Staatscourant van het Koninkrijk der Nederlanden
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek | Datum ondertekening |
|---|---|---|---|---|
| Ministerie van Volksgezondheid, Welzijn en Sport | Staatscourant 2010, 10581 | Besluiten van algemene strekking |
Authentieke versie (PDF)
Informatie
Printen
Delen
Regeling van de Minister van Volksgezondheid, Welzijn en Sport van 30 juni 2010, Z/M-3009481, houdende wijziging van de Regeling zorgverzekering met het oog op materiële controle door zorgverzekeraar
De Minister van Volksgezondheid, Welzijn en Sport,
Gelet op de artikelen 87, zesde lid, en 88, vierde lid, van de Zorgverzekeringswet;
Besluit:
ARTIKEL I
De Regeling zorgverzekering wordt gewijzigd als volgt:
A
Artikel 1, eerste lid, wordt gewijzigd als volgt:
1. in onderdeel w, onder 1° en onder 2°, vervalt de zinsnede ‘goedgekeurd of’.
2. in onderdeel aa wordt na de zinsnede ‘of tracht te plegen’ ingevoegd: ten nadele van.
3. in onderdeel bb wordt de zinsnede ‘artikel 284 van het Wetboek van Koophandel’ vervangen door: artikel 962 van Boek 7 van het Burgerlijk Wetboek.
4. onderdeel cc wordt vervangen door:
cc. detailcontrole: onderzoek door de zorgverzekeraar naar bij de zorgaanbieder berustende persoonsgegevens met betrekking tot eigen verzekerden ten behoeve van materiële controle of fraudeonderzoek;
dd. algemene risicoanalyse: een analyse die erop is gericht te bepalen op welke gegevens de materiële controle of het fraudeonderzoek zich zal richten;
ee. specifieke risicoanalyse: een analyse die erop is gericht te bepalen op welke gegevens en op welke zorgaanbieders of categorieën van zorgaanbieders de detailcontrole zich zal richten;
ff. bewerker: degene bedoeld in artikel 1, onderdeel e, van de Wet bescherming persoonsgegevens.
B
In artikel 7.2 wordt, onder vervanging van de punt aan het slot van onderdeel h door een puntkomma, ingevoegd:
i. overige gegevens die noodzakelijk zijn voor het verrichten van materiële controle dan wel fraudeonderzoek.
C
Artikel 7.3 wordt gewijzigd als volgt:
1. Voor de tekst van het artikel wordt de aanduiding ‘1.’ geplaatst.
2. Na het eerste lid wordt toegevoegd:
2. De zorgaanbieder is verplicht de in artikel 7.2, onderdeel i, bedoelde gegevens desgevraagd te verstrekken aan de zorgverzekeraar of aan een door die zorgverzekeraar daartoe aangewezen persoon.
3. Voor de door de zorgverzekeraar of de bewerker aangewezen persoon gelden dezelfde wettelijke voorschriften inzake de geheimhouding van de verwerkte gegevens als voor de zorgverzekeraar of de bewerker die hem heeft aangewezen.
D
Artikel 7.4 wordt vervangen door:
Artikel 7.4
1. De zorgverzekeraar verricht materiële controle op de wijze zoals bepaald in de artikelen 7.5 tot en met 7.9.
2. De zorgaanbieder is verplicht zijn medewerking te verlenen aan de overeenkomstig het eerste lid uitgevoerde materiële controle.
3. De zorgverzekeraar verricht fraudeonderzoek op de wijze zoals bepaald in artikel 7.10.
4. De zorgaanbieder is verplicht zijn medewerking te verlenen aan overeenkomstig het derde lid uitgevoerd fraudeonderzoek.
E
Artikel 7.5 wordt vervangen door:
Artikel 7.5
1. De zorgverzekeraar stelt voorafgaand aan de uitvoering van materiële controle het doel ervan vast door te bepalen wanneer voldoende zekerheid is verkregen dat de door de zorgaanbieder in rekening gebrachte prestatie is geleverd of die geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde. Bij de vaststelling neemt de zorgverzekeraar het bij of krachtens de Wet marktordening gezondheidszorg door de Nederlandse Zorgautoriteit bepaalde met betrekking tot het uitvoeren van controles in acht.
2. De vaststelling door de zorgverzekeraar wanneer voldoende zekerheid is verkregen dat de geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde, geschiedt met inachtneming van het bepaalde in artikel 2.1 van het Besluit zorgverzekering en zodanig dat voor verzekerden en zorgaanbieders zoveel mogelijk inzichtelijk is welke maatstaven daarbij gelden.
3. De zorgverzekeraar mag verzekerden met gebruikmaking van persoonsgegevens waarover hij in verband met de uitvoering van de zorgverzekering reeds beschikt enquêteformulieren zenden om onderzoek te doen
1°. of de in rekening gebrachte zorg daadwerkelijk is verleend, en
2°. naar de door die verzekerden ervaren kwaliteit van de verzekerde zorg die een zorgaanbieder verleent of heeft verleend.
4. Bij de verzending van enquêteformulieren als bedoeld in het derde lid informeert de zorgverzekeraar de verzekerde erover dat hij niet verplicht is tot beantwoording van de gestelde vragen en dat onthouden van medewerking op geen enkele wijze tot zijn nadeel zal strekken.
5. De zorgverzekeraar draagt er zorg voor dat terug ontvangen enquêteformulieren als bedoeld in het derde lid, onderdeel 2°, niet herleidbaar zijn tot personen en dat niet herleidbaar is welke verzekerden geen formulier hebben teruggestuurd.
Artikel 7.6
1. De zorgverzekeraar voert een algemene risicoanalyse uit op basis van gegevens waarover deze in verband met de uitvoering van de zorgverzekering beschikt.
2. De zorgverzekeraar stelt op basis van de in het eerste lid uitgevoerde algemene risicoanalyse een algemeen controleplan vast, waarin de objecten van materiële controle en de in te zetten controle-instrumenten zijn opgenomen.
3. Het naar aanleiding van de algemene risicoanalyse opgestelde algemene controleplan voorziet niet in de inzet van het controle-instrument detailcontrole.
4. Indien uit het uitgevoerde algemene controleplan blijkt dat het controledoel, bedoeld in artikel 7.5, eerste lid, is bereikt, kan alleen detailcontrole worden uitgevoerd als er van een ander dan de zorgverzekeraar afkomstige of uit de uitgevoerde controle voortvloeiende aanwijzingen zijn waaruit blijkt dat er sprake is van onvoldoende zekerheid.
Artikel 7.7
De zorgverzekeraar maakt informatie openbaar over het ingevolge artikel 7.5 vastgestelde controledoel en het ingevolge artikel 7.6 vastgestelde algemene controleplan op een zodanige wijze dat die informatie voor verzekerden en zorgaanbieders gemakkelijk verkrijgbaar is.
Artikel 7.8
1. De zorgverzekeraar voert geen detailcontrole uit, dan nadat is voldaan aan de volgende voorwaarden:
a. de zorgverzekeraar heeft een specifieke risicoanalyse verricht op de bevindingen uit het uitgevoerde algemene controleplan bedoeld in artikel 7.6, tweede lid;
b. de zorgverzekeraar heeft naar aanleiding van de specifieke risicoanalyse een specifiek controleplan en specifiek controledoel opgesteld, waarin de objecten van materiële controle en de methoden van detailcontrole zijn opgenomen;
c. het overeenkomstig onderdeel b vastgestelde specifieke doel van de materiële controle kan zonder detailcontrole niet worden bereikt;
d. uit het specifieke controleplan blijkt dat de detailcontrole niet verder gaat dan gelet op het met het onderzoeksdoel en de omstandigheden van het te onderzoeken geval noodzakelijk is;
e. de zorgverzekeraar heeft de zorgaanbieder voorafgaand aan de uitvoering van de detailcontrole toereikende – en op verzoek van de zorgaanbieder schriftelijke – informatie verstrekt waarin wordt gemotiveerd hoe is voldaan aan de in dit lid genoemde voorwaarden.
2. Indien bij de uitvoering van detailcontrole persoonsgegevens van verzekerden worden verwerkt, geschiedt dit onder verantwoordelijkheid van een medisch adviseur in opdracht van de zorgverzekeraar en is deze op voorafgaand verzoek van de zorgaanbieder aanwezig bij dit deel van de controle.
3. In afwijking van het eerste lid kan de zorgverzekeraar met betrekking tot een individuele verzekerde detailcontrole uitvoeren zonder dat de in dat lid genoemde voorwaarden van toepassing zijn, indien deze verzekerde ten behoeve van de materiële controle schriftelijk toestemming aan de zorgaanbieder heeft gegeven voor verstrekking van persoonsgegevens betreffende diens gezondheid aan de zorgverzekeraar. De zorgverzekeraar verwerkt bij de detailcontrole niet meer gegevens dan gelet op het onderzoeksdoel en de omstandigheden van het geval noodzakelijk is.
4. De zorgverzekeraar informeert de zorgaanbieder over de zakelijke inhoud van de voorgenomen uitkomsten van de detailcontrole en stelt de zorgaanbieder in de gelegenheid daarop binnen een redelijke termijn te reageren. De zorgverzekeraar betrekt de reactie van de zorgaanbieder bij de vaststelling van de definitieve uitkomsten van de detailcontrole en bericht deze uitkomsten aan de zorgaanbieder.
Artikel 7.9
1. De zorgverzekeraar legt de specifieke risicoanalyse en de uitvoering van detailcontroles in zijn administratie vast om toetsing door en verantwoording aan toezichthouders mogelijk te maken. Daarbij worden niet meer persoonsgegevens, waaronder persoonsgegevens betreffende de gezondheid, verwerkt dan voor dit doel noodzakelijk is.
2. De zorgverzekeraar bewaart na detailcontroles de daarbij verwerkte persoonsgegevens van verzekerden niet langer dan noodzakelijk is voor het doel waarvoor zij zijn verkregen.
Artikel 7.10
1. Bij fraudeonderzoek zijn de voorwaarden bedoeld in artikel 7.8, eerste lid, onderdelen b en d, van overeenkomstige toepassing, en is de in onderdeel e bedoelde voorwaarde van overeenkomstige toepassing voor zo ver het onderzoeksbelang of het belang van de bescherming van de persoonlijke levenssfeer van de betrokken verzekerde zich daar niet tegen verzet.
