TOELICHTING
Algemeen
Artikel 65 van de Wet marktordening gezondheidszorg (WMG) verplicht bij ministeriële regeling per artikel aan te geven of
het de zorgautoriteit is toegestaan voor de uitvoering van de daarbij aangegeven artikelen van de wet persoonsgegevens te
verwerken indien en voor zover zij naar het oordeel van de zorgautoriteit voor die uitvoering noodzakelijk zijn en voor zover
zij behoren tot de bij die artikelen vermelde categorieën van persoonsgegevens.
Daarnaast geeft de regeling aan welke persoonsgegevens de zorgautoriteit mag verstrekken aan de in artikel 70 genoemde instanties
ten behoeve van de taken en bevoegdheden van die instanties.
Inleiding en perspectief
De WMG is gericht op het publieke belang een toegankelijke, betaalbare en kwalitatief goede gezondheidszorg voor de burgers
te realiseren.
De Wet bescherming persoonsgegevens (WBP) richt zich op een zorgvuldig gebruik van persoonsgegevens. Er geldt geen absoluut
verbod voor het verwerken van persoonsgegevens. Het verwerken is wel aan voorwaarden verbonden. Het moet noodzakelijk zijn,
is gebonden aan de doeleinden waarvoor de persoonsgegevens zijn verstrekt en onnodig gebruik moet worden voorkomen.
Verwerken van persoonsgegevens is een ruim begrip en als volgt gedefinieerd in de WBP: elke handeling of elk geheel van handelingen
met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen,
opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling,
samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Hoe gedetailleerder een regeling de opgedragen taken beschrijft, des te gemakkelijker is het precies vast te leggen welke
persoonsgegevens er voor welke taak noodzakelijkerwijs gebruikt moeten worden om die opgedragen taak adequaat te vervullen.
Bij regelgeving die niet zo gedetailleerd is, als kaderwetgeving, is dat is anders.
Kaderwetgeving houdt in dat de wet de doelen, kaders en instrumenten schept waarvan de toepassing nader wordt uitgewerkt in
lagere regelgeving. Voor kaderwetgeving wordt gekozen als de hoeveelheid varianten van maatschappelijke of financieel/economische
situaties niet bij voorbaat is te overzien en zodanig divers is, dat er niet op voorhand een eenduidige regeling voor kan
worden gemaakt. De wetgever kiest er dan voor door zoveel mogelijk in te perken op wetniveau, de vaststelling van kaders waarbinnen
de instrumenten kunnen worden toegepast, een zo groot mogelijke zekerheid te doen ontstaan voor hen die het betreft. In lagere
regeling worden de situaties en de inzet van de instrumenten steeds specifieker beschreven en ontstaat er steeds meer eenduidigheid
over de toepassing van de instrumenten en rechtszekerheid. De voorwaarden die aan hogere regelgeving worden gesteld blijven
bij kaderwetgeving van toepassing voor lagere regelgeving voor zover het onmogelijk is die bij hogere regelgeving te voldoen.
Daarnaast kan bij lagere regelgeving niet van hogere regelgeving worden afgeweken, tenzij die hogere regelgeving of andere
wetgeving daarvoor de mogelijkheid biedt. Dat geldt ook voor de voorwaarden gesteld bij de WBP.
De WMG is een kaderwet, waarbij de doelen (considerans), kaders (zorgmarkten) en instrumenten zijn vastgelegd en waarbij de
toepassing van die instrumenten op de zorgmarkten binnen de in de considerans omschreven doelen wordt uitgewerkt in regels
en beleidsregels van de Nederlandse Zorgautoriteit, verder te noemen de zorgautoriteit. Het is de minister die het beleid
bepaalt en de zorgautoriteit die de wet uitvoert. De besluitvorming over de gevolgen van die uitvoering van wet, regels en
beleidsregels wordt door de zorgautoriteit jegens consumenten, zorgaanbieders en ziektekostenverzekeraars vastgelegd in beschikkingen.
Het is dan ook logisch dat de zorgautoriteit, binnen de gegeven kaders en regels, bepaalt welke verwerking van persoonsgegevens
bij de uitvoering van haar taken en bevoegdheden noodzakelijk zijn.
In de WMG is – voorzover dat in verband met dat kaderwetkarakter mogelijk is – getracht zo veel mogelijk te voldoen aan de
voorwaarden die de WBP stelt en zo veel mogelijk het verwerken van persoonsgegevens in te perken.
Een eerste inperking is in de wet opgenomen door voor verschillende taken van die zorgautoriteit en de uitwisseling van gegevens
aan te geven of het daarbij noodzakelijk is persoonsgegevens te gebruiken (voorbeelden directe beperking wetsartikelen: artikelen
21en 22 WMG).
Voorts is er een afbakening gepleegd door in de wet een drietal categorieën van persoonsgegevens te onderscheiden (artikel
60 WMG). Daarmee is het mogelijk door middel van onderhavige ministeriële regeling het gebruik van persoonsgegevens bij de
uitvoering van taken en bevoegdheden neergelegd in de wet af te bakenen naar persoonsgegevens die behoren tot een of meer
van die drie categorieën en persoonsgegevens die tot de andere categorieën behoren uitsluiten (artikel 65 WMG; zie hieronder).
Artikel 65 verplicht de minister een regeling te treffen waarin deze per artikel aangeeft of het de zorgautoriteit is toegestaan
voor de uitvoering van de daarbij aangegeven artikelen van de wet persoonsgegevens te verwerken indien en voor zover zij naar
het oordeel van de zorgautoriteit voor die uitvoering noodzakelijk zijn en voor zover zij behoren tot de bij die artikelen
vermelde categorieën van persoonsgegevens. De regeling begrenst aldus de categorie van persoonsgegevens waarbinnen de zorgautoriteit
moet blijven bij de uitoefening van haar taken, bevoegdheden en gegevensverwerking. Het is daarbij zeker niet ondenkbaar dat
die taakuitoefening in sommige gevallen zelfs zonder het verwerken van de daarbij aangegeven persoonsgegevens kan. Het kaderwetkarakter
van de WMG brengt met zich dat de zorgautoriteit bij haar taakuitoefening van geval tot geval beziet of het verwerken van
persoonsgegevens noodzakelijk, doelgebonden en proportioneel is. Het kaderwetkarakter van de WMG maakt het onmogelijk om de
diverse situaties waarop de wet betrekking kan hebben in de wet of regeling van te voren vast te leggen.
Daarnaast is ook het verstrekken van persoonsgegevens door de zorgautoriteit beperkt door in artikel 65 WMG de minister te
verplichten in een regeling op te nemen welke van de in artikel 60 onderscheiden categorieën van persoonsgegevens de zorgautoriteit
mag verstrekken aan de in artikel 70 genoemde instanties ten behoeve van de uitoefening van hun taken en bevoegdheden.
Het verwerken van persoonsgegevens door de zorgautoriteit is door de wetgever beperkt om zo veel mogelijk aan de voorwaarden
die de WBP stelt tegemoet te komen en zonder aan het kaderwetkarakter van de WMG afbreuk te doen.
Historie
Bij de inwerkingtreding van de WMG is eerst een tijdelijke regeling vastgesteld op grond van artikel 65 van de wet om het
College bescherming persoonsgegevens (CBP) de gelegenheid te geven te adviseren, voordat een definitieve regeling werd vastgesteld.
