Regeling van de Minister van Volksgezondheid, Welzijn en Sport van 25 oktober 2024, kenmerk 3988554-1073643-PZo, houdende nadere regels ter uitvoering van de Wet bevorderen samenwerking en rechtmatige zorg en het besluit bevorderen samenwerking en rechtmatige zorg met betrekking tot de uitvoering van artikel 2.1 van de wet en artikel 2.3 van het besluit (Uitvoeringsregeling Waarschuwingsregister zorgfraude)

KetenID WGK026409

De Minister van Volksgezondheid, Welzijn en Sport,

Gelet op artikel 2.1 van de Wet bevorderen samenwerking en rechtmatige zorg en artikel 2.3, eerste lid, van het Besluit bevorderen samenwerking en rechtmatige zorg;

Besluit:

Artikel 1

Het protocol, bedoeld in artikel 2.1, tweede lid, van de wet wordt vastgesteld als opgenomen in de bijlage bij deze regeling.

Artikel 2

De beveiliging van de gegevens, die de colleges en de ziektekostenverzekeraars op grond van artikel 2.1 van de wet verwerken, voldoet aan de laatst gepubliceerde versie van de Baseline Informatiebeveiliging overheid, standaard basisveiligheidsniveau 2 of daaraan gelijkwaardige normen.

Artikel 3

Deze regeling treedt in werking op het tijdstip waarop de wet in werking treedt.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

De Minister van Volksgezondheid, Welzijn en Sport, M. Agema

BIJLAGE BIJ ARTIKEL 1 VAN DE UITVOERINGSREGELING WAARSCHUWINGSREGISTER ZORGFRAUDE

Protocol Waarschuwingsregister zorgfraude

1. Definities

Deelnemer:

de ziektekostenverzekeraar of het college, bedoeld in artikel 2.1 van de wet.

Treffer:

een match in het Waarschuwingsregister tussen zoekgegevens omtrent een natuurlijke persoon of een rechtspersoon met de gegevens omtrent een natuurlijk persoon of een rechtspersoon die is geregistreerd in het Waarschuwingsregister.

Raadplegen:

het door middel van een geautomatiseerd systeem of handmatig invoeren van gegevens in het Waarschuwingsregister om na te gaan of dit leidt tot een treffer.

Toezichthouder:

de toezichthouder die is aangewezen op grond van artikel 2.2, eerste of tweede lid van de wet.

Verstrekker:

de deelnemer die gegevens van een betrokkene registreert of heeft geregistreerd in het Waarschuwingsregister.

Waarschuwingsregister:

het elektronische systeem dat wordt gebruikt om (persoons)gegevens van een betrokkene op grond van artikel 2.1 van de wet te registreren, te raadplegen, te wijzigen en te verwijderen in het kader van het onderzoek naar het bestaan van een gerechtvaardigde overtuiging van fraude in de zorg jegens deze betrokkene.

2. Algemeen

  • 2.1 Ten aanzien van zowel persoonsgegevens als niet-persoonsgegevens gelden vergelijkbare waarborgen en maatregelen ten behoeve van een zorgvuldige en rechtmatige verwerking van gegevens. Er wordt alleen een onderscheid gemaakt tussen ‘gegevens’ en ‘persoonsgegevens’ indien dit noodzakelijk is.

  • 2.2 De deelnemers verwerken persoonsgegevens in overeenstemming met de beginselen van artikel 5 van de Algemene verordening gegevensbescherming. Dit betekent onder meer dat deelnemers met inachtneming van dit protocol en andere voor hen geldende regelgeving en kaders:

    • persoonsgegevens in het kader van fraude in de zorg slechts verwerken voor zover dat noodzakelijk is voor de bestrijding van fraude in de zorg, de deelnemers gebruiken de verkregen persoonsgegevens over fraude in de zorg niet voor andere doeleinden;

    • niet meer gegevens verwerken dan noodzakelijk is om fraude in de zorg te bestrijden;

    • zorgdragen voor de juistheid, en indien nodig actualisatie, van de verwerkte gegevens;

    • gegevens verwijderen als deze niet langer nodig zijn om fraude in de zorg te bestrijden;

    • zorg dragen voor een adequate beveiliging van gegevens in alle bedrijfsprocessen die gerelateerd zijn aan registratie of verwijdering van een betrokkene in het Waarschuwingsregister conform de daarvoor geldende bepalingen.