2. In afwijking van het eerste lid kan de zorgverzekeraar met betrekking tot een individuele verzekerde detailcontrole uitvoeren zonder dat de in dat lid genoemde voorwaarden van toepassing zijn, indien deze verzekerde ten behoeve van het fraudeonderzoek schriftelijk toestemming heeft gegeven voor verstrekking van persoonsgegevens betreffende diens gezondheid aan de zorgverzekeraar. De zorgverzekeraar verwerkt bij de detailcontrole niet meer gegevens dan gelet op het onderzoeksdoel en de omstandigheden van het geval noodzakelijk is.
Artikel 7.11
De zorgverzekeraar verwerkt de persoonsgegevens, bedoeld in artikel 87, eerste en tweede lid, van de wet slechts verder voor de uitvoering van de zorgverzekering en de aanvullende ziektekostenverzekering indien en voor zo ver dit noodzakelijk is voor de doelen omschreven in artikel 7.1 van deze regeling.
TOELICHTING
Algemeen
1. Inleiding
Met ingang van 2006 is op de verwerking van persoonsgegevens door zorgverzekeraars hoofdstuk 7 van de Regeling zorgverzekering van toepassing. Artikel 87 van de Zorgverzekeringswet vormt hiervoor de grondslag. Daarnaast geldt sindsdien de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, alsmede het in aanvulling daarop geldende addendum en het protocol materiële controle1. Het addendum en het protocol zijn indertijd opgesteld door Zorgverzekeraars Nederland (ZN), met betrokkenheid van het College bescherming persoonsgegevens (CBP), de Koninklijke Nederlandse Maatschappij tot bevordering van de Geneeskunst (KNMG), de Nederlandse Patiënten en Consumenten Federatie (NPCF) en ambtenaren van mijn ministerie. Inmiddels is als opvolger van deze gedragscode door ZN een specifiek op ziektekostenverzekeringen gerichte integrale gedragscode, alsmede een aangepast protocol materiële controle, ter goedkeuring bij het CBP neergelegd. In de daaraan voorafgaande procedure is veel aandacht uitgegaan naar de inzet van detailcontrole als controle-instrument bij materiële controle. De achtergrond daarvan is dat de zorgverzekeraar bij detailcontrole (in verschillende gradaties) ten aanzien van eigen verzekerden inzicht krijgt in persoonsgegevens de gezondheid betreffende, die in de Wet bescherming persoonsgegevens (Wbp) bijzondere bescherming hebben gevonden. Het verloop van de procedure die aan het verzoek van ZN aan het CBP tot goedkeuring is vooraf gegaan, heeft aanleiding gegeven tot een heroverweging van de verhouding tussen de regeling en de gedragscode.
Met dit besluit wordt de Regeling zorgverzekering gewijzigd. Met de wijzigingen die onderhavige regeling aanbrengt wordt:
in de regeling zelf bepaald welke eisen gelden bij de uitvoering van materiële controle en detailcontrole door zorgverzekeraars;
de verhouding tussen de bepalingen over het gebruik van persoonsgegevens in hoofdstuk 7 van de Regeling zorgverzekering en de gedragscode herschikt;
de uitvoering van detailcontroles als onderdeel van materiële controle weer mogelijk gemaakt; en
het verdere gebruik van persoonsgegevens waarover de zorgverzekeraar beschikt bij de uitvoering van de Zorgverzekeringswet (Zvw) aan regels gebonden (‘Chinese walls’).
In het algemeen deel van deze toelichting wordt ingegaan op de noodzaak en betekenis van hoofdstuk 7 van de Regeling zorgverzekering, de verhouding tussen dat hoofdstuk en de gedragscode van zorgverzekeraars vanaf 2006, de actualisering van de gedragscode, en op de thans gewijzigde verhouding tussen Regeling zorgverzekering en gedragscode.
2. Noodzaak en betekenis
Het is niet gewenst dat een sluitende wettelijke grondslag voor formele en materiële controle structureel afhankelijk is van zelfregulering en een goedkeuringsprocedure op grond van de Wbp. Derhalve is besloten die noodzakelijke wettelijke grondslag vast te leggen in de ministeriële regeling gebaseerd op en in combinatie met artikel 87, zesde lid, van de Zorgverzekeringswet (Zvw). De regeling is noodzakelijk voor een tweeledig doel. Enerzijds geeft de regeling in combinatie met artikel 87 van de Zvw de volgens de Wbp noodzakelijke juridische grondslag voor de zorgverzekeraars om formele en materiële controle te mogen uitvoeren voor in de regeling opgenomen doelen. Anderzijds biedt het de zorgaanbieders het volgens de Wbp en het Burgerlijk Wetboek (geneeskundige behandelingsovereenkomst) noodzakelijke wettelijke voorschrift dat voor de zorgaanbieder aanwezig moet zijn om met een daartoe toereikende juridische grondslag te voldoen aan de verplichting het beroepsgeheim te doorbreken bij het verstrekken van medische persoonsgegevens aan de verzekeraar die volgens de procedure in de regeling formele en materiële controles uitvoert.
De regeling is dus voor zowel zorgverzekeraars als zorgaanbieders noodzakelijk om een juridische grondslag voor hun handelen te hebben.
De beoogde regeling is de neerslag van de afweging van de belangen van de verzekerde, verzekeraar en zorgaanbieder bij de uitoefening van formele en materiële controle. Voor een inventarisatie van die belangen zijn de NPCF, de KNMG, GGZ Nederland, ZN en de Nederlandse Zorgautoriteit (NZa) geconsulteerd (zie 10). De onderscheiden verantwoordelijkheden en bevoegdheden worden in deze regeling zodanig vastgelegd dat er voor alle partijen helderheid bestaat over wat ieders rechten en plichten zijn bij de uitoefening van die controles. De in de regeling gestelde eisen zijn zodanig opgesteld dat die een goed handvat bieden voor de toepassing in de praktijk.
De regeling bepaalt dat de zorgverzekeraar zich bij formele en materiële controle moet houden aan het bepaalde in de regeling. Voldoet de verzekeraar aan de in de regeling gestelde eisen, dan is de zorgaanbieder gehouden medewerking te verlenen aan de materiële controle. De zorgaanbieder moet dan aan de zorgverzekeraar de voor het uitoefenen van materiële controle en het behalen van het bij die controle gestelde controledoel noodzakelijke persoonsgegevens verstrekken.
3. Verhouding tussen Regeling zorgverzekering en gedragscode vanaf 2006
De Regeling zorgverzekering die per 1 januari 2006 van kracht is geworden, gaf in hoofdstuk 7 regels over de verwerking door zorgverzekeraars van persoonsgegevens, waaronder persoonsgegevens betreffende de gezondheid. De regeling hield onder meer in:
dat op de zorgverzekeraar de verplichting rustte om de materiële controle en het fraudeonderzoek te verrichten op de wijze zoals is vastgelegd bij de door het CBP goedgekeurde gedragscode (artikel 7.4, eerste lid), en
dat op de zorgaanbieder de verplichting rustte om mee te werken aan overeenkomstig de goedgekeurde gedragscode uitgevoerde controle en onderzoek (artikel 7.4, tweede lid).
De goedkeuring van de gedragscode door het CBP was van kracht tot 5 februari 2008. Het CBP heeft geconcludeerd dat vanaf dat tijdstip als gevolg van het verstrijken van de goedkeuringstermijn het uitvoeren van materiële controles in strijd was met de Zvw, waarmee geen wettelijke grondslag meer bestond voor doorbreking van het medisch beroepsgeheim van de zorgaanbieder. ZN heeft vervolgens de zorgverzekeraars geadviseerd detailcontroles (waarbij persoonsgegevens betreffende de gezondheid worden verwerkt) waarvoor de verzekerde geen toestemming heeft gegeven, niet uit te voeren in afwachting van een nieuwe goedkeuring. De zorgverzekeraars hebben aan dit advies gevolg gegeven. Dit heeft ertoe geleid dat zorgverzekeraars in een aantal gevallen onvoldoende zekerheid hebben verkregen over de rechtmatigheid en doelmatigheid van de uitgaven krachtens de zorgverzekering. Dit is in toenemende mate als een knelpunt ervaren door verzekeraars, en onderschreven door De Nederlandsche Bank en de NZa.
4. Actualisering gedragscode
ZN heeft in juni 2008 een geactualiseerde gedragscode aan het CBP voorgelegd. Daarbij werd vooralsnog de vorm, een aanvulling voor ziektekostenverzekeraars op de onderliggende basale gedragscode voor financiële instellingen, gehandhaafd. Naar aanleiding daarvan heeft het CBP in het najaar van 2008 een aantal vragen gesteld en opmerkingen gemaakt, ook over de verhouding tot een nieuwe gedragscode voor financiële instellingen. ZN heeft op 19 februari 2009 de gestelde vragen beantwoord en een aangepaste gedragscode aan het CBP voorgelegd. Daarbij kreeg het nieuwe concept een integraal karakter, waarbij de gedragscode financiële instellingen uiteraard wel als basis heeft gediend. Het CBP heeft ZN naar aanleiding daarvan medegedeeld dat ook de aangepaste gedragscode vooralsnog onvoldoende tegemoet kwam aan de eerder gemaakte opmerkingen, mitsdien niet voor goedkeuring in aanmerking kwam en op een aantal punten verdere verbetering behoefde. Voorts behoeft de conceptgedragscode aanpassing om goed aan te sluiten bij deze regeling. Het voorgaande moet uiteindelijk uitmonden in hernieuwde aanpassing en een definitief verzoek van ZN om goedkeuring, dat zo spoedig mogelijk bij het CBP zal worden ingediend. Ook daarna kan echter met de definitieve goedkeuring van de gedragscode nog geruime tijd zijn gemoeid. Niet alleen heeft het CBP vanzelfsprekend tijd nodig voor de toetsing van de gedragscode aan de Wbp, maar ook de procedure die volgens die wet moet worden doorlopen alvorens een definitieve goedkeuring tot stand komt, vergt – door de mogelijke tussenkomst van belanghebbende partijen – tijd. Al met al is aannemelijk dat het nog zeker enige tijd kan duren voordat detailcontroles op basis van een goedgekeurde gedragscode zullen kunnen worden hervat.