Ook konden dan de eerste ervaringen van de zorgautoriteit met de nieuwe wet voor zover deze betrekking zou hebben op het verwerken
van persoonsgegevens bij haar taken in de definitieve regeling een plaats krijgen ().
De oorspronkelijke tijdelijke regeling is totstandgekomen met medewerking van het CBP, de Koninklijke Nederlandsche Maatschappij
ter bevordering van de Geneeskunst (KNMG), de Nederlandse Patiënten Consumenten Federatie (NPCF), Zorgverzekeraars Nederland
en de Nederlandse Zorgautoriteit i.o.. Die Tijdelijke regeling categorieën persoonsgegevens WMG, Staatscourant 2006, 198,
vormt de basis voor onderhavige regeling. De regeling is tweemaal opnieuw vastgesteld (Staatscourant 2007, 246; Staatscourant
2008, 135 ).
Het CBP heeft inmiddels geadviseerd.
Advies CBP
Het CBP doet in zijn uitvoerig en gedetailleerd advies een aantal suggesties met betrekking tot de nadere invulling van de
regeling en met betrekking tot aanpassingen van de wet (advies van op 6 juni 2007, met kenmerk z2006-01238). Een aantal van
die suggesties met betrekking tot de wet is al verwerkt (Reparatiewet VWS 2008), een aantal andere suggesties wordt nader
uitgewerkt in een voorstel van wet dat te gelegener tijd aan het CBP voor advies zal worden voorgelegd.
In zijn advies lijkt het CBP er van uit te gaan als zou de WMG zeer gedetailleerd en afgebakend vastleggen welke instrumenten
voor welke doeleinden op welke zorgmarkten voor welke betrokkenen met welke bekostiging-, financiering- en tariferingsystemen
van toepassing zijn, waarbij alleen nog de noodzaak van het verwerken van specifieke persoonsgegevens ontbreekt.
Daarmee gaat het CBP voorbij aan het kaderwetkarakter van de WMG. Het CBP gaat daarbij ook voorbij aan het feit dat artikel
65 die opdracht geeft tot vastlegging in de regeling op het niveau van categorie van persoonsgegeven en niet op het niveau
van persoonsgegeven dat tot een categorie behoort.
De bepaling van de noodzaak en proportionaliteit van de verwerking van een gegeven en ook een persoonsgegeven, zo is reeds
boven betoogd, is slechts vast te stellen door de zorgautoriteit. Immers, juist met het oog op het kaderwetkarakter van de
WMG en de nadere invulling van het verwerken van persoonsgegevens in nadere regelingen en beleidsregels voor daarbij te onderscheiden
situaties door de zorgautoriteit is uitdrukkelijk gekozen voor de formulering van artikel 65 zoals dat in de wet is opgenomen.
Daarmee is op kaderwetwetniveau maximaal tegemoetgekomen aan de voorwaarden van de WBP. Specifieker kan de ministeriële regeling
niet zijn. Ook bij de artikel 87 van de Zorgverzekeringswet, artikel 53 van de Algemene Wet Bijzondere Ziektekosten en artikel
68a van de wet wordt bij de vastlegging van de verwerking van persoonsgegevens gebruik gemaakt van een ministeriële regeling
(CBP-advies Veegwet Zorgverzekeringswet, kenmerk z2006-00473). Deze praktische insteek is ook gekozen voor deze regeling.
Alleen dan kan worden gekomen tot een goede beschrijving van de noodzaak om met het oog op het met de verschillende taken
van de zorgautoriteit gemoeide zwaarwegend belang passende waarborgen te bieden ter bescherming van een zorgvuldig gebruik
van persoonsgegevens. Het bovengenoemde advies van het CBP is om die reden veelal beter te gebruiken voor het opstellen van
die nadere bepaling door de zorgautoriteit van de noodzaak van het verwerken van persoonsgegevens.
Het gaat er in deze regeling derhalve niet om of gemiddeld genomen bij de uitvoering van de taken en bevoegdheden neergelegd
in de WMG persoonsgegevens noodzakelijk zijn, maar of het denkbaar is dat bij die uitvoering het verwerken van persoonsgegevens
noodzakelijk kàn zijn. Het advies is in dat licht bezien of en in hoeverre het advies tot aanpassing ten opzichte van de tekst
van de oorspronkelijke tijdelijke regeling moet leiden. Dat is in de regeling verwerkt.
Verhouding informatieartikelen jegens overige artikelen WMG
Voor de verschillende in de regeling genoemde bepalingen uit de WMG die taken en bevoegdheden van de zorgautoriteit moet (zoals
volgt uit het juridisch kader voor het verwerken van persoonsgegevens) worden bekeken of de WMG (in andere artikelen dan de
artikelen 65 jo. 60 en 61) een specifieke grondslag biedt voor het verwerken van (bepaalde) bijzondere persoonsgegevens ter
uitvoering van deze verschillende artikelen. De informatiebepalingen in de WMG maken in beginsel geen onderscheid tussen de
soorten gegevens die moeten worden verwerkt. Tot het begrip gegevens in de WMG behoren ook persoonsgegevens en bijzondere
persoonsgegevens als strafrechtelijke en medische persoonsgegevens. Zij worden naast identificerende persoonsgegevens mede
als categorie onderscheiden in artikel 60 van de WMG. Uitzonderingen ten aanzien van de toepassing van medische gegevens is
bij sommige artikelen in de wet expliciet vermeldt ( zie boven). Deze algemene formulering zet het noodzakelijkheidsvereiste
met betrekking tot het verwerken van persoonsgegevens uit de WBP niet opzij.
Binnen de formulering ‘redelijkerwijs van toepassing zijn’, gebezigd in artikel 61 van de wet , is ruimte voor het opvragen
van persoonsgegevens, met dien verstande dat daaronder mede worden begrepen: persoonsgegevens alleen indien en voor zover
dat noodzakelijk is voor een zwaarwegend algemeen belang dat met de uitoefening van de desbetreffende taak is gediend zullen
kunnen worden verwerkt, tenzij een andere vrijstelling van het verbod op het verwerken van persoonsgegevens in de WBP van
toepassing is (artikelen 8, aanhef en onder e, 21, eerste lid, aanhef en onder f, 22, eerste jo. vijfde lid, en 23, eerste
lid, aanhef en onder e, WBP). Daarmee wordt aan de eisen van de WBP voldaan.
Het advies van het CBP over het ontwerp-wetsvoorstel WMG om voor persoonsgegevens daarop toegesneden afzonderlijke bepalingen
op te nemen is uitdrukkelijk niet gevolgd, omdat dat een onnodige verdubbeling van informatiebepalingen in de WMG met zich
zou brengen. Wel wordt voor zover dat noodzakelijk is ter verduidelijking een wetswijziging overwogen.