  • 2.3 De deelnemers verwerken persoonsgegevens die zij ontvangen als er sprake is van een treffer op grond van hun wettelijke taken of op grond van de taken van algemeen belang die zij uitoefenen (artikel 6, eerste lid, aanhef en onder c en e, van de Algemene verordening gegevensbescherming). Voor zorgverzekeraars is de grondslag voor verwerking van persoonsgegevens, waaronder gegevens over de gezondheid, neergelegd artikel 87 van de Zorgverzekeringswet, gelezen in samenhang met de artikelen 7.1 en volgende van de Regeling zorgverzekering, artikel 9.1.2 van de Wet langdurige zorg, gelezen in samenhang met de artikelen 7.1 en volgende van de Regeling langdurige zorg en 30, derde lid, aanhef en onder b, van de Uitvoeringswet algemene verordening gegevensbescherming. Voor gemeenten is de grondslag voor verwerking van de ontvangen gegevens artikel 7.4.0 van de Jeugdwet, gelezen in samenhang met de artikelen 6b.1 en volgende van de Regeling Jeugdwet en artikel 5.1.1 en volgende en artikel 5.1.5 van de Wet maatschappelijke ondersteuning.

  • 2.4 De deelnemers zijn gezamenlijk verwerkingsverantwoordelijke waar het gaat om het inrichten en het beheer van het Waarschuwingsregister. Voor wat betreft de verwerking van persoonsgegevens binnen de eigen organisatie van de deelnemer, is iedere deelnemer zelf verwerkingsverantwoordelijke.

  • 2.5 De deelnemers dragen zorg voor de toegankelijkheid van het Waarschuwingsregister voor iedere deelnemer. Zij dragen gezamenlijk de kosten van het Waarschuwingsregister en maken daar onderling afspraken over. De deelnemers kunnen gezamenlijk een derde aanwijzen die namens hen gegevens verwerkt, verwijdert en het Waarschuwingsregister beheert. De deelnemers blijven in dat geval verantwoordelijk voor het borgen van de toegankelijkheid van het Waarschuwingsregister alsmede verwerkingsverantwoordelijke. De aangewezen derde is verwerker in de zin van de Algemene verordening gegevensbescherming. Er wordt niet meer dan één derde partij aangewezen als verwerker.

  • 2.6 Iedere deelnemer heeft overeenkomstig artikel 30 van de Algemene verordening gegevensbescherming de verwerking van persoonsgegevens in verband met het Waarschuwingsregister vastgelegd in het eigen register van verwerkingsactiviteiten.

  • 2.7 Deelnemers hebben ieder een functionaris gegevensbescherming (FG), die ten aanzien van fraude in de zorg in ieder geval belast is met het toezien op naleving van dit protocol binnen de eigen organisatie en de naleving van de in dit protocol voorgeschreven schriftelijke instructies.

  • 2.8 Deelnemers leggen op samenhangende en toegankelijke wijze schriftelijk vast op grond van welke functies medewerkers binnen de eigen organisatie gerechtigd zijn om te beslissen over het verstrekken van gegevens aan het Waarschuwingsregister dan wel om te beslissen over het verlengen van de termijn van registratie van een betrokkene en welke medewerker gegevens in het Waarschuwingsregister kunnen registreren, controleren, aanpassen of verwijderen, dan wel op grond van welke functie hun medewerkers gerechtigd zijn tot het ontvangen van informatie over een treffer of het handmatig raadplegen van het Waarschuwingsregister. Zij dragen er zorg voor dat alleen medewerkers met genoemde functie deze taken vervullen en dat de beschrijving actueel blijft.