Ik vind het van groot belang dat verzekeraars toezicht kunnen uitoefenen op uitgaven voor verzekerde zorg en dat daarbij een zorgvuldige omgang met de persoonsgegevens van verzekerden gewaarborgd is. In dat kader voeren verzekeraars onder andere materiële controles uit. Voor de uitvoering daarvan zijn diverse instrumenten noodzakelijk, waaronder soms detailcontrole. Detailcontrole is het verzamelbegrip voor controlemethodes waarbij de zorgverzekeraar persoonsgegevens betreffende de gezondheid van de eigen verzekerden verwerkt die berusten bij de zorgaanbieder. In verreweg de meeste gevallen is geen detailcontrole nodig, omdat veelal minder vergaande vormen van controle soelaas kunnen bieden. In die gevallen is detailcontrole niet alleen onwenselijk, maar gelet op de Wbp ook onrechtmatig. Om die reden is de inzet van het instrument detailcontrole in de (inmiddels verlopen) gedragscode aan voorwaarden gebonden. Belangrijke voorwaarden zijn dat de beoogde informatie noodzakelijk is voor het controledoel, alleen door detailcontrole kan worden verkregen, en dat de inzet van dit controle-instrument proportioneel is met het controledoel. Daarmee wordt zowel tegemoetgekomen aan het belang van de verzekerde bij bescherming van diens persoonlijke levenssfeer, aan het belang van zorgverzekeraars bij controles, als aan het belang dat zorgaanbieders hebben bij duidelijkheid over de vraag of de wettelijke regeling van het medisch beroepsgeheim in de weg staat aan het verstrekken van persoonsgegevens betreffende de gezondheid. Het CBP is van oordeel dat het sinds 2006 geldende protocol naar de huidige inzichten te globaal van karakter is en te weinig richting geeft aan – alsmede verantwoording over – de beoordeling door de zorgverzekeraar wanneer de inzet van het controle-instrument detailcontrole noodzakelijk en proportioneel is.
Het verlopen van de goedkeuring in februari 2008 staat overigens niet in de weg aan andere instrumenten van materiële controle, die aan detailcontrole voorafgaan en waarbij het medisch beroepsgeheim niet aan de orde is. Daarenboven vind ik dat detailcontrole in uiterste instantie ter beschikking moet (blijven) staan als controle-instrument. In mijn antwoord van 8 april 2008 op schriftelijke vragen van het lid van de Tweede Kamer der Staten-Generaal Schippers2 ging ik er van uit dat binnen een verantwoord tijdsbestek ook detailcontroles weer uitgevoerd zouden kunnen worden, zodat er op dat moment geen aanleiding was voor maatregelen.
5. Naar een andere verhouding tussen Regeling zorgverzekering en gedragscode
Ik acht een maatregel thans om drie redenen toch geboden:
het ook in de toekomst gedurende langere tijd nog niet kunnen uitvoeren van detailcontroles kan het toezicht schaden op de besteding van zorgverzekeringsgelden en ook de financiële verantwoordingscyclus van zorgverzekeraars belemmeren;
door in de Regeling zorgverzekering de essentialia op te nemen over de uitvoering van materiële controle en fraudeonderzoek door zorgverzekeraars, steunt de voor die uitvoering noodzakelijke verplichting voor zorgaanbieders tot medewerking aan detailcontrole (en doorbreking van het medisch beroepsgeheim) voortaan rechtstreeks op een wettelijke regeling krachtens de Zvw, in plaats van op een gedragscode. Het is uit een oogpunt van wetgevingssystematiek zuiverder om de medewerkingsverplichting van zorgaanbieders direct te doen steunen op een wettelijke regeling, dan op een gedragscode die door zelfregulering tot stand is gekomen en die door verwijzing in een ministeriële regeling een verbindend karakter krijgt;
een structurele en toekomstbestendige regeling is ermee gediend dat de uitvoering van detailcontrole, en de plicht van zorgaanbieders om daaraan mee te werken, niet langer materieel afhankelijk is van (het aflopen van) de goedkeuringstermijn en lopende goedkeuringsprocedures.
6. Wijziging van de Regeling zorgverzekering
Tegen de hiervoor geschetste achtergrond wordt de Regeling zorgverzekering gewijzigd. De kern van de wijziging is dat in de regeling aan de zorgverzekeraar de verplichting wordt opgelegd om de materiële controle, met inbegrip van detailcontrole, en het fraudeonderzoek te verrichten op de wijze zoals bepaald in de regeling. In hoofdlijnen komt dat neer op het volgende:
Allereerst dient de zorgverzekeraar het doel van de materiële controle vast te stellen. Het doel van de materiële controle is immers medebepalend voor de diepgang van de daadwerkelijk uit te voeren controles;
Daarnaast voert de zorgverzekeraar een algemene risicoanalyse uit om te bepalen wat het onderwerp van de materiële controle zal worden. Deze risicoanalyse wordt verricht op gegevens die de zorgverzekeraar ontleent aan de verzekerdenadministratie, alsmede op grondslag van andere signalen of aanwijzingen waarover de zorgverzekeraar beschikt;
Op basis van deze algemene risicoanalyse stelt de zorgverzekeraar een algemeen controleplan vast, waarin is opgenomen waarop de controle zich zal richten en welke controle-instrumenten of methodes daarbij worden ingezet. In de fase van deze algemene controle komen alleen die methodes in aanmerking die de zorgverzekeraar kan toepassen zonder daarbij te zijn aangewezen op de medewerking van de zorgaanbieder bij de verwerking van persoonsgegevens betreffende de gezondheid. Het gaat hier zowel om het uitvoeren van statistische analyses en logica- en verbandscontroles, die de zorgverzekeraar op basis van de eigen administratie en de daarin opgenomen persoonsgegevens zelfstandig kan verrichten, als om de beoordeling van een door een zorgaanbieder overgelegde accountantsverklaring en bestuursverklaring betreffende de administratieve organisatie en interne controle (AO/IC). Ook andere informatie (geen persoonsgegevens) die – bijvoorbeeld naar aanleiding van een concreet signaal – desgevraagd door de zorgaanbieder aan de zorgverzekeraar is verstrekt, valt onder deze categorie. Detailcontrole is in deze fase niet mogelijk. Uit artikel 7.8, eerste lid, onderdeel c, vloeit voort dat als met de inzet van de hier genoemde controlemiddelen voldoende zekerheid kan worden verkregen, die (eerst) moeten worden ingezet. Het is met andere woorden niet toegestaan om door middel van detailcontrole persoonsgegevens te verwerken als dat met de inzet van een algemeen controle-instrument mogelijk had kunnen worden vermeden;
Het kan zijn dat de materiële controle hier eindigt, omdat voldoende zekerheid is verkregen. Het kan ook zijn dat de uit de algemene controle voortgekomen bevindingen tot de conclusie leiden dat het controledoel nog niet gehaald is en dat meer informatie noodzakelijk is. In dat geval voert de zorgverzekeraar een specifieke risicoanalyse uit, waarop een specifiek controleplan en een specifiek controledoel voor de betreffende zorgsoort en/of de betreffende zorgaanbieder wordt gebaseerd. Het specifieke controleplan beschrijft de inzet van de methodes van detailcontrole. Het kan hier gaan om lichtere vormen, zoals 1) het opvragen van persoonsgegevens met betrekking tot verzekerden zonder dat de verzekeraar inzage heeft in de administratie van de zorgaanbieder, of 2) het inzien van de administratie van de zorgaanbieder (zoals het raadplegen van een afsprakenagenda) waarbij de zorgverzekeraar geen kennis neemt van diagnosegegevens van zijn verzekerde. Maar ook kan het gaan om zwaardere vormen van detailcontrole, zoals inzage in het medisch dossier van een individuele verzekerde, of steekproefsgewijze onderzoek. Inzage in het medisch dossier is alleen in uiterste instantie mogelijk. Ook ingeval de verzekerde schriftelijk toestemming heeft gegeven zijn persoonsgegevens te verstrekken aan de verzekeraar verwerkt deze bij de detailcontrole niet meer gegevens van die verzekerde dan gelet op het onderzoeksdoel en de omstandigheden van het geval noodzakelijk is;
De zorgverzekeraar zal steeds moeten kunnen motiveren dat de inzet van de onderscheiden controle-instrumenten proportioneel is met het doel van het onderzoek en de omstandigheden van het te onderzoeken geval, in het bijzonder waar tot de persoon herleidbare gegevens betreffende de gezondheid in het geding zijn. Daarmee wordt niet alleen de zorgaanbieder geïnformeerd, maar wordt die inzet in voorkomend geval ook toetsbaar door de toezichthouders.
Als gevolg van deze wijziging zijn –- mits het daarin bepaalde wordt nageleefd – detailcontroles weer mogelijk, onafhankelijk van en vooruitlopend op de totstandkoming en goedkeuring van de nieuwe gedragscode door het CBP. Hiermee herleeft vanaf het tijdstip van inwerkingtreding van deze regeling eveneens de verplichting van zorgaanbieders om in voorkomend geval medewerking te verlenen aan detailcontrole, ook over de periode vanaf 5 februari 2008. Dit betreft geen terugwerkende kracht. Door het verstrijken van de goedkeuringstermijn op 5 februari 2008 van de gedragscode verviel niet de verplichting van de verzekeraar tot de rechtmatige en doelmatige uitvoering van de zorgverzekering. Wel verviel vanaf de genoemde datum de juridische basis op grond waarvan de verzekeraar zonder toestemming van de verzekerde detailcontrole kon uitvoeren en de zorgaanbieder tot medewerking verplicht was. Met deze regeling krijgen verzekeraars weer expliciet de bevoegdheid om detailcontrole uit te voeren bij materiële controle en fraudeonderzoek. Deze bevoegdheid wordt geenszins beperkt doordat in de periode vanaf 5 februari 2008 geen sprake was van een door het CBP goedgekeurde gedragscode.
7. Betekenis gedragscode
Het voorgaande betekent in het geheel niet dat de bestaande en de aan de goedkeuringsprocedure bij het CBP onderhevige nieuwe gedragscode hun belang voor de verwerking van persoonsgegevens door zorgverzekeraars zouden hebben verloren. Zorgverzekeraars kunnen de praktische uitvoering van de gestelde regels in de gedragscode nader uitwerken, waarbij zij uiteraard de kaders van de regelgeving aan dienen te houden. Goedkeuring van de gedragscode door het CBP biedt zorgverzekeraars de zekerheid dat zij zich bij naleving van de gedragscode bewegen binnen het wettelijke kader. Een groot voordeel van de gedragscode is bijvoorbeeld dat de wijze waarop zorgverzekeraars persoonsgegevens verwerken, wordt geüniformeerd.