Administratieve lasten
De regeling legt geen informatieplichten op maar beperkt de inlichtingenplicht betreffende persoonsgegevens door die niet
verder te laten uitstrekken dan de grenzen van de in de WMG genoemde categorieën. Uitgangspunt van artikel 65 en bij onderhavige
regeling is dat iedere wettelijke taak en bevoegdheid van de zorgautoriteit gelet op de te verwachten situaties en omstandigheden
moet kunnen worden uitgevoerd met de voor de uitvoering van die taken en bevoegdheden met in die situaties en in die omstandigheden
noodzakelijke persoonsgegevens. Het is onmogelijk om in de regeling uitputtend in te gaan op alle mogelijke en onmogelijke
situaties en omstandigheden noch op welke persoonsgegevens daarbij noodzakelijk zijn. Het is derhalve niet mogelijk vooraf
een kwantificering te geven van de administratieve lasten die met de verwerking van persoonsgegevens die behoren tot een in
de regeling aangegeven categorie zijn gemoeid.
Artikelsgewijs
In artikel 60 van de WMG worden een drietal categorieën van persoonsgegevens onderscheiden in identificerende, medische- en
strafrechtelijke persoonsgegevens, die aansluiten bij de terminologie van de WBP. In artikel 1 van de WBP is aangegeven wat
onder persoonsgegevens moet worden verstaan. In artikel 8 van de WBP is aangegeven in welke gevallen persoonsgegevens als
bedoeld in artikel 1 WBP mogen worden verwerkt. In artikel 21 en 22 van de WBP wordt aangegeven wanneer medische en strafrechtelijke
persoonsgegevens mogen worden verwerkt, voor zover die grondslagen voor verwerking niet voldoende zijn, kunnen die worden
verwerkt op basis van artikel 23 WBP. De wettelijke grondslag die op grond van artikel 23, eerste lid, onder e, WBP wordt
gevraagd is de wettelijke bepaling in de vorm van het onderhavige artikel 65 van de WMG, dat per taak van de zorgautoriteit
aangeeft of persoonsgegevens en zo ja behorend tot welke categorie van persoonsgegevens voor die taak noodzakelijkerwijs dienen
te worden verwerkt.
Leeswijzer
Om de leesbaarheid van de toelichting te vergroten wordt hieronder bij de opsomming niet verwezen naar de afzonderlijke onderdelen
van de artikelen 2 tot en met 4 maar naar de desbetreffende artikelen van de wet.
Artikel 1 begrippen en reikwijdte
De zorgautoriteit gebruikt gegevens en inlichtingen van zorgaanbieders en ziektekostenverzekeraars in hun hoedanigheid van
zorgondernemer. Met het oog op het voeren van correspondentie en een juiste adressering is het al noodzakelijk om persoonsgegevens
te gebruiken van personen die zorgaanbieder zijn of die belast zijn met de dagelijkse leiding of personen die op een onderdeel
van de voor de WMG relevante bedrijfsvoering zijn gemachtigd. Ook is niet altijd duidelijk welke juridische hoedanigheid een
(onderdeel van een) zorgaanbieder of ziektekostenverzekeraar heeft. Zo kan het bij een zorgaanbieder gaan om een natuurlijk
persoon of rechtspersoon of een organisatorisch verband. De zorgautoriteit gebruikt dus gegevens die aangeven wie of welke
persoon of rechtspersoon het betreft. Die gegevens met betrekking tot zorgondernemers dragen dus een puur zakelijk karakter.
De in artikel 1, eerste lid, vastgelegde begrippen bestuurder en medewerker spreken voor zich en behoeven geen verdere uitleg.
Wellicht ten overvloede zij vermeldt dat onder het begrip medewerker niet wordt verstaan de zorgaanbieder die met een ziektekostenverzekeraar
een overeenkomst heeft gesloten om zorg te leveren aan verzekerden van die ziektekostenverzekeraar. Veelal kan voor de identificatie
worden volstaan met naam, adres, woonplaats en postadres van zorgaanbieders, bestuurders of medewerkers.
Het tweede lid verklaart de regeling ook van toepassing op degenen bedoeld in artikel 44 van de wet. Het betreft degene die
voor een zorgaanbieder of ziektekostenverzekeraar een administratie voert alsmede degene die een administratie voert ten behoeve
van of in verband met het aanbieden, overeenkomen, leveren, in rekening brengen, betalen of vergoeden aan derden van een prestatie
of een tarief of het ontvangen van een betaling.
Ten behoeve van de leesbaarheid van de regeling zijn aan de definitie bepaling nog de begrippen categorie van persoonsgegevens
als bedoeld in de WMG en uit de WBP het brede begrip verwerking van persoonsgegevens en de begrippen verzamelen en verstrekken
van persoonsgegevens opgenomen.
Onder identificerende persoonsgegevens wordt verstaan: naam, adres, woonplaats, postadres, geboortedatum en geslacht en administratieve
gegevens. Als voorbeelden van dat laatste zijn in artikel 60 van de wet genoemd: nummers van bank-, giro- en creditcard, inschrijvingsgegevens
van de gemeentelijke basisadministratie en registratie ingevolge de Wet op de beroepen in de individuele gezondheidszorg.
Het CBP adviseert in een uitputtende lijst aan te geven wat onder administratieve gegevens kan worden verstaan. Anders dan
het CBP ben ik van mening dat een dergelijke lijst niet is te maken, omdat van geval moet worden bezien welke administratieve
gegevens noodzakelijk zijn voor de uitoefening van de taak of bevoegdheid en omdat een dergelijk lijst dynamisch is. Met de
aangehaalde voorbeelden is de aard en inhoud van dergelijke gegevens nader aangegeven. In de concrete situatie wordt door
de zorgautoriteit bezien of en hoe en onder welke benaming een administratief gegeven noodzakelijkerwijs wordt verwerkt. Met
het CBP ben ik van mening dat niet in alle gevallen alle persoonsgegevens uit een categorie noodzakelijk zijn voor de uitvoering
van een taak of bevoegdheid.
Onder strafrechtelijke persoonsgegevens worden ook begrepen de gegevens die noodzakelijk zijn om vast te stellen dat een verzekerde
geen recht heeft op zorg op grond van de Zorgverzekeringswet (Zvw) of de Algemene Wet Bijzondere Ziektekosten (AWBZ) omdat
hij recht heeft op forensische zorg ten laste van de begroting van het ministerie van Justitie.
Artikel 2 persoonsgegevens hoofdstuk 3 en 4 WMG
Dit artikel van de regeling geeft per artikel aan of het de zorgautoriteit is toegestaan voor de uitvoering van de daarbij
aangegeven artikelen van de wet persoonsgegevens te verwerken indien en voor zover zij naar het oordeel van de zorgautoriteit
voor die uitvoering noodzakelijk zijn en voor zover zij behoren tot de bij die artikelen vermelde categorieën van persoonsgegevens.
In veel gevallen spreekt voor zich dat identificerende gegevens worden gebruikt. Het is immers in het dagelijkse en bestuurlijke
verkeer gebruikelijk een persoon te adresseren bij naam, en schriftelijk bij adres en woonplaatsgegevens. Ook dient het gebruik
van identificerende persoonsgegevens om vergissingen bij overdracht van informatie en bij toekenningen van rechten door middel
van beschikkingen en bij controle op beschikkingen dan wel de afhandeling van klachten te voorkomen. In de onderstaande toelichtingen
zijn die vermeldingen voor dat doel niet altijd vermeld.
Artikel 16: in dit artikel zijn in de wet de taken van de zorgautoriteit beschreven. Die taken zijn vaak nader uitgewerkt
in artikelen van de WMG. In dat geval wordt hier verwezen naar de desbetreffende artikelen en de daarbij behorende toelichting.