  • 2.9 De deelnemers geven medewerkers die uit hoofde van hun functie gerechtigd zijn om taken ten aanzien van het Waarschuwingsregister uit te voeren, duidelijke uitleg over de werking van het Waarschuwingsregister. Zij worden er nadrukkelijk op gewezen dat het gebruik van het Waarschuwingsregister uitsluitend is toegestaan ten behoeve van het doel dat het Waarschuwingsregister dient en dat zij zich moeten houden aan de regels van het protocol en de binnen de organisatie van de deelnemer geldende schriftelijke en andere instructies ten aanzien daarvan.

  • 2.10 Iedere deelnemer verplicht de eigen medewerkers die belast zijn met verwerken van gegevens ten behoeve van het Waarschuwingsregister tot geheimhouding ten aanzien van deze gegevens. Deze gegevens worden intern alleen gedeeld met medewerkers die uit hoofde van hun functie gerechtigd zijn om taken ten aanzien van het Waarschuwingsregister uit te voeren en enkel voor zover dit noodzakelijk is ten behoeve van de bestrijding van fraude in de zorg. Zij voorzien in effectieve handhaving van de geheimhoudingsverplichting.

  • 2.11 De deelnemers publiceren elk op hun eigen website op gemiddeld taalniveau (B1) dat zij gegevens verwerken in het kader van de bestrijding van fraude in de zorg, in algemene zin hoe zij dat doen en dat zij op grond van de wet deze gegevens kunnen opnemen dan wel raadplegen in het Waarschuwingsregister. Indien raadpleging van het Waarschuwingsregister op geautomatiseerde wijze plaatsvindt, vermelden deelnemers dit op de website. Zij leggen daarbij uit wanneer raadpleging geautomatiseerd plaatsvindt. Zij verwijzen naar deze informatie als zij met personen of ondernemingen een overeenkomst aangaan, dan wel verstrekken ze deze informatie schriftelijk. Desgevraagd sturen deelnemers deze informatie schriftelijk toe aan een natuurlijk persoon of rechtspersoon die daarom verzoekt. Voor zover publicatie van deze werkwijze het opsporen, voorkomen of vervolgen van fraude in de zorg of het uitoefenen van rechten van betrokkene of de rechten en vrijheden van andere doorkruist, wordt deze specifieke informatie niet gepubliceerd.

  • 2.12 Het verstrekken van gegevens uit Waarschuwingsregister aan zowel deelnemers als aan (mogelijke) betrokkenen is kosteloos.

  • 2.13 Iedere deelnemer neemt passende technische en organisatorische maatregelen om een op risico afgestemd beveiligingsniveau te waarborgen, in overeenstemming met artikel 2 van de Uitvoeringsregeling Waarschuwingsregister zorgfraude. Bij het nemen van deze maatregelen, wordt rekening gehouden met het feit dat er sprake is van een verwerking van bijzondere persoonsgegevens. Bij de vaststelling van de maatregelen wordt tevens rekening gehouden met de stand van de techniek, de uitvoeringskosten, alsook de aard, omvang, de context en de verwerkingsdoeleinde en de waarschijnlijkheid en ernst van de uiteenlopende risico’s voor de rechten en vrijheden van de betrokkene. De maatregelen worden eens per twee jaar geëvalueerd en indien nodig aangepast.

3. Gerechtvaardigde overtuiging van fraude in de zorg

3.1. Het vaststellen van een gerechtvaardigde overtuiging van fraude in de zorg

  • 3.1 Er is voldoende bewijs van betrokkenheid bij fraude voorhanden indien aangetoond wordt dat betrokkene het oogmerk had om wettelijke bepalingen te overtreden met het oog op eigen of andermans gewin of indien voldoende bewijs voorhanden is dat een betrokkene met het oog op eigen of andermans gewin bewust de aanmerkelijke kans heeft aanvaard dat wettelijke bepalingen worden overtreden.