8. Wettelijk kader
In het kader van de beoordeling van het verzoek van ZN tot goedkeuring van de gedragscode is door het CBP aangegeven dat het dient te beschikken over het wettelijk kader waarin de gedragscode moet functioneren. De gedragscode heeft betrekking op het verwerken van persoonsgegevens voor de uitvoering van de zorgverzekering en de Zvw, de aanvullende/vrijwillige ziektekostenverzekeringen en de Algemene Wet Bijzondere Ziektekosten (AWBZ). Het CBP heeft uitdrukkelijk te kennen gegeven dat tot dat wettelijk kader – behalve deze regeling op basis van artikel 87 van de Zvw – ook de regelingen op grond van artikel 68a van de Wet marktordening gezondheidszorg (Wmg) en 53 AWBZ behoren. Die regelingen hebben betrekking op de verwerking van persoonsgegevens voor de aanvullende/vrijwillige ziektekostenverzekeringen respectievelijk de AWBZ. De regeling op grond van artikel 68a Wmg is zoveel mogelijk gelijk aan de bepalingen die op grond van artikel 87 Zvw voor de verwerking van persoonsgegevens voor de zorgverzekering en de Zvw zijn vastgesteld en die met deze wijziging worden aangepast. De regeling op grond van artikel 53 AWBZ wordt langs dezelfde lijnen opgesteld en gepubliceerd.
Door de aanpassing van deze regelingen wordt het CBP in staat gesteld deze bij de goedkeuringsprocedure van de gedragscode te betrekken.
9. Advies CBP
Het CBP heeft advies uitgebracht over deze wijziging van de Regeling zorgverzekering. Het CBP geeft in dit advies aan dat het de noodzaak van de aangebrachte wijziging in de verhouding tussen de Regeling zorgverzekering en de gedragscode van ZN onderschrijft. Op enkele punten heeft het CBP geadviseerd regeling of de toelichting van de regeling aan te passen. Hieronder wordt ingegaan op het advies en is uiteengezet tot welke wijzigingen het heeft geleid.
Het CBP geeft aan dat de tekst onder nummer 7. ‘betekenis gedragscode’ nog onduidelijkheid oproept over de verhouding tussen de regeling en de gedragscode. De tekst onder 7. is ter verduidelijking aangepast, zodat duidelijk wordt dat zorgverzekeraars nadere uitvoeringsregels kunnen stellen, binnen de grenzen van de in de regeling op genomen kaders.
In het advies onderschrijft het CBP de voordelen van de in deze regeling gekozen stapsgewijze opbouw van de materiële controle, waarmee invulling wordt gegeven aan het zo belangrijke proportionaliteitsvereiste van de Wbp. Wel wordt geadviseerd in de toelichting van deze regeling meer specifiek te omschrijven welke eenduidige materiële vereisten er zijn om over te gaan naar een volgende fase van materiële controle. Aan het toepassen van het proportionaliteitsvereiste is echter inherent, dat niet van tevoren met grote precisie kan worden voorspeld welke gegevens het onderzoek zal opleveren en hoe de omvang en ernst daarvan precies moeten worden gewogen in het licht van het geformuleerde onderzoeksdoel. Het ontwikkelen van eenduidige criteria op dit terrein, die rekening houden met alle zich mogelijk voordoende feitelijke omstandigheden en verder van tevoren precies afbakenen wanneer het instellen van een vervolgonderzoek in die omstandigheden wel of niet proportioneel is, is dan ook niet mogelijk. De regeling voorziet er daarom ook in dat de zorgverzekeraar alleen meer specifiek onderzoek kan instellen wanneer hij kan verantwoorden dat een dergelijk onderzoek proportioneel is. Doordat de zorgverzekeraar hierover transparant moet zijn, is de toepassing van de regeling toetsbaar.
In het verlengde van het bovengenoemde punt geeft het CBP aan dat deze regeling in de artikelen 7.6, vierde lid, 7.8, derde lid, en 7.10 van deze regeling afwijkingsmogelijkheden van de hoofdroute kent. Het CBP adviseert deze afwijkingsmogelijkheden zo exact mogelijk te formuleren en in de toelichting een beeld te schetsen van het verwachte gebruik hiervan in de praktijk.
In artikel 7.6, vierde lid, zoals dat luidde toen de regeling voor advies aan het CBP is gezonden, was bepaald dat detailcontrole achterwege blijft als het controledoel is bereikt en er geen andere aanwijzingen zijn dat er sprake is van onvoldoende onzekerheid. Naar aanleiding van het advies van het CBP is toegevoegd dat het bij deze aanwijzingen dient te gaan om aanwijzingen afkomstig van een ander dan de zorgverzekeraar of onvoorziene aanwijzingen die voortvloeien uit de controle. Bij externe informatie kan het bijvoorbeeld zijn dat uit een statistische analyse van declaraties van een zorgverlener er voldoende zekerheid lijkt dat de door de zorgverlener gedeclareerde zorg ook echt geleverd is. Indien verzekerden echter bij de zorgverzekeraar kenbaar zouden maken dat door de zorgverlener gedeclareerde zorg niet aan hen geleverd is, kan dit toch een aanleiding zijn nader onderzoek in te stellen. Bij onvoorziende aanwijzingen die voortvloeien uit de controle zelf gaat het om aanwijzingen die niet op grond van het vooraf opgestelde controleplan waren voorzien, maar die de zorgverzekeraar toch aanleiding geven om over te gaan tot detailcontrole (zie hiervoor ook de artikelsgewijze toelichting van artikel 7.5).
Het CBP geeft tevens aan dat artikel 7.8, derde lid, van de regeling de zorgverzekeraar de mogelijkheid biedt bij toestemming van de betrokkene af te wijken van de systematiek van materiële controle. Deze mogelijkheid is reeds vast gelegd in artikel 23, eerste lid, onderdeel a, van de Wbp. Daar wordt gesproken van uitdrukkelijke toestemming, hier is dat nader geëxpliciteerd, het moet gaan om schriftelijke toestemming. Ik zie om deze reden geen aanleiding de tekst van artikel 7.8, derde lid, nader te preciseren.
In artikel 7.10 van deze regeling zijn bepalingen opgenomen ten aanzien van fraude. In de artikelsgewijze toelichting wordt uiteengezet waarom de gestelde regels voor materiële controle niet één op één gelden voor fraudeonderzoek. Het CBP geeft aan dat het om deze reden van belang is goed te markeren wanneer er sprake is van materiële controle en wanneer er sprake is van fraudeonderzoek. In artikel 1, onderdelen z en aa, van de Regeling zorgverzekering zijn de begrippen materiële controle en fraudeonderzoek gedefinieerd. Bij materiële controle gaat het om onderzoek waarbij de zorgverzekeraar nagaat of de door de zorgaanbieder in rekening gebrachte prestatie is geleverd en of die geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde. Fraudeonderzoek is een onderzoek waarbij de zorgverzekeraar nagaat of de verzekerde of de zorgaanbieder valsheid in geschrifte, bedrog, benadeling van rechthebbenden of verduistering pleegt of tracht te plegen bij de totstandkoming of uitvoering van een overeenkomst van zorgverzekering met het doel een prestatie, vergoeding, betaling of ander voordeel te krijgen waarop de verzekerde dan wel de zorgaanbieder geen recht heeft of recht kan hebben. Naar mijn mening is dit onderscheid voldoende helder. Het klopt dat, zoals het CBP aangeeft, materiële controle soms aanleiding geeft tot fraudeonderzoek. Als dat het geval is, dient er net als bij materiële controle een controledoel te worden vastgesteld. Daarbij kan het zo zijn dat in belang van het onderzoek het controledoel niet vooraf aan betrokkene kenbaar wordt gemaakt. Dit mag alleen als dat het onderzoek zou schaden, bijvoorbeeld als de kans groot is dat betrokkenen belangrijk bewijs zullen achterhouden. Dat laat echter onverlet dat er een toetsbaar controledoel bestaat. Gezien bovenstaande heldere definities van materiële controle en fraudeonderzoek en het gegeven dat de verzekeraar een toetsbaar controledoel dient vast te stellen, behoeft de regeling op dit punt geen aanpassing.
Het CBP kan zich vinden in het vooralsnog achterwege laten van een geschillenregeling, maar dringt aan op een goede monitoring door het ministerie van VWS van de uitvoering van deze regeling en de eventuele noodzaak van een geschillenregeling. Zoals hieronder onder 11. aangegeven, is door zowel zorgverzekeraars als aanbieders en de vertegenwoordigers als de NPCF aangegeven dat zich in de praktijk slechts sporadisch een geschil over de noodzaak van formele en materiële controle voordoet. Tevens gaven deze partijen aan dat zij op dit terrein de ontwikkelingen zullen monitoren. De resultaten daarvan zullen mij zonder twijfel bereiken.
Het CBP adviseert om in de toelichting aan te geven dat de taak van de medische adviseur zoals geregeld in artikel 7.8, tweede lid, van deze regeling geen afbreuk doet aan andere taken van de medische adviseur ten aanzien van het werken van medische persoonsgegevens. Aan dit advies is gevolg gegeven.
Ten slotte geeft het CBP aan dat er op grond van artikel 87 van de Zvw een medewerkingsplicht bestaat voor zorgaanbieders en dat de regeling op diverse plaatsen in de regeling nogmaals wordt geëxpliciteerd. Het CBP adviseert om twijfel over de basis van de medewerkingsplicht voor de zorgaanbieder te voorkomen door in de regeling een (terug)verwijzing naar artikel 87 van de Zorgverzekeringswet op te nemen. Met het CBP ben ik van mening dat de juridische grondslag van de medewerkingsplicht helder moet zijn. Ik acht het echter niet noodzakelijk deze verwijzing in de tekst van de regeling op te nemen. Artikel 87 van de Zvw is de delegatiebasis van deze regeling en bovendien wordt in de toelichting van deze regeling helder uiteengezet dat artikel 87 de grondslag van de medewerkingsplicht is.
10. Consultatie
De NZa, ZN, de KNMG, GGZ Nederland en de NPCF zijn voorafgaand aan de adviesaanvraag aan het CBP op de hoogte gesteld van de besluitvorming en geconsulteerd over de conceptregeling. Op 29 oktober 2009 werd een bijeenkomst gehouden over de concept-wijziging van de Regeling zorgverzekering waarin ook gelegenheid was te spreken over het door ZN opgestelde concept Protocol materiële controle. De bijeenkomst vond plaats bij het ministerie van VWS. Uitgenodigd waren GGZ Nederland, KNMG, NPCF en ZN. Deze partijen hebben constructief bijgedragen aan de totstandkoming van de regeling. De naar aanleiding van de consultatie afgesproken wijzigingen zijn in deze regeling verwerkt. Ook met de opmerkingen van de NZa is rekening gehouden.
11. Geschillenregeling
In de onder 10 genoemde consultatiebijeenkomst kwam naar voren dat er in de praktijk sporadisch een geschil optreedt over de noodzaak van de formele en materiële controle dat niet met goede uitleg van de verzekeraar is op te lossen. Het gaat daarbij vaak om het opheffen van misverstanden bij de zorgaanbieder over hetgeen de verzekeraar met de controle wil bereiken. De aanwezigen stelden vast dat op dit moment aantal, inhoud en omvang van de geschillen die zich tussen zorgaanbieders en verzekeraars voordoen niet bekend zijn.