Voor zover de uitwerking niet in die wet nader wordt vormgegeven zoals bij opgedragen toezichttaken op andere wetgeving zoals
de Wet burgerservicenummer in de zorg en Wet tegemoetkoming chronisch zieken en gehandicapten, wordt verwezen naar het gestelde
bij of krachtens die wetten over het verwerken van persoonsgegevens. Teneinde geen lacune te laten ontstaan en gelet op de
bovenvermelde opdracht op grond van artikel 65 WMG zijn ook voor artikel 16 de benodigde categorieën van persoonsgegevens
in de onderhavige regeling aangewezen.
Artikel 18: ten behoeve van de juiste adressering van de persoon bij de gegevensoverdracht en ten behoeve van de verwerking
van de verkregen gegevens door de zorgautoriteit.
Artikel 19: ten behoeve van de juiste adressering van de betrokken persoon bij de gegevensoverdracht en ten behoeve van de
verwerking van de verkregen gegevens door de zorgautoriteit. de verwerking van individuele medische persoonsgegevens kan noodzakelijk
zijn in individuele gevallen waarbij de inspectie vaststelt dat de prestatiebeschrijving zoals die voor de individuele patiënt
door de zorgautoriteit is vastgesteld niet toereikend is en bijstelling behoeft.
Artikel 20: het verwerken van persoonsgegevens kan noodzakelijk zijn bij het geven van voorlichting waarbij veelal door de
zorgautoriteit kan worden volstaan met het gebruiken van een telefoonnummers dan wel het adres van degene die voorlichting
of advies ontvangt. Verder is het soms noodzakelijk identificerende persoonsgegevens van zorgaanbieders op beschikkingen te
vermelden.
Artikel 21 en 22: in rapportages over feitelijke ontwikkelingen bij bijvoorbeeld instellingen in financiële problemen worden
meestal ook de betrokken bestuurders met naam en toenaam genoemd. Omdat bij dergelijke instellingen bestuurswisselingen niet
ongewoon zijn is het gebruik van persoonsidentificerende gegevens evident. Beide wetsartikelen verbieden het verstrekken van
medische persoonsgegevens.
Artikel 23: op grond van artikel 23 WMG kan bij de zorgautoriteit worden geklaagd over door zorgaanbieders en ziektekostenverzekeraars
gebruikte formulieren. Waarschijnlijk zullen dergelijke klachten voornamelijk worden ingediend door consumenten en mogelijk
ook door medewerkers van zorginstellingen (behandelaars) die namens cliënten bijvoorbeeld een machtiging aanvragen of middels
een formulier bij de ziektekostenverzekeraar aan moeten geven waarom een cliënt in het ‘verkeerde bed’ ligt (nog opgenomen
in een ziekenhuis terwijl de cliënt eigenlijk in een verpleeghuis moet worden opgenomen, bijvoorbeeld). NAW-gegevens van consumenten,
zorgaanbieders en bestuurders of medewerkers van zorgaanbieders en ziektekostenverzekeraars kunnen noodzakelijk zijn om in
het kader van artikel 23 WMG een gerichte klacht te kunnen indienen. Meestel zal de klacht gaan over het formulier zelf, dus
een niet-ingevuld expemplaar. Tegen deze achtergrond is het de vraag of andere persoonsgegevens hierbij noodzakelijk (kunnen)
zijn. Wanneer een consument zijn beklag doet over een formulier zullen daarmee in een aantal gevallen impliciet ook medische
gegevens worden verstrekt, aangezien een consument in de meeste gevallen slechts in aanraking komt met bepaalde formulieren
wanneer hij een bepaalde behandeling ondergaat of wil ondergaan. De ontheffing van het verbod van artikel 16 WBP voor de verwerking
van deze medische gegevens wordt gevonden in artikel 23, eerste lid, sub a, WBP.
Artikel 24 en 28: aan de wettelijke taak rapportages op te stellen is onlosmakelijk de bevoegdheid tot het doen van onderzoek
verbonden met alle daarbij behorende voorbereidingshandelingen daaronder begrepen. De verplichting tot levering van gegevens
waaronder persoonsgegevens wordt opgelegd op grond van artikel 61 van de wet (zie artikel 3 van onderhavige regeling). Bij
dat onderzoek kunnen identificerende persoonsgegevens van bestuurders of medewerkers noodzakelijk zijn, al is niet zonder
meer evident dat daartoe alle in artikel 60, tweede lid, WMG genoemde identificerende persoonsgegevens noodzakelijk zijn.
Gezien het doel van de artikelen 24 en 28 WMG ligt de noodzaak van het verwerken van identificerende persoonsgegevens in het
rapport zélf niet voor de hand, dit temeer daar deze rapportages openbaar zijn. Het enkele feit dat het vermelden in de rapportage
van het handelen van een – naar uit de geanonimiseerde kenmerken blijkt – unieke functionaris kan op zich voldoende zijn
voor de identificatie van die persoon. Hoewel ik van mening ben dat niet meer persoonsgegevens dan strikt noodzakelijk moeten
worden vermeld, is het natuurlijk ook niet zo, dat iedere aanduiding over een functionaris die een essentiële beleids- of
uitvoering bepalende rol speelt bij degene waarover het rapport wordt uitgebracht enkel om die reden moet worden weggelaten.
Artikelen 26 en 30: In het kader van haar taak toezicht te houden op de uitvoering van de zorgverzekering en de Zorgverzekeringswet
en de AWBZ zal de zorgautoriteit ook feitelijk moeten kunnen controleren of de verzekeraars die die verzekeringen uitvoeren
voldoende en adequaat formele en materiële controles uitvoeren. Dat betekent dat ook de zorgautoriteit die formele en materiële
controles uit moet kunnen voeren. Voor die controles is het noodzakelijk kennis te kunnen nemen van de persoonsgegevens waarover
ook de verzekeraars moeten beschikken om die controles te doen. Die persoonsgegevens zijn vermeld in de regelingen op grond
van artikel 87 Zorgverzekeringswet, artikel 68a Wet marktordening gezondheidszorg en artikel 53 van de Algemene Wet Bijzondere
Ziektekosten. Op de bevoegdheid van de zorgautoriteit formele en materiële controles uit te voeren kom ik nog terug bij de
handhaving taken in de toelichting op de noodzakelijke categorie van persoonsgegevens bij artikel 76 van de wet.
De noodzaak tot formele en materiële controle door ziektekostenverzekeraars neem af naarmate er een gestandaardiseerde en
door interne en externe controles gewaarborgde verwerking van persoonsgegevens is. Op de bevoegdheid en rol van de zorgautoriteit
bij interne en externe controles kom ik nog terug bij de toelichting op de noodzakelijke categorie van persoonsgegevens bij
artikel 61 van de wet.
Artikel 32: op grond van artikel 32 WMG onderzoekt de zorgautoriteit de concurrentieverhoudingen en het marktgedrag op het
gebied van de zorg. Deze onderzoeken kunnen gericht zijn op zorgaanbieders, ziektekostenverzekeraars en consumenten. De zorgautoriteit
weegt af welke identificerende persoonsgegevens behorend tot de categorieën, bedoeld in artikel 60, tweede lid, van de wet
van wie noodzakelijk zijn.