  • 3.2 Voorafgaand aan de aanvang van het onderzoek naar het bestaan van fraude in de zorg stelt de deelnemer met inachtneming van de voor de deelnemer van toepassing zijnde regels de vraagstelling, het doel van het onderzoek en de onderzoeksaanpak vast. Hierbij overweegt de deelnemer hoe in het onderzoek de eisen van proportionaliteit en subsidiariteit worden toegepast.

  • 3.3 Indien de deelnemer tot de conclusie komt dat er ten aanzien van een betrokkene een gerechtvaardigde overtuiging van fraude in de zorg bestaat, legt hij vast hoe hij tot deze conclusie is gekomen in een onderzoeksrapportage.

  • 3.4 In deze onderzoeksrapportage onderbouwt en concretiseert de deelnemer de volgende elementen:

    • a. De aanleiding voor het onderzoek, het doel en het verloop ervan;

    • b. Welke wettelijke regels en andere kaders voor dit onderzoek gelden en hoe de eisen van proportionaliteit en subsidiariteit zijn toegepast gedurende het onderzoek;

    • c. De bewaartermijn die van toepassing is op de onderzoeksrapportage en de in dat kader van het onderzoek verkregen gegevens;

    • d. Van welke bevoegdheden de deelnemer gebruik heeft gemaakt bij het doen van het onderzoek;

    • e. Wat de gedragingen van een betrokkene zijn die tot de conclusie leiden dat er sprake is van fraude in de zorg;

    • f. Welk bewijs aantoont met welk oogmerk betrokkene deze gedragingen heeft verricht;

    • g. Hoe het bewijs is verkregen;

    • h. Hoe de gedragingen van betrokkene leiden tot de gerechtvaardigde overtuiging van fraude in de zorg;

    • i. Hoe het beginsel van hoor en wederhoor is toegepast en in dat kader of een betrokkene is gehoord en wat hij daarbij heeft verklaard en indien een betrokkene niet is gehoord, wat daarvan de reden was en wanneer betrokkene de gelegenheid krijgt voor een reactie;

    • j. Of er anderen zijn gehoord en zo ja, wat deze anderen hebben verklaard;

    • k. Of er ten aanzien van een betrokkene verzachtende omstandigheden zijn gebleken en zo ja, hoe deze worden meegewogen. Indien er geen verzachtende omstandigheden zijn gebleken, of hier onderzoek naar is gedaan;

    • l. Of er ten aanzien van een betrokkene ernstig verzwarende omstandigheden zijn gebleken; en zo ja, waaruit deze bestaan en op basis waarvan dit is gebleken;

    • m. Een weergave van de algemene uitkomst van het fraudeonderzoek.

  • 3.5 Uitsluitend rechtmatig verkregen gegevens worden verwerkt ten behoeve van het onderzoek.

  • 3.6 Verklaringen van derden worden slechts als onderbouwing gebruikt indien deze betrouwbaar zijn en betrekking hebben op feiten die aan die derden bekend zijn dan wel indien verifieerbaar is waarop deze berusten.

  • 3.7 Een gerechtvaardigde overtuiging van fraude in de zorg kan niet alleen steunen op een verklaring van derden of anonieme bronnen.

  • 3.8 De deelnemers houden toezicht op de juistheid, volledigheid en de actualiteit van de gegevens in de onderzoeksrapportage. Zij dragen zorg voor een zorgvuldige invoervalidatie van deze gegevens in de eigen systemen. Ze werken de gegevens bij indien blijkt dat actualisatie, verbetering of aanvulling nodig is.

3.2. Toetsing opname in Waarschuwingsregister

  • 3.9 De deelnemer beoordeelt op basis van de onderzoeksrapportage of het verstrekken van de in artikel 2.1 van de wet genoemde gegevens over een betrokkene aan het Waarschuwingsregister noodzakelijk is voor de bestrijding van fraude in de zorg.