Op voorstel van ZN hebben de aanwezige vertegenwoordigers van GGZ Nederland, NPCF en ZN afgesproken na ongeveer zes maanden na inwerkingtreding van de Gedragscode en het Protocol, gezamenlijk de aard, inhoud en omvang van mogelijke klachten/geschillen die zijn opgetreden te evalueren. Afhankelijk van de resultaten is ZN bereid een laagdrempelige onafhankelijke geschillenregeling in het leven te roepen. Voor de NZa en CBP wordt in dat licht geen rol bij geschillenbeslechting gezien.
Het voorgaande is ook van toepassing op de vraag naar geschilbeslechting als de zorgaanbieder het niet eens is met de door de zorgverzekeraar getrokken conclusie uit de formele en materiële controle dan wel het niet eens is met de gevolgen die daar ten aanzien van de zorgaanbieder worden verbonden door de zorgverzekeraars.
12. Administratieve lasten
Uit deze regeling vloeien geen administratieve lasten voort voor zorgaanbieders en zorgverzekeraars.
Voor zorgaanbieders geldt dat de verplichting om daar waar noodzakelijk persoonsgegevens van verzekerden aan zorgverzekeraars te verstrekken in 2006 op hen van toepassing werd. Door het verlopen van de CBP-goedkeuring van de gedragscode in februari 2008 werd deze verplichting onderbroken, maar herleeft deze met de inwerkingtreding van deze regeling. Van een nieuwe verplichting is derhalve geen sprake. Deze regeling heeft evenmin invloed op het aantal gevallen waarin detailcontrole bij zorgaanbieders aan de orde is, omdat dienaangaande geen materiële normen worden gesteld in de regeling. Als van de regeling invloed zou uitgaan op dat aantal gevallen, is aannemelijk dat de in de regeling gestelde eisen waaraan moet worden voldaan in de aanloop naar detailcontrole, kunnen bijdragen aan een daling van de gevallen waarin de inzet van dat controle-instrument noodzakelijk blijkt te zijn. Bovendien leidt de regeling tot meer uniformiteit hetgeen voor de zorgaanbieders de last van detailcontrole beperkt.
Voor wat betreft de zorgverzekeraars geldt dat de opgelegde informatieverplichtingen rond de uitvoering van detailcontrole niet zijn gericht op het informeren van de overheid, maar op informatieverstrekking aan met name zorgaanbieders. Deze verplichting is gericht op het realiseren van een inhoudelijk doel (rechtmatige gegevensverwerking ten behoeve van materiële controle) dat zorgverzekeraars nastreven. De kosten die gemoeid zijn met de naleving van deze verplichting worden daarom tot de inhoudelijke nalevingskosten gerekend, en niet tot de administratieve lasten.
Voorts waren verzekeraars ook onder het regime van de gedragscode reeds gehouden zorgaanbieders te informeren over de noodzaak van detailcontroles en de onderbouwing daarvan.
Artikelsgewijs
Artikel I
Artikel I, onderdeel A, onder 1
Deze wijziging houdt verband met de inwerkingtreding van de Wmg en het vervallen van de Wet tarieven gezondheidszorg. Met de vervanging van die laatste wet door de Wmg worden prestatiebeschrijvingen en tarieven alleen nog maar vastgesteld. De mogelijkheid tot goedkeuring is vervallen en kan dus uit de tekst worden geschrapt. Er zijn geen inhoudelijke wijzigingen.
Artikel I, onderdeel A, onder 2
Met de technische wijziging van de definitie van fraudeonderzoek wordt de redactie van dit onderdeel verbeterd.
Artikel I, onderdeel A, onder 3
Met deze technische wijziging wordt verwezen naar het met ingang van 1 januari 2006 in werking getreden artikel 962 van Boek 7 van het Burgerlijk Wetboek (in plaats van het vervallen artikel 284 van het Wetboek van Koophandel).
Artikel I, onderdeel A, onder 4
De eis dat verzekeraars materiële controle en fraudeonderzoek verrichten overeenkomstig een gedragscode die is goedgekeurd door het CBP, komt te vervallen. In verband hiermee is ook de definitie van gedragscode in artikel 1, tweede lid, onderdeel cc, geschrapt. In plaats daarvan wordt in onderdeel cc detailcontrole gedefinieerd, en in de onderdelen dd en ee de algemene risicoanalyse respectievelijk de specifieke risicoanalyse. Deze begrippen worden gehanteerd in de nieuwe artikelen 7.6, 7.8 en 7.9.
De algemene risicoanalyse dient een tweeledig doel. Enerzijds is die erop gericht om te bepalen – vanuit een totaalbenadering van de zorgkosten als schadelast – op welke zorgsectoren, verstrekkingen of aanbieders de materiële controle zich zal richten. Analyse van schadelastgegevens kan abstraheren van individuele zorgaanbieders. Anderzijds kan de materiële controle zich ook richten op individuele aanbieders, aan wie de verzekeraar kan vragen AO/IC-verklaringen, accountantsverklaringen of bestuursverklaringen te overleggen.
De specifieke risicoanalyse is er steeds op gericht om te bepalen op welke gegevens en op welke zorgaanbieder(s) of categorieën van zorgaanbieders de detailcontrole zich zal richten. Dat kunnen zorgaanbieders zijn die werkzaam zijn in een bepaalde sector van de zorg, maar ook zorgaanbieders die op grond van een meer specifieke ‘individuele’ aanleiding in aanmerking komen voor detailcontrole.
In een nieuw onderdeel ff wordt de bewerker gedefinieerd. Dat was noodzakelijk omdat artikel 7.3, derde lid, mede betrekking heeft op door een bewerker aangewezen personen. Onder bewerker wordt verstaan wat daaronder in artikel 1, onderdeel e, van de Wbp wordt verstaan: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Met de verantwoordelijke wordt gedoeld op de zorgverzekeraar.
Artikel I, onderdelen B en C
Op grond van artikel 87, eerste en tweede lid, van de Zvw verstrekt de zorgaanbieder persoonsgegevens van de verzekerde, waaronder persoonsgegevens betreffende de gezondheid, aan de zorgverzekeraar die noodzakelijk zijn voor de uitvoering van de zorgverzekering of van deze wet. Op basis van het zesde lid van dat artikel is in hoofdstuk 7 van de Regeling zorgverzekering bepaald tot welke gegevens deze verplichting zich in ieder geval uitstrekt. De zorgaanbieder is op grond van de wettelijke regeling betreffende het beroepsgeheim verplicht om – buiten het geval dat de verzekerde daarvoor toestemming heeft gegeven – dergelijke gegevens te verstrekken indien een wettelijk voorschrift hem daartoe verplicht. Artikel 87 is zo’n wettelijk voorschrift, maar wordt in de praktijk niet altijd als zodanig (h)erkend.
Om buiten enige twijfel te stellen dat voor de uitvoering van materiële controle en fraudeonderzoek door de zorgverzekeraar meer gegevens noodzakelijk kunnen zijn dan de in artikel 7.2, onderdelen a tot en met g bedoelde, is voorzien in een nieuw onderdeel i. Dat onderdeel introduceert geen nieuwe verplichting en vormt geen wijziging ten opzichte van de huidige situatie, maar is opgenomen om buiten twijfel te stellen dat er een wettelijke grondslag is voor het door de verzekeraar beschikken over gegevens die bijvoorbeeld afkomstig kunnen zijn uit het medisch dossier van de verzekerde, alsmede voor de verplichting van de zorgaanbieder die gegevens beschikbaar te stellen.
Bij het uitvoeren van een verzekeringsovereenkomst of betalingsovereenkomst tussen verzekeraar en zorgaanbieder (dan wel het verzoek van de verzekerde om de kosten rechtstreeks te betalen aan de zorgaanbieder) zal de zorgverzekeraar doorgaans (moeten) weten om welke zorgaanbieder het gaat, en daarbij beschikken over een aantal persoonsgegevens van de zorgaanbieder zoals naam, beroep/specialisme en werkgever/instelling. Zonder dergelijke declaratiegegevens kan de verzekeraar de aanbieder niet betalen voor de geleverde zorg.
Ook bij het uitvoeren van controles door verzekeraars kan het noodzakelijk zijn persoonsgegevens van zorgaanbieders te verwerken teneinde te kunnen beoordelen of aan het gestelde controledoel is voldaan. Het kan voor de verzekeraar noodzakelijk zijn daarbij ook personen te betrekken die bij of ten behoeve van de zorgaanbieder aan de totstandkoming van de levering van de prestatie meewerken of hebben meegewerkt en wier informatie voor de verzekeraar noodzakelijk is om te beoordelen of aan het controledoel is voldaan.
Artikel 8 Wbp geeft de grondslagen voor de verwerking ten behoeve van materiële controle van persoonsgegevens van zorgaanbieders en andere personen die bij of ten behoeve van de zorgaanbieder aan de totstandkoming van de levering van de prestatie meewerken of hebben meegewerkt.
Allereerst kan worden gedacht aan de vrijwillige toestemming van de zorgaanbieder. Hij heeft immers besloten als zorgaanbieder deel te nemen aan het maatschappelijk verkeer en sluit daartoe overeenkomsten met zowel patiënten die voor de betaling van de rekening zijn aangewezen op verzekeraars, als (veelal) met verzekeraars. Daarbij moet hij voldoen aan declaratieregels op grond van de Wmg of gesteld door de NZa, en zich houden aan daarover met de verzekeraar veelal gemaakte afspraken.
Daarnaast biedt artikel 8 van de Wbp nog drie andere handvatten.
De zorgaanbieder en ook de bovenbedoelde personen zijn direct dan wel indirect partij bij een overeenkomst met de verzekerde dan wel met de verzekeraar zelf (zorg in natura, gecontracteerde zorg, betalingsovereenkomsten). Het is evident dat het verwerken van identificerende gegevens betreffende de aanbieder noodzakelijk is voor de uitvoering van dergelijke overeenkomsten (artikel 8, onderdeel b). In voorkomende gevallen en zeker indien de zorgaanbieder een rechtspersoon is, geldt de noodzaak van die verwerking ook voor bovenbedoelde personen. Voorts geeft onderdeel c een grondslag voor zover de verzekeraar controles uitvoert ter voldoening aan door de NZa gestelde voorschriften. Ten slotte is voor eventuele restgevallen onderdeel f van toepassing. Tot de gegevens die nodig zijn voor de uitvoering van het verzekeringsbedrijf behoren immers gegevens betreffende het doen van verzekeringsuitkeringen en de controle daarop. Waar dientengevolge (ex onderdeel f) een motivering en belangenafweging zou moeten plaatsvinden, vloeien die voort uit de in de regeling gestelde eisen.