Artikel 33: op grond van artikel 33 WMG kan de zorgautoriteit haar bevindingen op grond van het onderzoek van artikel 32 WMG
openbaar maken, met uitzondering van gegevens en inlichtingen die naar hun aard vertrouwelijk zijn. In beginsel geldt voor
artikel 33 WMG hetzelfde als in de voorgaande alinea is opgemerkt ten aanzien van artikel 32 WMG, waarbij het feit dat de
bevindingen openbaar worden gemaakt nog een extra punt van afweging is. Daarbij verdient de vraag of sommige identificerende
persoonsgegevens naar hun aard reeds vertrouwelijk zijn bijzonder aandacht van de zorgautoriteit. Slechts die persoonsgegevens
die voor het doel waarvoor de publicatie plaats vindt noodzakelijk en proportioneel zijn van geval tot geval te beoordelen.
Artikelen 38 en 40: bij de openbaarmaking van informatie over de tarieven en kwaliteit van aangeboden prestaties en diensten
door de zorgautoriteit kan noodzakelijk zijn te specificeren naar individuele medewerkers van een zorgaanbieder om te weten
wie de zorg daadwerkelijk levert. Ook is het aannemelijk dat het in dit kader in voorkomende gevallen noodzakelijk is identificerende
persoonsgegevens van bestuurders te verwerken. Dat kan ook in een op het eerste oog concurrerend systeem noodzakelijk zijn,
te weten dat de bestuurder van zorgverzekeraars A en B of van zorgaanbieders C en D dezelfde persoon is. Hetzelfde geldt
niet voor het verwerken van identificerende persoonsgegevens als bedoeld in artikel 60, tweede lid, sub b en c, van de wet.
Artikel 44: bij de uitvoering van artikel 44 WMG zijn hooguit de persoonsgegevens noodzakelijk die voor de uitvoering van
de in artikel 44 WMG genoemde bepalingen noodzakelijk zijn. De artikelen 39 en 41 tot en met 43 WMG worden niet genoemd in
de regeling, zodat op gelijke voet ook voor de uitvoering van die bepalingen door de in artikel 44 genoemde derden geen persoonsgegevens
mogen worden verwerkt. Waar het hier om gaat is dat de zorgautoriteit ook het verstrekken van identificeerbare gegevens kan
opleggen aan voor zorgverzekeraars werkende administratieve organen. De bevoegdheid die de zorgautoriteit op voet van artikel
38 van de wet uitvoert strekt zich derhalve ook uit tot die administratiekantoor/zelfstandige administrerende afdelingen/onderdelen.
In deze regeling wordt bevestigd dat de zorgautoriteit ook materiële controles moet kunnen uitvoeren; opsporen van prestaties
die in rekening zijn gebracht maar niet overeenstemmen met de daadwerkelijk verleende zorg. En dat daarbij persoonsgegevens
de gezondheid betreffende noodzakelijkerwijs dienen te worden verstrekt (= doorbreken van beroepsgeheim door zorgaanbieders).
Artikelen 50 tot en met 56: behandeling aanvraag tarief aan een individuele consument in rekening te brengen; persoonsgegevens
de gezondheid betreffende voor vaststelling van individuele prestatiebeschrijving. Het is in voorkomende gevallen, zoals bij
de invoering van prestatiebekostiging in de intramurale langdurige zorg op grond van zorgzwaartepakketten, met het oog op
de bijzondere zorgbehoefte van een patiënt noodzakelijk voor deze een individuele prestatiebeschrijving vast te stellen. In
die gevallen is het noodzakelijk voor het daartoe strekkend onderzoek en het vaststellen van die individuele zorgbehoefte
identificerende en medische kenmerken van de patiënt te verwerken. Identificerende persoonsgegevens van zorgaanbieders en
consumenten kunnen dus noodzakelijk zijn om de beschikking te adresseren of af te bakenen tot degene waarvoor de individuele
prestatiebeschrijving is vastgesteld
Artikel 58: de experimenten waarover artikel 58 WMG spreekt, strekken tot afwijking van bestaande beleidsregels in bijzondere
gevallen. Die afwijking kan betrekking hebben op een categorie van of een beperkt aantal zorgaanbieders, ziektekostenverzekeraars,
patiënten of prestaties. De beleidsregels hebben over het algemeen geen betrekking op door de zorgautoriteit nader te identificeren
patiënten, waarbij het noodzakelijk is identificerende en medische persoonsgegevens van consumenten te verwerken. het rapporteren
over experimenten met een of zeer beperkt aantal deelnemende consumenten; Wellicht zullen de namen van enkele zorgaanbieders
worden genoemd, zoals uit de memorie van toelichting bij dit artikel blijkt.1 Overigens kan voor de evaluatie een noodzaak tot het verwerken van identificerende en medische persoonsgegevens door de zorgautoriteit
bestaan. Bij experimenten rond nieuwe prestatiebeschrijvingen mogelijk dat patiënten gegevens worden geanonimiseerd. Ook dat
is een verwerking van persoonsgegevens, die derhalve in de regeling ex 65 WMG moet worden opgenomen. De rapportage aan de
minister van VWS zal voor wat consumenten betreft op niet-herleidbare wijze kunnen plaatsvinden.
Artikel 3 persoonsgegevens hoofdstuk 5 WMG
Wellicht ten overvloede wordt gewezen op de algemene toelichting waarin staat beschreven hoe de algemene informatiebepalingen
uit de wet zich verhouden tot de andere bepalingen in de wet en waarin staat uitgelegd dat onder gegevens en inlichtingen
ook persoonsgegevens worden verstaan.
Artikel 61, eerste onderdeel:Voor de uitvoering van artikel 61 WMG mogen indien en voor zover dat noodzakelijk is, identificerende,
medische en strafrechtelijke persoonsgegevens worden verwerkt, ten behoeve van en voor zover die gegevens noodzakelijk worden
verwerkt voor de uitvoering van de in onderhavige regeling genoemde artikelen uit de wet en voor zover het betreft persoonsgegevens
die behoren tot de categorie van persoonsgegevens daarbij is vermeld.
Het CBP heeft in zijn advies over de WMG2 terecht opgemerkt dat het huidige artikel 61 WMG geen vangnetbepaling is, waarmee wordt bedoeld dat dit artikel geen zelfstandige
grondslag voor de verwerking van persoonsgegevens geeft. Dat deze bepaling op zich uitgaat van zowel gegevens en inlichtingen
als van persoonsgegevens en derhalve ruim is geformuleerd en de zorgautoriteit daarmee de mogelijkheid geeft alle noodzakelijke
gegevens op te vragen bij ‘een ieder’ doet daaraan niet af. Over het feit dat de bepaling uitgaat van gegevens die ‘redelijkerwijs
van belang zijn’ en niet van gegevens die noodzakelijk zijn, één van de primaire eisen uit de WBP, is in de algemene toelichting
nader verklaard.
Artikel 61 heeft naar de aard van die wet en naar de aard van de WMG, in eerste instantie betrekking op financiële en marktordening
gegevens. Daar kunnen persoonsgegevens bij zitten maar dat hangt af van geval tot geval. Artikel 61, eerste lid, WMG bepaalt
dat (persoons)gegevens die op grond van de andere bepalingen van de WMG moeten worden verstrekt, kosteloos moeten worden verstrekt;
Artikel 61, tweede tot en met zesde lid, WMG heeft hoofdzakelijk betrekking op de wijze van verstrekking van gegevens en inlichtingen.
en dat een ieder de zorgautoriteit of een door deze aangewezen persoon de beschikking moet geven over zijn boeken, bescheiden
en andere gegevensdragers of de inhoud daarvan, wanneer dat noodzakelijk is voor de uitvoering van de WMG door de zorgautoriteit
en er een grondslag is voor de verstrekking van de daarin vervatte (persoons)gegevens en inlichtingen.
