgautoriteit van alle persoonsgegevens uit alle categorieën die in een administratie van een verzekeraar aanwezig zijn kennis kan nemen.

Artikelen 92 tot en met 95: Deze bepalingen zijn ten algemene van toepassing voor bestuurlijke boetes. De rapportages, zienswijzen en schulduitsluiting- en rechtvaardigingsgronden kunnen betrekking hebben op alle gegevens en inlichtingen, waaronder persoongegevens, die bij een bestuurlijke boete aan de orde kunnen zijn. Derhalve moet de zorgautoriteit noodzakelijkerwijs over persoonsgegevens kunnen beschikken uit alle categorieën.

Artikel 96: Voor de uitvoering van dit artikel zijn identificerende persoonsgegevens van de overtreder noodzakelijk.

Artikel 100: voor de uitvoering van dit artikel kan het noodzakelijk zijn persoonsgegevens uit alle categorieën te gebruiken zoals aangegeven in deze regeling.

Artikel 103: Bestuurlijke boetes kunnen alleen worden opgelegd aan zorgaanbieders en ziektekostenverzekeraars, niet aan consumenten. Voor de adressering en oplegging van de boete kan het noodzakelijk zijn over persoonsgegevens van bestuurders en medewerkers te beschikken.