In verband hiermee is een tweede lid toegevoegd aan artikel 7.3, omdat de tot eerste lid vernummerde tekst niet goed kan worden aangepast aan het nieuwe onderdeel i.
In een nieuw derde lid wordt bepaald dat de persoon die door de zorgverzekeraar of de bewerker is aangewezen om de in artikel 7.2 bedoelde gegevens te verwerken aan dezelfde wettelijke geheimhoudingsplicht is gebonden als de aanwijzende zorgverzekeraar of bewerker. Deze bepaling is ten overvloede opgenomen naast artikel 12 van de Wbp.
Artikel I, onderdeel D
In artikel 7.4 is een onderscheid aangebracht in de uitvoering van materiële controle (eerste en tweede lid) en fraudeonderzoek (derde en vierde lid). Deze regeling beperkt zich voor wat betreft fraudeonderzoek tot het vaststellen van de voorwaarden waaronder zorgaanbieders in het kader van zo’n onderzoek de verplichting hebben persoonsgegevens, waaronder persoonsgegevens betreffende de gezondheid, aan zorgverzekeraars te verstrekken. Fraudeonderzoek kan enerzijds worden ingesteld omdat de materiële controle aanwijzingen van mogelijke fraude oplevert die tot nader onderzoek aanleiding geven en waarop niet de regels voor materiële controle van toepassing zijn. Het is echter ook mogelijk dat de zorgverzekeraar een aanwijzing heeft voor fraude, die geheel los staat van de uitgevoerde materiële controle.
Om deze redenen kunnen de regels die ingevolge artikel 7.5d gelden voor materiële controle niet onverkort worden toegepast op fraudeonderzoek, en zijn over fraudeonderzoek afwijkende regels gesteld in artikel 7.5e.
Eerste en tweede lid
De verplichting van de zorgverzekeraar om de materiële controle te verrichten op de wijze als in de regeling bepaald, is vastgelegd in artikel 7.4. Zoals reeds in het algemeen deel van de toelichting is verwoord komt deze verplichting in de plaats van de verplichting bij de materiële controle uit te gaan van een gedragscode die de goedkeuring van het CBP heeft. De hervatting van detailcontroles door zorgverzekeraars is hierdoor niet langer afhankelijk van goedkeuring van de gedragscode door het CBP.
Het tweede lid, dat de verplichting tot medewerking oplegt aan zorgaanbieders bij materiële controle, is tekstueel niet gewijzigd. Inhoudelijk is wel sprake van een wijziging, omdat de tekst van het eerste lid, waarnaar het tweede lid verwijst, is gewijzigd.
Derde en vierde lid
Het derde lid strekt er toe om in gevallen waarin het fraudeonderzoek dient te leiden tot verstrekking van persoonsgegevens van verzekerden door zorgaanbieders aan verzekeraars een norm te stellen die inhoudt dat voor het fraudeonderzoek de regels die gelden voor detailcontrole in het kader van materiële controle, waar mogelijk van overeenkomstige toepassing zijn. Het vierde lid strekt ertoe de medewerkingsverplichting van de zorgaanbieder vast te leggen. Er zij verwezen naar artikel 7.10 en de toelichting bij dat artikel. Overigens hanteren zorgverzekeraars zich bij fraudeonderzoeken een door hen zelf vastgesteld fraudeprotocol.
Artikel I, onderdeel E
Artikel 7.5
Eerste en tweede lid
De zorgverzekeraar stelt zelf het doel vast van materiële controle. Bij die vaststelling neemt de zorgverzekeraar het bij of krachtens de Wmg door de NZa bepaalde met betrekking tot het uitvoeren van controles in acht. De zorgverzekeraar mag zijn doel niet lager stellen dan hetgeen de NZa heeft bepaald. De NZa is op grond van artikel 27 van de Wmg bevoegd regels te stellen met betrekking tot de controle door zorgverzekeraars. Dezelfde bevoegdheid heeft de NZa op grond van artikel 31 van de Wmg voor de controle door AWBZ-verzekeraars. Voor de vrijwillige of aanvullende ziektekostenverzekeringen heeft de NZa daartoe geen bevoegdheid.
Bij de materiële controle is onderscheid te maken tussen rechtmatigheid en doelmatigheid. Voor de vaststelling van de rechtmatigheid van de uitgaven in de Zvw stelt de NZa in het kader van de risicoverevening een minimumnorm. Alle zorgverzekeraars conformeren zich aan deze norm en hebben gelet op het proportionaliteitsbeginsel besloten geen striktere norm te hanteren. Voor wat betreft de doelmatigheid van de uitgaven is er geen door de NZa gestelde norm van toepassing en stellen de zorgverzekeraars die norm zelf vast. Daarbij zij aangetekend dat zorgverzekeraars en zorgaanbieders ten behoeve van de toetsing aan dit criterium veelal onderling afspraken gemaakt hebben over doelmatigheid. De zorgverzekeraars hebben er tot nu toe voor gekozen ook hier de zojuist genoemde rechtmatigheidsnorm mutatis mutandis toe te passen. De vaststelling van het doel is belangrijk, zowel voor wat betreft rechtmatigheid als doelmatigheid, omdat dat een belangrijk uitgangspunt is voor de diepgang van de daadwerkelijk uit te voeren controle.
Voor wat betreft de materiële controle gericht op doelmatigheid bepaalt het tweede lid dat de vaststelling door de zorgverzekeraar dat voldoende zekerheid is verkregen dat de geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde, geschiedt met inachtneming van artikel 2.1 van het Besluit zorgverzekering. Artikel 2.1, tweede lid, van het Besluit zorgverzekering regelt dat de inhoud en omvang van onder de Zvw verzekerde zorg ‘mede worden bepaald door de stand van de wetenschap en praktijk en, bij ontbreken van een zodanige maatstaf, door hetgeen in het betrokken vakgebied geldt als verantwoorde en adequate zorg en diensten’. Dat is een norm die algemeen wordt gehanteerd in de zorg. Voor de AWBZ zal bij deze norm worden aangesloten, al wordt deze norm in de AWBZ zelf anders verwoord.3
Hiermee is het kader inzichtelijk gemaakt dat de zorgverzekeraar hanteert bij de beoordeling van doelmatigheid. Deze objectivering maakt het handelen van de zorgverzekeraar meer transparant en beter toetsbaar. Verder kan in dit verband worden gedacht aan afspraken die verzekeraars met aanbieders hebben gemaakt, maar ook aan medische protocollen of opgedane ervaringen. Als bijvoorbeeld bij de aandoening staar (oogheelkunde) kan worden vastgesteld dat de cataract operaties in meer dan 90% van de gevallen in een poliklinische setting kunnen worden uitgevoerd, kan dit dienen als maatstaf voor doelmatigheid.
De objectiveringseis heeft geen absoluut karakter, maar geldt voor zo ver daaraan redelijkerwijs kan worden voldaan. Deze verplichting gaat derhalve niet zo ver dat verzekeraars alleen onderzoek naar doelmatigheid kunnen doen op basis van tevoren precies omschreven indicatoren. Dat is gelet op de dynamiek van veranderende normen en de aard van het individuele geval niet mogelijk en zou effectieve materiële controle te zeer belasten. Anderzijds mag van verzekeraars worden verwacht dat zij hierover zo transparant mogelijk zijn.
Bij het voorgaande is nog van belang te onderkennen dat de zorgverzekeraar op het moment dat hij het controledoel formuleert, en daarmee de reikwijdte van de materiële controle begrenst, nog niet weet welke bevindingen uit het uitgevoerde onderzoek naar voren zullen komen. Het is denkbaar dat uit het onderzoek aanwijzingen naar voren komen dat zich bij een bepaalde zorgsoort of bij bepaalde zorgaanbieders gebreken voordoen wat betreft rechtmatigheid of doelmatigheid van de gedeclareerde zorg, of mogelijk zelfs sprake is van fraude. Dergelijke aanwijzingen kunnen ook voortkomen uit andere bronnen dan het uitgevoerde onderzoek, zoals uit concrete signalen van verzekerden of van andere zorgaanbieders, uit berichten in de media of anderszins.
De zorgverzekeraar zal zich in dergelijke gevallen – ook als is voldaan aan het controledoel – richten op het verkrijgen van meer zekerheid, en niet volstaan met toetsing aan de minimumnorm. Deze norm beoogt immers tot uitdrukking te brengen wanneer in het algemeen voldoende zekerheid bestaat, en niet om – omgekeerd – uit te spreken dat mogelijke tekortkomingen steeds aanvaard zouden moeten worden zolang die maar onder een in de NZa-regels gestelde marge blijven. Een steekproef kan in een dergelijk geval als controlemiddel in aanmerking komen.
Derde en vierde lid
Zorgverzekeraars beschikken ten behoeve van de uitvoering van de zorgverzekering over persoonsgegevens, waaronder gegevens betreffende de gezondheid. Artikel 9, eerste lid, van de Wbp bepaalt dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Bij de beoordeling of verwerking onverenigbaar is, wordt op grond van het tweede lid van artikel 9 Wbp in elk geval rekening gehouden met a) de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen, b) de aard van de betreffende gegevens, c) de gevolgen voor de verzekerde, d) de wijze waarop de gegevens zijn verkregen en e) de mate waarin jegens de verzekerde wordt voorzien in passende waarborgen.
Zorgverzekeraars vinden het van belang om op basis van persoonsgegevens die aan de eigen administratie worden ontleend nadere vragen te kunnen stellen aan de eigen verzekerden, en die gegevens ook daarvoor te kunnen gebruiken. Deze verdere verwerkingen zijn niet onverenigbaar met de doeleinden waarvoor de gegevens zijn verkregen en passen binnen artikel 9 Wbp.
Zorgverzekeraars streven twee verschillende doelen na die zij kunnen verwezenlijken door eigen verzekerden te bevragen. Het eerste doel is om in het kader van materiële controle na te gaan of de in rekening gebrachte zorg daadwerkelijk is verleend. De verzekerde zelf kan hiervoor belangrijke informatie geven. Het tweede doel is om bij eigen verzekerden navraag te kunnen doen naar de ervaren kwaliteit van zorg die door een zorgaanbieder is verleend en die voor rekening van de zorgverzekeraar is gekomen. Deze informatie stelt de zorgverzekeraar in staat zijn wettelijke zorgplicht jegens verzekerden na te komen en zo zorg van goede kwaliteit te kunnen contracteren.