Artikel 61, tweede onderdeel: ten behoeve van een rechtmatige gegevensverwerking in verband met de AO/IC-regeling, die door
de zorgautoriteit op grond van artikel 36 heeft vastgesteld, heeft het CBP in 20073 geadviseerd bij de aanpassing van de regeling en de toelichting rekening te houden met de betreffende brief van het CBP.
Dat advies is in deze regeling als volgt verwerkt.
In de regeling is met verwijzing naar artikel 61 opgenomen: persoonsgegevens behorend tot de categorieën identificerende,
medische en strafrechtelijke persoonsgegevens die noodzakelijk zijn voor de interne en externe controle van de naleving van
een door de zorgautoriteit vastgestelde regeling door een op grond van artikel 61 van de wet door de zorgautoriteit aangewezen
persoon en voor zover de categorie van persoonsgegevens daarbij is vermeld. Op grond van artikel 61 is een ieder gehouden
desgevraagd aan de zorgautoriteit of aan een daartoe door deze aangewezen persoon kosteloos en met inachtneming van het bepaalde
krachtens artikel 65 gegevens en inlichtingen te verstrekken. De zorgautoriteit kan zelf of door een daartoe door haar aangewezen
persoon zodanig gegevens opvragen dat zij daarmee de naleving kan controleren van de voorschriften zoals de zorgautoriteit
die bijvoorbeeld op grond van artikel 36 aan zorgaanbieders of ziektekostenverzekeraars oplegt. Zonder aanvullende bepaling
is de zorgautoriteit of de door deze aangewezen persoon niet bevoegd van bijzondere persoonsgegevens kennis te nemen en kan
derhalve in voorkomende controle over de voorgeschreven administratieve verwerking niet uitvoeren. Derhalve is in de regeling
opgenomen dat de zorgautoriteit en de door deze aangewezen persoon bevoegd is voor dat doel van die bijzondere persoonsgegevens
kennis te nemen. Op verzoek van de zorgautoriteit dan wel de door deze aangewezen persoon dienen de zorgaanbieder dan wel
ziektekostenverzekeraar kosteloos de voor het uitvoeren van zijn taak benodigde persoonsgegevens te verstrekken. Artikel 67,
eerste lid, is van toepassing. De aan te wijzen persoon kan zowel een natuurlijke persoon als rechtspersoon zijn dan wel een
functionaris werkzaam bij een zorgaanbieder of ziektekostenverzekeraar. De aanwijzing kan ook betrekking hebben op een functionaris
voor de gegevensbescherming als bedoeld in artikel 62 van de WBP.
Artikel 62: Op grond van dit artikel kan de zorgautoriteit regels stellen, inhoudende welke gegevens en inlichtingen regelmatig
moeten worden verstrekt. Hieronder vallen ook identificerende persoonsgegevens betreffende zorgaanbieders en bestuurders of
medewerkers van zorgaanbieders en ziektekostenverzekeraars en, in geval van een experiment (artikel 58 WMG), identificerende
en medische persoonsgegevens van consumenten. De gegevens en inlichtingen die op grond van de artikelen 61 en 62 van de WMG
zijn verkregen dienen dus tot uitvoering van de andere wetsartikelen die in de opsomming in artikel 2 van de onderhavige regeling
zijn genoemd.’4 Die artikelen kunnen zoals eerder gesteld alleen worden gebruikt voor opvragen van (persoons)gegevens die noodzakelijk zijn
voor de uitvoering van de WMG.
Artikel 66: de zorgautoriteit is bevoegd op grond van deze wettelijke bepaling zorgaanbieders en ziektekostenverzekeraars
te verplichten henzelf betreffende identificerende gegevens alsmede, met inachtneming van het bepaalde krachtens artikel 65,
de in artikel 60 bedoelde identificerende persoonsgegevens en medische persoonsgegevens aan de zorgautoriteit en de FIOD-ECD
te verstrekken ten behoeve van het toezicht op de naleving en de handhaving van de artikelen 35, 36 en 38, waaronder begrepen
de uitvoering van de Wet op de economische delicten. Het kader heeft tot gevolg dat deze gegevens ook het karakter krijgen
van strafrechtelijke persoonsgegevens.
Artikel 67: alvorens de zorgautoriteit gegevens of inlichtingen aan instellingen bedoeld in artikel 70, tweede lid, van de
wet verstrekt dient zij na te gaan of de geheimhouding van die gegevens en inlichtingen voldoende is gewaarborgd. Zoals uit
artikel 4 van deze regeling blijkt kan dat gaan over persoonsgegevens uit alle onderscheiden categorieën.
Artikel 69: de bevoegdheden met betrekking tot het gebruik van gegevens voor alle taken en bevoegdheden van de zorgautoriteit
strekken zich uit tot de verwerking van persoonsgegevens uit alle onderscheiden categorieën.
Artikel 4 gegevensverstrekking door zorgautoriteit
Dit artikel geeft aan of de zorgautoriteit persoonsgegevens, en zo ja van welke van de in artikel 60 van de WMG onderscheiden
categorieën van persoonsgegevens, mag verstrekken aan in artikel 70 van de wet genoemde instanties ten behoeve van de uitoefening
van hun taken en bevoegdheden. Hier geldt ook hetgeen eerder in de toelichting van de regeling is gezegd over identificerende
gegevens en de algemene noodzaak ten behoeve van de communicatie tussen die instanties over identificerende gegevens te mogen
beschikken om zeker te zijn dat het over dezelfde identiteit gaat. Dat is noodzakelijk om vast te stellen of er aangelegenheden
zijn van wederzijds belang en voor het uitwisselen van informatie. De verstrekking door de zorgautoriteit vindt plaats op
grond van artikel 70 van de WMG met de waarborgen vermeld in artikel 65, 67 en 70, vierde lid, van de WMG. Wellicht ten overvloede
zij gezegd dat deze regeling niet ziet op de gegevensverstrekking vàn de genoemde instanties in artikel 70, lid 1, WMG, aan
de zorgautoriteit en aan elkaar.
Voor de verstrekking aan de in de artikel 70 genoemde instanties is gekeken naar de persoonsgegevens waarover de zorgautoriteit
beschikt en is een inschatting gemaakt tot welke categorie van persoonsgegevens de gegevens behoren die de zorgautoriteit
ten behoeve van de uitoefening van hun taken en bevoegdheden kan en mag verstrekken. De zorgautoriteit vraagt geen gegevens
en persoonsgegevens op die het niet voor eigen taken en bevoegdheden nodig heeft. Een ontvangende instantie mag persoonsgegevens
slechts verwerken voor de uitvoering van de taak of bevoegdheid waarvoor deze de gegevens heeft ontvangen, of verder verwerken
voor een taak of bevoegdheid die niet onverenigbaar is met de taak of bevoegdheid waarvoor de instantie de gegevens heeft
ontvangen (artikel 9 WBP).