  • 3.10 Bij de beoordeling als bedoeld in artikel 3.9 betrekt de deelnemer de volgende elementen:

    • Of de fraude zich heeft voorgedaan op een terrein van zorg dat relevant kan zijn voor andere deelnemers of dat anderszins duidelijk is geworden dat betrokkene ook zorg in het domein van andere deelnemers verleent;

    • Of verstrekking van gegevens over betrokkene proportioneel is, gelet hetgeen verder over betrokkene bekend is en in dat kader of er (ook) sprake is van verzachtende omstandigheden ten aanzien van betrokkene die verstrekking van zijn gegevens aan het Waarschuwingsregister onevenredig zou maken, dan wel of er sprake is van zeer bijzondere omstandigheden op grond waarvan registratie van een betrokkene geen redelijk doel dient;

    • Of er sprake is van ernstig verzwarende omstandigheden die maken dat de duur van registratie van betrokkene in het Waarschuwingsregister langer dan vier jaar zou moeten zijn; en zo ja of een langere registratie evenredig is in het geval van betrokkene.

3.3. Het voorleggen aan de toezichthouder

  • 3.11 Indien een deelnemer concludeert dat registratie van een betrokkene in het Waarschuwingsregister noodzakelijk is voor de bestrijding van fraude in de zorg, stuurt hij de toezichthouder geanonimiseerd de onderzoeksrapportage en schriftelijke verantwoording over de beoordeling, bedoeld in 3.10.

  • 3.12 De toezichthouder beoordeelt aan de hand van de onderzoeksrapportage binnen vier weken of de deelnemer terecht tot de conclusie is gekomen dat er sprake is van een gerechtvaardigde overtuiging van fraude in de zorg. De toezichthouder deelt zijn conclusie zo spoedig mogelijk met de deelnemer.

  • 3.13 Indien dit noodzakelijk is voor de beoordeling, kan de toezichthouder de deelnemer om aanvullende gegevens vragen. De deelnemer anonimiseert de aanvullende gegevens bij verstrekking aan de toezichthouder.

  • 3.14 De termijn van vier weken kan worden verlengd. De toezichthouder deelt in dat geval aan de deelnemer mee wat de reden is van de verlenging van de termijn en binnen welke termijn de beoordeling door de toezichthouder zal zijn afgerond.

  • 3.15 Indien de toezichthouder de conclusie van een deelnemer over het bestaan van een gerechtvaardigde overtuiging van fraude in de zorg niet deelt, motiveert de toezichthouder dit.

  • 3.16 De deelnemer registreert een betrokkene niet in het Waarschuwingsregister indien de toezichthouder de overtuiging van de deelnemer over de fraude in de zorg van betrokkene niet deelt. De deelnemers dragen er zorg voor dat zij voor een dergelijk geval een controleerbaar proces hebben ingericht.

4. Registratie in het Waarschuwingsregister

  • 4.1 Nadat de toezichthouder de mededeling aan de deelnemer heeft gedaan dat de deelnemer terecht de gerechtvaardigde overtuiging van fraude in de zorg heeft ten aanzien van een betrokkene, registreert de deelnemer de in artikel 2.1 van het besluit genoemde gegevens van de betrokkene aan het Waarschuwingsregister. Andere gegevens worden niet verstrekt.

  • 4.2 Registratie van de gegevens aan het Waarschuwingsregister geschiedt elektronisch.

  • 4.3 De verstrekker draagt zorg voor een zorgvuldige invoervalidatie. Daartoe behoort dat de verstrekker voorziet in een procedure voor controle op de ingevoerde gegevens door een andere medewerker.