Voor het verzenden van de beide enquêteformulieren kan de verzekeraar het eigen declaratiebestand gebruiken om verzekerden te bevragen.
Uitdrukkelijk is bepaald dat de medewerking van de verzekerde geheel vrijwillig is en dat hij niet verplicht is tot het verstrekken van gegevens.
Het derde en vierde lid steunen op artikel 88, vierde lid van de Zvw. Artikel 88 Zvw geeft een grondslag om te bepalen welke gegevens noodzakelijk zijn voor de uitvoering van de zorgverzekering of de Zvw. Van deze bevoegdheid is gebruik gemaakt ten aanzien van het derde en vierde lid van artikel 7.5. Daaraan zij toegevoegd dat er van af is gezien om een ieder te verplichten tot verstrekking van de gevraagde gegevens. Medewerking van verzekerden geschiedt op vrijwillige basis.
Vijfde lid
Het vijfde lid bepaalt dat door verzekerden ingevulde enquêteformulieren over de ervaren kwaliteit van de verzekerde zorg niet tot personen herleidbaar mogen zijn. Ook mag niet herleidbaar zijn welke verzekerden wel of niet het formulier hebben teruggestuurd.
Artikel 7.6
In dit artikel is bepaald dat de zorgverzekeraar een algemene risicoanalyse opstelt en een daarop geënt algemeen controleplan opstelt. Deze activiteiten concentreren zich op het zo mogelijk realiseren van het controledoel door gegevens te controleren die de verzekeraar uit de eigen administratie kan ontlenen (dit kunnen mede persoonsgegevens betreffende de gezondheid zijn), dan wel niet-persoonsgegevens die afkomstig zijn van de zorgaanbieder. Het betreft hier accountantsverklaringen, AO/IC-verklaringen en dergelijke bestuursverklaringen. Het belang van dergelijke instrumenten is er mede in gelegen dat op andere wijze dan door detailcontrole uit te voeren voldoende zekerheid kan worden verkregen. Om die reden is het belangrijk dat zorgverzekeraars dergelijke instrumenten in hun controles incorporeren en dat zorgaanbieders dat met dergelijke documenten faciliteren. Zij hebben daarbij een zelfstandig belang, zowel uit het oogpunt van bedrijfsvoering als ter bevordering van uitvoering van detailcontroles zonder verwerking van persoonsgegevens die bij de zorgaanbieder berusten. Waar het controledoel met deze middelen kan worden gehaald, is detailcontrole op basis van bij de zorgaanbieder berustende persoonsgegevens van verzekerden niet noodzakelijk en niet toegestaan. Dat vloeit voort uit het derde lid. Een nuancering daarbij is echter dat dergelijke verklaringen over het algemeen betrekking hebben op een reeds boekhoudkundig afgesloten periode of boekjaar en dat die slechts een beeld kunnen geven over het verleden. Een verleden dat veelal verder terug ligt dan de periode waarop de materiële controle of fraudeonderzoek zich richt.
Uit artikel 7.8, vierde lid, volgt dat de materiële controle stopt, althans dat detailcontrole niet mogelijk is, als het controledoel is bereikt. Om mogelijk misverstand hierover uit te sluiten, is in het vierde lid van artikel 7.6 uitdrukkelijk bepaald dat indien uit het uitgevoerde algemene controleplan blijkt dat het controledoel, bedoeld in artikel 7.5, is bereikt, geen detailcontrole kan worden uitgevoerd. Dit kan slechts anders zijn indien er andere aanwijzingen zijn dat er toch sprake is van onvoldoende zekerheid. De aanwezigheid van dergelijke van een ander dan de zorgverzekeraar afkomstige aanwijzingen (zie ook de toelichting bij artikel 7.5) kan aanleiding geven tot nader onderzoek en tot vaststelling van een specifiek controledoel (en eventueel detailcontrole).
Artikel 7.7
Op grond van dit artikel informeert de zorgverzekeraar verzekerden en zorgaanbieders over het controledoel en het algemene controleplan. Deze eis is erop gericht dat zorgverzekeraars rekenschap en verantwoording afleggen over hun inspanningen om de controle zo op te zetten, dat verwerking van bij de zorgaanbieders berustende persoonsgegevens betreffende de gezondheid zoveel mogelijk achterwege kan blijven. Voor het specifieke controleplan ontbreekt deze verplichting tot openbaarmaking, omdat het hier mede bedrijfsgevoelige informatie kan betreffen. Wel is in geval van detailcontrole de zorgverzekeraar verplicht de betreffende zorgaanbieder vooraf te informeren (artikel 7.8, eerste lid, onderdeel e).
Artikel 7.8
Eerste lid
In dit lid is het uitgangspunt tot uitdrukking gebracht dat detailcontroles slechts plaatsvinden als alleen zo noodzakelijke gegevens kunnen worden verkregen. Dat uitgangspunt vloeit voort uit de noodzaak de persoonlijke levenssfeer van de verzekerde te beschermen en het medisch beroepsgeheim te respecteren. Anderzijds verdient opmerking dat er niets ‘onoorbaars’ is aan het op goede gronden uitvoeren van detailcontroles, het betreft hier integendeel een volstrekt normale controleactiviteit van een verzekeraar die voortvloeit uit de taak van de zorgverzekeraar om de zorgverzekering rechtmatig en doelmatig uit te voeren.
Het eerste lid bepaalt dat detailcontroles alleen worden uitgevoerd met inachtneming van de onderdelen a tot en met e. Deze voorwaarden beogen te waarborgen dat detailcontroles alleen plaatsvinden als wordt voldaan aan de criteria noodzakelijkheid en proportionaliteit. Op grond van onderdeel c kan het instrument detailcontrole alleen worden ingezet als het vooraf geformuleerde specifieke controledoel niet kan worden bereikt zonder detailcontrole. Wat betreft dit specifieke controledoel verdient opmerking dat – ook als het ingevolge artikel 7.5 vooraf geformuleerde algemene controledoel is bereikt – er toch aanleiding kan zijn voor nader onderzoek als er concrete aanwijzingen zijn dat zich gebreken voordoen bij rechtmatigheid en doelmatigheid (zie ook artikel 7.6, vierde lid). In dat geval dient dit uiteraard gemotiveerd te worden bij de vaststelling van het specifieke controledoel.
Voor de uitvoering van detailcontrole zijn verschillende methoden beschikbaar, zoals het stellen van vragen betreffende een verzekerde aan een zorgaanbieder, vragen van informatie uit het afsprakensysteem, en inzage in het dossier. Bij inzage in het dossier kan het gaan om individuele gevallen, of steekproefsgewijs onderzoek. Omdat bij steekproeven veelal persoonsgegevens worden verwerkt van meerdere verzekerden, eventueel ook bij verschillende zorgaanbieders, moet de inzet van dit controle-instrument adequaat gemotiveerd worden. Dat vloeit voort uit onderdeel d.
Verzekeraars maken in de praktijk gebruik van zowel gerichte als aselecte steekproeven. Gerichte steekproeven dienen om vast te stellen of afwijkingen die zich bij een bepaalde zorgaanbieder lijken voor te doen, verklaarbaar zijn. Hierbij kan als voorbeeld dienen de in de toelichting bij artikel 7.5 beschreven situatie. Indien, met een variatie op dat voorbeeld, een zorgaanbieder bij de behandeling van staar (oogheelkunde) in 70% van de gevallen cataract operaties in een poliklinische setting uitvoert, terwijl dit percentage bij andere aanbieders op 90 ligt, kan dit aanleiding zijn voor onderzoek. Het is goed mogelijk dat de zorgaanbieder in kwestie een afwijkende patiëntenpopulatie heeft die het verschil verklaart, maar als dat alleen met een steekproef kan worden vastgesteld moet die mogelijkheid er ook zijn. Die steekproef zal uiteraard alleen betrekking kunnen hebben op eigen verzekerden.
Aselecte steekproeven richten zich vrijwel steeds op zorgaanbieders richten (hoewel ook het declaratiepatroon van een verzekerde aanleiding kan zijn om ten aanzien van die verzekerde aselect onderzoek te doen bij verschillende zorgaanbieders). Voor een aselecte steekproef onder zorgaanbieders kan bijvoorbeeld aanleiding bestaan als bij het hiervoor genoemde voorbeeld van de behandeling van staar zou blijken dat het aandeel van de niet-poliklinische cataract operaties over de hele linie stijgt zonder dat daarvoor een goede verklaring lijkt te zijn. In een dergelijk geval kan het aangewezen zijn dat de zorgverzekeraar ten aanzien van eigen verzekerden aselect steekproeven neemt bij verschillende zorgaanbieders.
Onderdeel e strekt ertoe dat zorgverzekeraars zich vooraf verantwoorden over de wijze van uitvoering van detailcontroles en dat de zorgaanbieder adequate informatie van de zorgverzekeraar ontvangt. Bovendien kunnen de toezichthouders NZa en CBP zo beter toetsen of de geldende regels zijn nageleefd.
Zoals in het algemeen deel van deze toelichting onder in paragraaf 2 ‘noodzaak en betekenis’ al is omschreven bevat de regeling de afweging van belangen van verzekerde, zorgaanbieder en zorgverzekeraar en de vastlegging van de rechten en plichten van zorgverzekeraars en zorgaanbieders bij formele en materiële controles. De zorgaanbieder blijft professioneel verantwoordelijk voor de inhoud van de zorg en het daarbij behorende beheer van het zorgdossier van de verzekerde. De zorgverzekeraar legt voorafgaand aan de detailcontrole aan de zorgaanbieder uit wat het doel is van de controle. De zorgaanbieder kan daarover vragen stellen die de verzekeraar met inachtneming van de regeling naar beste weten beantwoordt. Een zorgaanbieder kan in een voorkomend geval gemotiveerd aangeven bij een verzekeraar waarom hij van mening is dat in dat geval niet aan de in de regeling gestelde eisen is voldaan. De verzekeraar zal naar aanleiding daarvan de noodzaak tot inzet van het controle-instrument nader motiveren en toelichten. Waar bij nader inzien blijkt dat het controledoel ook zonder het betreffende instrument kan worden gerealiseerd, is een andere oplossing aangewezen. Het voorgaande laat onverlet dat de zorgaanbieder ook de medisch adviseur van de zorgverzekeraar om een (nadere) toelichting kan vragen. Mocht de verzekeraar in voorkomend geval van mening blijven dat de inzet van het betreffende controle-instrument noodzakelijk is en de zorgaanbieder blijft van mening dat niet aan de eisen van de regeling is voldaan, dan zal de verzekeraar in overweging nemen of hij een juridische procedure zal entameren.
