Samenwerkingsprotocol tussen de Autoriteit Persoonsgegevens en de Nederlandse Zorgautoriteit, gericht op de wijze van behandeling van aangelegenheden die elkaars toezicht op zorgaanbieders en ziektekostenverzekeraars raken en de uitwisseling van informatie ten behoeve daarvan

Ondergetekenden,

Overwegende:

  • dat de Autoriteit Persoonsgegevens (AP) toezicht houdt op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens;

  • dat de Nederlandse Zorgautoriteit (NZa) toezicht houdt op het gedrag van zorgaanbieders en ziektekostenverzekeraars;

  • dat zowel de NZa als de AP toezicht houden op de verwerking van persoonsgegevens door ziektekostenverzekeraars;

  • dat met ingang van 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) is ingetrokken en dat op grond van artikel 6, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) de Autoriteit Persoonsgegevens is aangewezen als de toezichthoudende autoriteit bedoeld in artikel 51, eerste lid, van de Algemene verordening gegevensbescherming (AVG). Partijen wensen dit samenwerkingsprotocol in overeenstemming te brengen met deze gewijzigde wetgeving;

  • dat partijen streven naar effectiviteit en efficiëntie van toezicht, waaronder het voorkomen van onnodig dubbel toezicht en het minimaliseren van de toezichtlast voor de ondertoezichtgestelden;

  • dat partijen het belang van de burger centraal stellen;

  • dat partijen elkaar in dat kader relevante gegevens zullen verstrekken;

  • dat partijen het wenselijk achten onderlinge afspraken als bedoeld in artikel 17 van de Wet marktordening gezondheidszorg (Wmg) en artikel 19 van de UAVG. te maken, ter verwerkelijking van de hiervoor genoemde doelstelling en deze afspraken vast te leggen in een samenwerkingsprotocol;

  • dat het protocol geen betrekking heeft op het toezicht van de AP op de NZa.

zijn het volgende overeengekomen:

Artikel 1: Definities

In dit protocol wordt verstaan onder:

a. toezichthouder:

NZa dan wel AP;

b. Wmg:

Wet marktordening gezondheidszorg;

c. AVG:

Algemene Verordening Gegevensbescherming (EU 2016/679);

d. ziektekostenverzekeraar:

een zorgverzekeraar, een Wlz-uitvoerder of een particuliere ziektekostenverzekeraar, zijnde een financiële onderneming die ingevolge de Wet op het financieel toezicht in Nederland het bedrijf van verzekeraar mag uitvoeren.

Artikel 2: Uitleg van begrippen en normen

  • 1. Begrippen en normen over de verwerking van persoonsgegevens worden door de toezichthouders op consistente wijze uitgelegd.

  • 2. Bij verschil van inzicht over de juiste uitleg van de begrippen en normen zoals bedoeld in het eerste lid, hanteert de NZa de uitleg die de AP daaraan geeft.

Artikel 3: Informatie uitwisselen

  • 1. De toezichthouders verstrekken elkaar uit eigen beweging dan wel desgevraagd de gegevens en inlichtingen die van belang kunnen zijn voor de uitoefening van hun wettelijke taken.

  • 2. Signalen, waaronder klachten en verzoeken, die alleen betrekking hebben op het toezichtterrein van één toezichthouder, worden aan de betreffende toezichthouder verstrekt, met mededeling daarvan aan de verzender (doorzendplicht artikel 2:3 van de Awb).

  • 3. Signalen, waaronder klachten en verzoeken, die betrekking hebben op het toezichtterrein van beide toezichthouders, waardoor sprake kan zijn van samenloop, worden uitgewisseld. Daarbij wordt afgestemd of het signaal in behandeling wordt genomen en door wie.

    • a. de uitwisseling bedoeld in het derde lid gebeurt zoveel mogelijk zonder dat de gegevens herleidbaar zijn tot de persoon van de signaalgever, klager of verzoeker.

    • b. indien uitwisseling zonder dat de gegevens herleidbaar zijn tot de persoon van de signaalgever, klager of verzoeker niet mogelijk of wenselijk is, wordt van de uitwisseling mededeling gedaan aan de verzender.