5. Raadplegen van het Waarschuwingsregister

  • 5.1 Deelnemers waarborgen dat raadplegen van het Waarschuwingsregister niet mogelijk is zonder invoer van specifieke persoonsgegevens of gegevens omtrent een specifieke zorgaanbieder. Het raadplegen van het Waarschuwingsregister resulteert in een terugkoppeling dat de ingevoerde gegevens omtrent een betrokkene al dan niet overeenstemmen met gegevens omtrent een betrokkene die in het Waarschuwingsregister voorkomt (treffer – geen treffer).

  • 5.2 Indien sprake is van raadplegen door een geautomatiseerd proces en dit leidt tot een treffer, controleert een daartoe uit hoofde van zijn functie aangewezen medewerker van de deelnemer na ontvangst van de treffer de juistheid van de ingevoerde gegevens.

  • 5.3 Indien sprake is van een treffer, kan een deelnemer ten aanzien van een betrokkene gebruik maken van de hem (reeds op grond van bestaande wettelijke bepalingen) ter beschikking staande bevoegdheden voor verder onderzoek. Deelnemers publiceren deze bevoegdheden op de eigen website.

  • 5.4 De deelnemers houden ieder, gelet op een zorgvuldige en rechtmatige gegevensverwerking, een lijst bij waaruit blijkt wanneer en door welke persoon het Waarschuwingsregister is geraadpleegd en of dit geleid heeft tot een treffer. De deelnemers dragen zorg voor adequate controle op de juistheid van deze lijst. Per registratie is voor alle deelnemers zichtbaar welke deelnemer de gegevens van een betrokkene het Waarschuwingsregister heeft geraadpleegd. Voor andere deelnemers is niet zichtbaar welke medewerkers van de andere deelnemer het Waarschuwingsregister heeft geraadpleegd. De bewaartermijn van de lijst is tien jaar, tenzij uit wettelijke bepalingen iets anders voortvloeit.

6. Verwijderen van gegevens

  • 6.1 Indien een verstrekker over een betrokkene, die geregistreerd staat in het Waarschuwingsregister nieuwe informatie ontvangt, waardoor niet langer sprake is van een gerechtvaardigde overtuiging van fraude in de zorg of anderszins de gerechtvaardigde overtuiging van fraude in de zorg ten aanzien van een betrokkene niet meer aanwezig is, verwijdert de verstrekker een betrokkene onverwijld uit het Waarschuwingsregister.

  • 6.2 Indien een betrokkene ten aanzien van de registratie een geslaagd beroep doet op het recht op verwijdering als bedoeld in artikel 17 van de Algemene verordening gegevensbescherming, verwijdert de verstrekker deze gegevens onverwijld.

  • 6.3 De verstrekker stelt iedere deelnemer die het Waarschuwingsregister ten aanzien van de betreffende betrokkene heeft geraadpleegd, onverwijld in kennis van elke rectificatie of verwijdering van gegevens. De verstrekker verstrekt de betrokkene informatie over de deelnemers die ten aanzien van hem het Waarschuwingsregister hebben geraadpleegd indien de betrokkene hierom verzoekt. Deelnemers kunnen deze taak overdragen aan de derde met wie zij op grond van artikel 2.4 van dit protocol een overeenkomst hebben gesloten.

7. Rechtsbescherming betrokkenen

  • 7.1 Bij de mededeling als bedoeld in artikel 2.4, eerste lid, van het besluit verstrekt de verstrekker aan een betrokkene overeenkomstig artikel 14 Algemene verordening gegevensbescherming de volgende gegevens:

    • a. De identiteit en de contactgegevens van de verstrekker;

    • b. De verwerkingsdoeleinden waarvoor de gegevens zijn bestemd, en de rechtsgrond voor de verwerking;

    • c. De betrokken categorieën van persoonsgegevens;

    • d. Welke categorieën van ontvangers bij het bestaan van een treffer de gegevens zullen ontvangen;

    • e. De periode gedurende welke de gegevens zullen worden opgeslagen in het Waarschuwingsregister;

    • f. Informatie over het recht van betrokkene om de verstrekker te verzoeken inzage te krijgen in de verwerkte persoonsgegevens en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking van bezwaar te maken bij de verstrekker;

    • g. Dat betrokkene de mogelijkheid heeft een klacht in te dienen omtrent de verwerking van zijn persoonsgegevens en hoe hij dat kan doen;

    • h. Dat de betrokkene het recht heeft klacht in te dienen bij de Autoriteit Persoonsgegevens ten aanzien van de verwerking van persoonsgegevens als zijn klacht, zoals bedoeld onder onderdeel g niet naar tevredenheid is afgehandeld;

    • i. De rechtsmiddelen die betrokkene kan aanwenden.

