Staatscourant van het Koninkrijk der Nederlanden

Datum publicatieOrganisatieJaargang en nummerRubriek
College Bescherming persoonsgegevensStaatscourant 2011, 12593Overig

Bekendmaking Ontwerpbesluit Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars

Het College bescherming persoonsgegevens (CBP) heeft een aanvraag ontvangen tot het afgeven van een verklaring in de zin van artikel 25, eerste lid, van de Wet bescherming persoonsgegevens (Wbp) met betrekking tot de ontwerp Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars met bijbehorend Protocol Materiele Controle van Zorgverzekeraars Nederland. Ter voldoening aan de Algemene wet bestuursrecht (Awb) volgen hieronder het ontwerpbesluit en een kennisgeving van het ter inzage leggen van de stukken.

Ontwerpbesluit

Het College bescherming persoonsgegevens,

Gelet op artikel 25 van de Wet bescherming persoonsgegevens (Stb. 2000, 302);

Gezien het schriftelijk verzoek van 29 december 2010 van Zorgverzekeraars Nederland tot het afgeven van een verklaring als bedoeld in artikel 25, eerste lid, van de Wet bescherming persoonsgegevens met betrekking tot de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars met bijbehorend Protocol Materiële Controle;

Overwegende dat Zorgverzekeraars Nederland voldoende representatief is voor de sector van zorgverzekeraars (de sector van verzekeraars die ziektekostenverzekeringen in de zin van de Zorgverzekeringswet, de Algemene Wet Bijzondere Ziektekosten en/of vrijwillige (aanvullende) ziektekostenverzekeringen aanbieden en uitvoeren)en dat de sector van zorgverzekeraars in de Gedragscode voldoende nauwkeurig is omschreven;

overwegende dat de Gedragscode:

op onderdelen een nadere uitwerking van, dan wel aanvulling op, de materiele bepalingen van de Wet bescherming persoonsgegevens vormt;

vanuit de constatering dat zorgverzekeraars in hun bedrijfsvoering, meer dan andere verzekeraars, persoonsgegevens betreffende iemands gezondheid verwerken, gedragsregels voor zorgverzekeraars formuleert om een zorgvuldige omgang met deze persoonsgegevens te waarborgen;

niet langer het stramien hanteert van aanvullende gedragsregels voor zorgverzekeraars bij een bestaande gedragscode voor financiële instellingen, maar een eigenstandig karakter heeft en een samenloopregeling bevat voor zorgverzekeraars die (tevens) lid zijn van het Verbond van Verzekeraars en op grond van dat lidmaatschap gehouden zijn tot naleving van de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen;

aangeeft voor welke doeleinden persoonsgegevens (waaronder bijzondere persoonsgegevens betreffende gezondheid) worden verwerkt door zorgverzekeraarsin het kader van een efficiënte en effectieve bedrijfsvoering mede gelet op de aan hen gestelde eisen in de Zvw, Awbz en Wmg;

een nadere uitwerking geeft voor verschillende verwerkingen, waaronder die in het kader van schadebehandeling, marketing, beoordelen en accepteren van verzekerden, informatieverstrekking aan groepen verzekerden, zorgbemiddeling, materiële controle en statistisch en/of wetenschappelijk onderzoek;

een afbakening bevat van de positie, taken en verantwoordelijkheden van de medisch adviseur en de onder diens verantwoordelijkheid plaatsvindende verwerking van persoonsgegevens betreffende iemands gezondheid;

bepaalt dat de zorgverzekeraar moet vastleggen over welke persoonsgegevens medewerkers in verband met hun functie mogen beschikken en dat die medewerkers gebonden moeten worden aan een geheimhoudingsplicht;

bepaalt dat de zorgverzekeraar moet waken tegen het onevenredig schade van de privacy van medeverzekerden bij de noodzakelijke informatieverstrekking aan de verzekeringnemer;

een regeling bevat die waarborgt dat persoonsgegevens betreffende iemands gezondheid verwerkt in het kader van de uitvoering van een bepaalde vorm van ziektekostenverzekering niet, behalve indien noodzakelijk voor een efficiënte afhandeling van het declaratieverkeer, verwerkt worden bij de uitvoering van een andere vorm van ziektekostenverzekering en waarborgt dat die persoonsgegevens niet worden verwerkt bij de aanbieding en uitvoering van andere verzekeringen door het concern waartoe de zorgverzekeraar behoort;

een regeling bevat voor de verwerking van persoonsgegevens van strafrechtelijke aard in het bijbehorende Protocol Materiële Controle een voor de praktijk nuttige toelichting bevat op de stapsgewijze opzet van materiele controle zoals voorgeschreven in de (ministeriële) Regeling zorgverzekering en zoals die in de ministeriële regelingen Awbz en Wmg voor de uitvoering van de Awbz en de aanvullende, vrijwillige ziektekostenverzekering van overeenkomstige toepassing is verklaard;

bepaalt dat een zorgverzekeraar vaststelt op welke wijze de diverse onderdelen van een zorgverzekeraar worden gecontroleerd op de correcte naleving van de Wet bescherming persoonsgegevens en de Gedragscode;

bepaalt dat Zorgverzekeraars Nederland is aangesloten bij de Stichting klachten en geschillen Zorgverzekeringen waar verzekerden kunnen vragen om bemiddeling of bindende advisering door een geschillencommissie en aangeeft dat geschillen voortvloeiend uit de individuele overeenkomst zorgverzekeraar-zorgaanbieder voor arbitrage kunnen worden voorgelegd aan de Commissie voor Rechtspraak;

Overwegende dat voornoemde geschillenregelingen voorzien in voldoende waarborgen met betrekking tot de onafhankelijkheid;

Is voornemens te verklaren:

dat de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars met bijbehorend Protocol Materiële Controle van Zorgverzekeraars Nederland, gelet op de bijzondere kenmerken van de sector, een juiste uitwerking vormt van de Wbp en andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens.

Den Haag, 5 juli 2011

Terinzage legging van de stukken

Het ontwerp van de Gedragscode met bijbehorend Protocol Materiele Controle en het schriftelijk verzoek aan het CBP om een verklaring af te geven liggen tot zes weken na deze publicatie, maandag tot en met vrijdag tussen 10.00 en 16.00 uur, ter inzage bij het CBP, Juliana van Stolberglaan 4–10 te Den Haag. U dient hiervoor een afspraak te maken. Belanghebbenden die opmerkingen wensen te maken over het ontwerpbesluit worden verzocht dit schriftelijk kenbaar te maken bij het CBP. Opmerkingen dienen uiterlijk zes weken na publicatie van deze mededeling op onderstaand adres te zijn ontvangen onder vermelding van de bijbehorende ontwerpgedragscode.

College bescherming persoonsgegevens, Postbus 93374, 2509 AJ Den Haag. Telefoonnummer: 070-8888500.

Het ontwerpbesluit en de Gedragscode zijn ook gepubliceerd op de website van het CBP: www.cbpweb.nl