  • 4. Indien één van beide toezichthouders bij de uitoefening van zijn taken een vermoedelijke overtreding constateert van normen, op de naleving waarvan slechts de andere toezichthouder toeziet, neemt hij hierover zo spoedig mogelijk contact op met de andere toezichthouder, onder verstrekking van de informatie waaruit de vermoedelijke overtreding blijkt.

  • 5. De ondertoezichtgestelde organisaties of personen worden op de hoogte gesteld van de uitwisseling van informatie zoals bedoeld in het vierde lid, tenzij een onderzoek hierdoor zou kunnen worden geschaad.

  • 6. Bij het uitwisselen van informatie nemen toezichthouders de artikelen 65, 67 en 70 van de Wmg en de AVG in acht.

Artikel 4: Zelfstandig onderzoek door één van de toezichthouders bij samenloop

  • 1. De toezichthouders informeren elkaar zo spoedig mogelijk over voorgenomen onderzoeken waarbij sprake is van samenloop, zodat zo nodig onderlinge afstemming kan plaatsvinden.

  • 2. Indien een van beide toezichthouders bij de uitoefening van zijn taken constateert dat er sprake is van samenloop, stemmen de toezichthouders de taakverdeling af.

  • 3. De toezichthouders kunnen elkaar op basis van ieders deskundigheid assisteren bij het voorbereiden en/of uitvoeren van een onderzoek.

  • 4. De toezichthouders informeren elkaar zo spoedig mogelijk na afronding over de resultaten, vóór eventuele publicatie van een onderzoek en/of de handhavingsmaatregelen.

Artikel 5: Gezamenlijk onderzoek

  • 1. Bij een gezamenlijk onderzoek wordt in beginsel een gezamenlijk rapport uitgebracht.

  • 2. Handhavingsmaatregelen worden door iedere toezichthouder zelfstandig binnen zijn verantwoordelijkheidsgebied getroffen.

Artikel 6: Afstemmen informatie-uitvraag bij derden

De toezichthouders stemmen hun informatiebehoefte af om de hoeveelheid verzoeken om informatie bij ondertoezichtgestelden waar mogelijk te beperken. Zo vragen de toezichthouders geen informatie op bij derden indien bij de toezichthouders bekend is dat de benodigde informatie al bij een van beide partijen aanwezig is en kan worden uitgewisseld.

Artikel 7: Bestuurlijk overleg en coördinatie onderlinge contacten

  • 1. Jaarlijks, of zoveel vaker als nodig is, vindt bestuurlijk overleg plaats tussen de toezichthouders.

  • 2. De toezichthouders wijzen ieder een contactpersoon aan voor de coördinatie van de contacten tussen beide organisaties.

  • 3. De toezichthouders kunnen nadere werkafspraken maken ter uitvoering van dit protocol.

Artikel 8: Duur, evaluatie, wijziging en opzegging samenwerkingsprotocol

  • 1. Dit samenwerkingsprotocol wordt voor onbepaalde duur aangegaan.

  • 2. De toezichthouders evalueren jaarlijks de uitvoering en werking van dit samenwerkingsprotocol.

  • 3. Dit samenwerkingsprotocol kan in onderling overleg worden aangepast of aangevuld.

  • 4. Elke toezichthouder kan dit samenwerkingsprotocol te allen tijde, na overleg met de andere toezichthouder, en met inachtneming van een opzegtermijn van 6 maanden, opzeggen.

Artikel 9: Publicatie en inwerkingtreding

Dit samenwerkingsprotocol treedt in de plaats van het samenwerkingsprotocol tussen de Nederlandse Zorgautoriteit en de Autoriteit Persoonsgegevens van 8 december 2016.

Dit samenwerkingsprotocol wordt zo spoedig mogelijk na ondertekening geplaatst in de Staatscourant en op de websites van beide toezichthouders. Het treedt in werking met ingang van de dag na publicatie in de Staatscourant.

Aldus overeengekomen en in tweevoud ondertekend te Den Haag op 18 juni 2020

Autoriteit Persoonsgegevens, A. Wolfsen, Voorzitter

Nederlandse Zorgautoriteit, M.J. Kaljouw, Voorzitter Raad van Bestuur

Naar boven