Wellicht ten overvloede zij herhaald dat er zo weinig bekend is over aard, inhoud en omvang van mogelijke geschillen dat partijen een door hen in te stellen laagdrempelige geschillenregeling thans nog niet opportuun hebben geacht. Zie daarvoor ook paragraaf 11 van de algemene toelichting.
Tweede lid
Hoewel voor de doorbreking van het medisch beroepsgeheim van de zorgaanbieder op zichzelf niet de eis geldt dat de ontvanger van medische informatie over een verzekerde patiënt een medische achtergrond heeft, blijkt dat zorgaanbieders dat in de praktijk wel van belang vinden. Ook het CBP heeft zich in deze zin uitgelaten. Om die reden is in het tweede lid bepaald dat detailcontrole plaatsvindt onder verantwoordelijkheid van de medisch adviseur van de zorgverzekeraar en dat deze op verzoek van de zorgaanbieder bij de detailcontrole aanwezig is. Uit het voorschrift dat detailcontroles plaatsvinden onder verantwoordelijkheid van de medisch adviseur vloeit voort dat deze bepaalt welke persoonsgegevens moeten worden opgevraagd bij het uitvoeren van de controle.
Hiermee is gewaarborgd dat bij de uitvoering van de detailcontrole voldoende deskundigheid beschikbaar is en adequaat (door de medisch adviseur) wordt gemotiveerd. Hoewel de medisch adviseur in de praktijk deze rol veelal overigens al speelt om de betreffende gegevens goed te kunnen duiden, is deze eis vanwege het belang ervan in de regeling vastgelegd. Deze bepaling heeft betrekking op de detailcontrole en is niet limitatief, de medisch adviseur heeft ook nog andere verantwoordelijkheden bij het verwerken van medische gegevens binnen de bedrijfsprocessen van de zorgverzekeraar. Een medisch adviseur behoeft overigens niet altijd een arts te zijn, dat is afhankelijk van de zorgsoort waarop de detailcontrole zich richt. Is die bijvoorbeeld gericht op fysiotherapeutische zorg, dan kan de medisch adviseur een fysiotherapeut zijn.
Derde lid
Zowel de Wbp als de wettelijke regeling van het medisch beroepsgeheim geven een uitzondering indien de patiënt toestemming heeft gegeven voor verstrekking van gegevens betreffende de gezondheid door de zorgaanbieder. Om tot uitdrukking te brengen dat daaraan geen afbreuk wordt gedaan door de beperkende regels ten aanzien van detailcontrole, is dit voor de duidelijkheid bepaald. Afwijking van het wettelijk kader is daarmee uiteraard niet beoogd. Zo is de in artikel 1, onderdeel i, Wbp geldende eis dat de toestemming vrijwillig moet zijn (en zonder consequenties mag worden onthouden) vanzelfsprekend onverkort van toepassing. Deze methode van controle is vooral van betekenis voor controle in individuele gevallen, en uiteraard niet als ‘alternatief’ voor algemene en specifieke controleplannen. Het spreekt voor zich dat de verzekerde aan het weigeren van toestemming voor de verstrekking van gegevens op zich geen nadelige gevolgen zal ondervinden, doch dat bevindingen uit nader onderzoek door de verzekeraar een maatregel op andere gronden dan de weigering niet uitsluiten. Het is eveneens vanzelfsprekend dat de zorgverzekeraar ook nadat toestemming van de verzekerde is verkregen om persoonsgegevens betreffende de gezondheid te verwerken, er bij de detailcontrole niet meer gegevens worden verwerkt dan gelet op het onderzoeksdoel en de omstandigheden van het geval noodzakelijk is. Dat geldt ook bij het fraudeonderzoek als bedoeld in artikel 7.10.
Vierde lid
De zorgaanbieder wordt niet alleen tevoren over de uit te voeren controle geïnformeerd (eerste lid, onderdeel e), maar ook achteraf over de resultaten. Deze stappen kunnen ook samenvallen, bijvoorbeeld als uit de uitgevoerde controle blijkt dat toch een zwaardere vorm van detailcontrole is aangewezen om het controledoel te bereiken.
De zorgverzekeraar zal de zorgaanbieder informeren omtrent de uitkomst van de detailcontrole. In het kader van hoor en wederhoor wordt de aanbieder in de gelegenheid gesteld binnen een redelijke termijn op de uitkomst van de materiële controle te reageren. Mede op basis van de reactie van de aanbieder stelt de zorgverzekeraar de definitieve uitkomst van de controle vast en bericht deze aan de zorgaanbieder.
De verzekeraar is gehouden redelijkheid en billijkheid te betrachten bij het vaststellen van de gevolgen die worden verbonden aan uitkomsten van formele en materiële controles. In dat kader kan de verzekeraar de ernst, de duur en frequentie van de geconstateerde tekortkoming en de mate waarin deze aan de zorgaanbieder of verzekerde of patiënt kan worden verweten daarbij betrekken. De verzekeraar kan daarbij ook rekening houden met het belang van de verzekerde en de omstandigheden waaronder de tekortkoming is ontstaan.
Artikel 7.9
Ook dit artikel beoogt de uitvoering van detailcontroles transparant en voor de toezichthouders controleerbaar te maken.
Bovendien wordt ter bescherming van de verzekerde in het tweede lid nu uitdrukkelijk vastgelegd dat de zorgverzekeraar na detailcontroles de daarbij verwerkte persoonsgegevens van verzekerden niet langer bewaart dan noodzakelijk is voor het doel waarvoor zij zijn verkregen. Daarmee sluit de regeling overigens aan bij de door verzekeraars gevolgde praktijk. Mocht echter aan de hand van de ontvangen gegevens blijken dat er sprake is van onregelmatigheden of fraude van de verzekerde dan is de verzekeraar bevoegd de gegevens voor het desbetreffende doel te verwerken.
Artikel 7.10
De op grond van artikel 7.8, eerste lid, geldende voorwaarden voor de uitvoering van detailcontrole in het kader van materiële controle lenen zich niet onverkort voor fraudeonderzoek. Indien een zorgverzekeraar uit de uitgevoerde algemene controle of uit andere bron indicaties bereiken dat mogelijk sprake is van fraude, zal de verzekeraar een detailcontrole uitvoeren op basis van de concrete omstandigheden. De specifieke risicoanalyse en het specifiek controleplan vormen daarvoor niet het geschikte kader. Bij fraudeonderzoek is verwerking door de verzekeraar van bij de zorgaanbieder berustende persoonsgegevens onvermijdelijk.
Fraudeonderzoek is geen ‘onderdeel’ van materiële controle, en evenmin een stap in het kader van de reguliere specifieke risicoanalyse zoals die plaatsvindt bij materiële controle. Om die reden worden de onderdelen a, b en c bij fraudeonderzoek niet voorgeschreven.
Bij fraudeonderzoek dient echter wel de eis te gelden dat de zorgverzekeraar een specifiek controledoel vaststelt en aangeeft welke gegevens hij wil inzien met welk doel (vergelijk artikel 7.8, eerste lid, onderdeel b), en dat niet meer gegevens worden verwerkt dan met het oog op dat doel noodzakelijk is (vergelijk artikel 7.8, eerste lid, onderdeel d).
Voorts geldt de in artikel 7.8, eerste lid onderdeel e, opgenomen verplichting de zorgaanbieder vooraf te informeren slechts voor zover het onderzoeksbelang zich daartegen niet verzet. Deze verplichting geldt evenmin indien de verzekerde patiënt het onderwerp is van een fraudeonderzoek, omdat de zorgaanbieder daarmee zonder noodzaak wetenschap zou krijgen over een vermoeden van nog te bewijzen frauduleus gedrag door de verzekerde patiënt. Bij fraudeonderzoek blijven wel de procedurele waarborgen in stand, maar kan de verzekeraar de termijn waarop de zorgaanbieder of verzekerde wordt ingelicht in overeenstemming brengen met het belang van de te houden detailcontrole.
Het gestelde in de toelichting bij artikel 7.8, derde lid, met betrekking tot de toestemming van de verzekerde persoonsgegevens te verwerken is van overeenkomstige toepassing bij detailcontrole ten behoeve van fraudeonderzoek.
Artikel 7.11
Artikel 7.11 bepaalt voor welke doelen persoonsgegevens, waarover de zorgverzekeraar beschikt ten behoeve van de uitvoering van de zorgverzekering of van de wet, verder verwerkt mogen worden met het oog op de uitvoering van de zorgverzekering of een aanvullende verzekering. Deze bepaling zal voor de aanvullende verzekering zijn pendant vinden in een zoveel mogelijk gelijkluidende regeling op grond van artikel 68a Wmg en voor de AWBZ in een regeling die steunt op artikel 53 AWBZ. Tezamen zijn dit de fundamenten van de zogenaamde ‘Chinese Walls’ bij ziektekostenverzekeraars.
Artikel II
Deze regeling treedt in werking zonder dat het protocol materiële controle dat door verzekeraars aan het CBP is voorgelegd, van goedkeuring is voorzien. Desalniettemin zijn ook zonder protocol detailcontroles vanaf de inwerkingtreding van deze regeling weer mogelijk, mits verzekeraars de in deze regeling gestelde voorwaarden naleven.
De Minister van Volksgezondheid, Welzijn en Sport,
A. Klink.
XNoot
1Ter wille van de leesbaarheid wordt in het hiernavolgende zoveel mogelijk het begrip gedragscode gebruikt, ook als wordt gedoeld op genoemd addendum of protocol.
XNoot
3Aanspraak op AWBZ zorg bestaat slechts indien en gedurende de periode waarvoor het bevoegde indicatieorgaan op een door de verzekerde ingediende aanvraag heeft besloten dat deze naar aard, inhoud en omvang op die zorg is aangewezen. De aanspraak op andere vormen van AWBZ zorg waarbij geen indicatieorgaan betrokken moet zijn, kan slechts tot gelding worden gebracht voor zover de verzekerde, gelet op zijn behoefte en uit een oogpunt van doelmatige zorgverlening, daarop naar aard, inhoud en omvang redelijkerwijs is aangewezen (artikel 9b AWBZ). Op grond van artikel 34 AWBZ moet de zorgverzekeraar zijn werkzaamheden op een doelmatige wijze uitvoeren en de nodige maatregelen treffen ter voorkoming van de verstrekking van onnodige zorg en van uitgaven die hoger dan noodzakelijk zijn. Voorts bepaalt artikel 2, tweede lid, van het Besluit zorgaanspraken AWBZ dat de aanspraak op zorg slechts bestaat voor zover de verzekerde, gelet op zijn behoefte en uit een oogpunt van doelmatige zorgverlening, redelijkerwijs daarop is aangewezen.
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2010-10581.html