Wellicht ten overvloede zij gezegd dat de in het eerste lid, van artikel 70 genoemde instanties vallen onder de wettelijke
aansturing van de minister van Volksgezondheid, Welzijn en Sport, en in dat kader kan de minister het onderlinge verstrekken
en verwerken van persoonsgegevens reguleren. Derhalve is het niet noodzakelijk artikel 67, tweede lid, WMG zich te laten uitstrekken
tot het eerste lid van artikel 70. Voor de in het tweede lid vermelde instanties geldt dat niet. Die vallen alle onder de
jurisdictie van een andere minister.
Terzijde merkt het CBP op dat artikel 9 WBP ook geldt voor artikel 69, lid 2, WMG. De genoemde artikelen doch vullen deze
elkaar aan in die zin dat bij het gebruik voor alle doeleinden van gegevens door de zorgautoriteit, deze voorzover het betreft
persoonsgegevens gebonden is aan de ruimte die artikel 9 WBP biedt.
Bij gegevensverstrekkingen gebruikt de zorgautoriteit identificerende gegevens. Zie daarvoor ook de opmerkingen daarover in
het algemeen deel van deze toelichting. Ik beperk mij hieronder tot de situaties waarbij sprake is van noodzakelijke verstrekking
van identificerende en medische persoonsgegevens van consumenten en strafrechtelijke persoonsgegevens door de zorgautoriteit.
– identificerende persoonsgegevens van consumenten
De noodzakelijke verstrekking van identificerende persoonsgegevens van consumenten door de zorgautoriteit doet zich voor bij:
5. Het Staatstoezicht op de volksgezondheid: in verband met de aanwijzing van ambtenaren van het Staatstoezicht als belast met
toezicht op de naleving van het bij of krachtens de WMG bepaalde en het afstemmen van toezicht;
6. De Nederlandse Mededingingsautoriteit en de Consumentenautoriteit: in verband met de afstemming c.q. gemeenschappelijke vaststelling
en afbakening van markten of een deel daarvan;
7. Het CBP en de FIOD-ECD: in verband met (het afstemmen van) toezicht op de naleving van het bij of krachtens de WMG bepaalde.
Het CBP en FIOD-ECD staan ook ieder eigen middelen ter beschikking voor het doen van toezicht en opsporing als bijvoorbeeld
neergelegd in de Wet bescherming persoonsgegevens, de Wet op de economische delicten en het Wetboek van Strafrecht.
8. Het College voor zorgverzekeringen (CvZ): In de onderlinge correspondentie tussen zorgautoriteit en CvZ over klachten over
de uitvoering van de verzekering kan het noodzakelijk zijn identificerende gegevens van de klager te overleggen. Ik verwijs
kortheidshalve naar de doorzendverplichting die voor bestuursorganen geldt op grond van artikel 2:3 van de Algemene wet bestuursrecht.
Uiteraard worden deze gegevens niet gebruikt voor de verevening bedoeld in de Zvw.
– medische persoonsgegevens van consumenten en strafrechtelijke gegevens
De noodzakelijke verstrekking van medische persoonsgegevens van consumenten door de zorgautoriteit doet zich voor bij:
– Het Staatstoezicht op de volksgezondheid: in verband met de aanwijzing van ambtenaren van het Staatstoezicht als belast met
toezicht op de naleving van het bij of krachtens de WMG bepaalde en het afstemmen van toezicht;
– Het CBP en de FIOD-ECD: in verband met (het afstemmen van) toezicht op de naleving van het bij of krachtens de WMG bepaalde.
– strafrechtelijke gegevens
De noodzakelijke verstrekking van strafrechtelijke persoonsgegevens door de zorgautoriteit doet zich voor bij:
– Het Staatstoezicht op de volksgezondheid: in verband met de aanwijzing van ambtenaren van het Staatstoezicht als belast met
toezicht op de naleving van het bij of krachtens de WMG bepaalde en het afstemmen van toezicht;
– De Nederlandsche Bank en de Stichting Autoriteit Financiële Markten: in verband met toezicht op ziektekostenverzekeraars en
verzekeraars als bedoeld in artikel 35, vijfde lid, van de wet;
– Het CBP en de FIOD-ECD in verband met (het afstemmen van) toezicht op de naleving van het bij of krachtens de WMG bepaalde;
– De Nederlandse Mededingingsautoriteit en de Consumentenautoriteit: in verband met de afstemming c.q. gemeenschappelijke vaststelling
en toezicht op markten of een deel daarvan.
Artikel 5 persoonsgegevens hoofdstuk 6 WMG
Wellicht ten overvloede zij gezegd dat artikel 65 van de wet alleen betrekking heeft op de zorgautoriteit als geheel en niet
op de ingevolge artikel 72 aangewezen medewerkers van die zorgautoriteit. De zorgautoriteit hanteert een systeem van functiescheiding
waarbij degegen die reguliere taken uitvoeren en degenen die gegevens en informatie verzamelen in het kader van het toezicht
op de naleving van het bepaalde bij of krachtens de WMG, niet betrokken zijn bij het bezwaar en beroep tegen beslissingen
van de zorgautoriteit die met betrekking tot die uitvoering of dat toezicht zijn genomen. Derhalve hoeft artikel 73 niet in
de onderhavige regeling te worden vermeld.
Artikel 74: Op grond van artikel 74 WMG heeft de zorgautoriteit een meldpunt voor het ontvangen van ‘gegevens en inlichtingen
omtrent feiten en omstandigheden die mogelijk niet in overeenstemming zijn met het bij of krachtens de wet bepaalde.’ In artikel
74 WMG wordt gesproken over ‘de wet’ en niet over ‘deze wet’, waardoor de reikwijdte van deze bepaling heel ruim is. Het ontvangen
van gegevens en inlichtingen door het meldpunt is een vorm van verwerken van persoonsgegevens en wordt daarom op grond van
artikel 65 van de wet in onderhavig besluit vermeld. De verwerking strekt zich uit tot persoonsgegevens behorend tot alle
onderscheiden categorieën. Net als bij klachtenbehandeling heeft de zorgautoriteit niet zelf in de hand welke gegevens en
inlichtingen aan haar meldpunt worden verstrekt. Het hangt af van de vervolgaktie na die melding of de verkregen gegeven en
inlichtingen, waaronder persoonsgegevens, op grond van een van de andere taken en bevoegdheden van de zorgautoriteit noodzakelijk
zijn voor het uitvoeren van die taken en bevoegdheden. Het verzamelen, registreren, opslaan en bewaren van persoonsgegevens
behoort ook tot het ruime begrip ‘verwerken van persoonsgegevens’.
Artikel 76: Het artikel laat de mogelijkheid open tot het geven van een preventieve aanwijzing en tot het geven van een restauratieve
aanwijzing. In het eerste geval wordt de aanwijzing gegeven zonder dat een overtreding is geconstateerd. Bij de restauratieve
aanwijzing is wel een of meer overtredingen geconstateerd en strekt de aanwijzing tot correctie van de situatie die met die
overtredingen is ontstaan.
Een van de overtredingen kan zijn het overtreden van artikel 35 van de wet, het declareren onjuiste prestatie en onjuist tarief.
De WMG verbiedt in artikel 35, eerste lid, aanhef en onder b, het in rekening brengen van een tarief met een prestatiebeschrijving
die niet past bij de daadwerkelijk verrichte prestatie (onjuiste prestatie). De WMG verbiedt in artikel 35, eerste lid, aanhef
en onder c, het in rekening brengen van een tarief dat niet past bij de daadwerkelijk verrichte prestatie (onjuist tarief).
Dit artikellid spreekt over de ‘betrokken prestatie’ en niet over de – al dan niet terecht – gedeclareerde ‘betrokken prestatiebeschrijving’.
Een combinatie van de verboden in beide artikelonderdelen levert het verbod op van het in rekening brengen van een ander tarief
dan het tarief dat de zorgautoriteit aan de daarbij behorende prestatiebeschrijving heeft gekoppeld.
Om dat laatste te kunnen vaststellen is kennisnemen van declaratie en tariefbeschikking voldoende. Om de overtreding van de
eerste twee verboden vast te stellen is het noodzakelijk de medische gegevens in te zien die bij de desbetreffende declaratie
horen. De zorgautoriteit beschikt voor die vaststelling noodzakelijkerwijs over de medische gegevens en de gegevens die zijn
vermeld op de declaratie. Die laatste zullen veelal overeenkomen met de gegevens waarover ziektekostenverzekeraars beschikken
in de regelingen op grond van artikel 87 Zorgverzekeringswet, artikel 68a Wet marktordening gezondheidszorg en artikel 53
van de Algemene Wet Bijzondere Ziektekosten. De zorgautoriteit kan zelf op grond van artikel 38, tweede lid, nog het eerste
lid aanvullende declaratievoorschriften maken over het specificeren van de op verrichtte prestaties betrekking hebbende rekeningen.
Artikel 77: De aanwijzing kan alleen gegeven worden als er is geconstateerd dat niet aan het bepaalde bij of krachtens de
Zvw is voldaan. Voor de onderbouwing daarvan kunnen persoonsgegevens uit de vermelde categorieën van persoonsgegevens noodzakelijk
zijn, bijvoorbeeld voor de constatering dat niet aan de zorgplicht is voldaan.
Artikel 78: De aanwijzing kan alleen gegeven worden als er is geconstateerd dat niet aan het bepaalde bij of krachtens de
AWBZ is voldaan. Voor de onderbouwing daarvan kunnen persoonsgegevens uit de vermelde categorieën van persoonsgegevens noodzakelijk
zijn, bijvoorbeeld voor de constatering dat niet aan de zorgplicht is voldaan.
Artikel 80: voorafgaande aan het opleggen van de maatregel bedoeld in artikel 80 dient de zorgautoriteit onderzoek te doen
of aan de aanwijzing is voldaan. Als de aanwijzing betrekking zou hebben op de handhaving van zorgplicht (zie toelichting
bij artikel 77) dan moet zij over de daarvoor noodzakelijke persoonsgegevens kunnen beschikken.
Artikel 81: voorafgaande aan het opleggen van de maatregel bedoeld in artikel 80 dient de zorgautoriteit onderzoek te doen
of aan de aanwijzing is voldaan. Als de aanwijzing betrekking zou hebben op de handhaving van artikel 35 (zie toelichting
bij artikel 76) dan moet zij over de daarvoor noodzakelijke persoonsgegevens kunnen beschikken.
Artikel 82: Voordat bestuursdwang wordt toegepast dan wel een last onder dwangsom wordt opgelegd moet de zorgautoriteit constateren
dat aan het bij of krachtens de artikelen genoemd in artikel 82 niet is voldaan. Voor zover het betreft het handhaven van
artikel 35 betreft wordt verwezen naar de toelichting bij artikel 76.
Artikel 83: Om bijvoorbeeld vast te kunnen stellen dat een verzekeraar niet meer persoonsgegevens verzamelt of opvraagt op
grond van artikel 87, vijfde en zesde lid, Zorgverzekeringswet is het noodzakelijk dat de zorgautoriteit van alle persoonsgegevens
uit alle categorieën die in een administratie van een verzekeraar aanwezig zijn kennis kan nemen.
Artikel 84: De last onder dwangsom kan alleen worden opgelegd als er is geconstateerd dat niet aan het bepaalde bij of krachtens
de AWBZ is voldaan. Voor de onderbouwing daarvan kunnen persoonsgegevens uit de vermelde categorieën van persoonsgegevens
noodzakelijk zijn, bijvoorbeeld voor de constatering dat niet aan de zorgplicht is voldaan.
Artikel 85: Voordat een bestuurlijke boete wordt opgelegd moet de zorgautoriteit constateren dat aan het bij of krachtens
de artikelen genoemd in artikel 85 niet is voldaan. Voor zover het betreft het handhaven van artikel 35 betreft wordt verwezen
naar de toelichting bij artikel 76.
Artikel 86, 87 en 88: De overtredingen betreffen administratieve voorschriften door een verzekeraar. Voor het vaststellen
van die overtreding zijn alleen identificerende en strafrechtelijke persoonsgegevens noodzakelijk van bestuur of medewerkers.
Artikel 89: Om vast te kunnen stellen dat een verzekeraar niet meer persoonsgegevens verzamelt of opvraagt op grond van artikel
68a van deze wet en artikel 87, vijfde en zesde lid, van de Zorgverzekeringswet is het noodzakelijk dat de zorgautoriteit
van alle persoonsgegevens uit alle categorieën die in een administratie van een verzekeraar aanwezig zijn kennis kan nemen.
Artikelen 92 tot en met 95: Deze bepalingen zijn ten algemene van toepassing voor bestuurlijke boetes. De rapportages, zienswijzen
en schulduitsluiting- en rechtvaardigingsgronden kunnen betrekking hebben op alle gegevens en inlichtingen, waaronder persoongegevens,
die bij een bestuurlijke boete aan de orde kunnen zijn. Derhalve moet de zorgautoriteit noodzakelijkerwijs over persoonsgegevens
kunnen beschikken uit alle categorieën.
Artikel 96: Voor de uitvoering van dit artikel zijn identificerende persoonsgegevens van de overtreder noodzakelijk.
Artikel 100: voor de uitvoering van dit artikel kan het noodzakelijk zijn persoonsgegevens uit alle categorieën te gebruiken
zoals aangegeven in deze regeling.
Artikel 103: Bestuurlijke boetes kunnen alleen worden opgelegd aan zorgaanbieders en ziektekostenverzekeraars, niet aan consumenten.
Voor de adressering en oplegging van de boete kan het noodzakelijk zijn over persoonsgegevens van bestuurders en medewerkers
te beschikken.
Artikel 6 Inwerkingtreding en terugwerkende kracht
De oorspronkelijke regeling is reeds tweemaal opnieuw vastgesteld. Er is voor gekozen niet nogmaals tot een hernieuwde vaststelling
over te gaan maar het advies van het CBP te verwerken en over te gaan naar een definitieve regeling. Aan de regeling wordt
terugwerkende kracht verleend tot en met 1 november 2008, de datum waarop de tijdelijke regeling is afgelopen, zodat de zorgautoriteit
onafgebroken bevoegd is gebleven persoonsgegevens te verwerken indien en voorzover dat noodzakelijk was voor de uitvoering
van haar taken en bevoegdheden.
De Minister van Volksgezondheid, Welzijn en Sport,
A. Klink.