  • 7.2 Eenieder heeft het recht om jegens de verstrekker een verzoek om inzage te doen overeenkomstig artikel 15 van de Algemene verordening gegevensbescherming. Dit verzoek wordt geacht te zien op gegevens hem betreffende en de volgende informatie:

    • a. De verwerkingsdoelen.

    • b. De betrokken categorieën van persoonsgegevens.

    • c. De ontvangers of categorieën van ontvangers aan wie gegevens over hem zijn verstrekt.

    • d. De periode gedurende welke de gegevens ten aanzien van hem zijn opgeslagen.

    • e. De beschikbare informatie over de bron van de gegevens die hem betreffen, tenzij deze informatie achterwege gelaten moet laten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de bescherming van de rechten en vrijheden van anderen.

  • 7.3 Een betrokkene heeft recht op een kosteloze kopie van de gegevens die ten aanzien van hem worden verwerkt. Deze gegevens worden in elektronische vorm verstrekt, tenzij een betrokkene om een andere wijze van verstrekking verzoekt en een dergelijk verzoek geen onevenredige last met zich meebrengt voor de deelnemer.

  • 7.4 Een betrokkene heeft het recht de verstrekker te verzoeken dat de persoonsgegevens worden gerectificeerd of gewist overeenkomstig artikel 16 of 17 van de Algemene verordening gegevensbescherming. De verstrekker gaat alleen over tot rectificatie of verwijdering van persoonsgegevens van een betrokkene indien blijkt dat er sprake is van onjuiste gegevens dan wel indien blijkt dat niet langer ten aanzien van een betrokkene een gerechtvaardigde overtuiging van fraude in de zorg bestaat.

  • 7.5 Een betrokkene heeft het recht jegens een verstrekker bezwaar te maken over de verwerking van persoonsgegevens die hem betreffen. De verstrekker staakt de verwerking niet als hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert, die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband met houden met de instelling, uitoefening of onderbouwing van een rechtsvordering. Indien niet of niet langer sprake is van een gerechtvaardigde overtuiging dat betrokkene fraude in de zorg heeft gepleegd, ontvalt de dwingende reden om gegevens van betrokkene te verwerken.

  • 7.6 De rechten van betrokkenen, genoemd in de artikelen 7.1 tot en met 7.5 kunnen worden beperkt indien en zolang dit noodzakelijk is ter waarborging van de openbare veiligheid, de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen of de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

  • 7.7 De deelnemers hebben een schriftelijke procedure, die voorziet in een tijdige en effectieve afdoening van een klacht.

  • 7.8 De verzoeken om uitsluitsel, om een kopie, om rectificatie of beperking van de verwerking van persoonsgegevens en het maken van bezwaar worden schriftelijk gedaan. De deelnemers geven pas gehoor aan dergelijke verzoeken of aan het bezwaar als de natuurlijke persoon of rechtspersoon (dan wel diens vertegenwoordiger) die een dergelijk verzoek indient of die bezwaar maakt zich legitimeert met een geldig identiteitsbewijs.

  • 7.9 De verstrekker reageert onverwijld, maar uiterlijk binnen een maand schriftelijk op een verzoek om uitsluitsel, met de mededeling of ten aanzien van de verzoeker gegevens zijn verwerkt en indien dit het geval is, welke gegevens dit betreft. Deze termijn kan met ten hoogste twee maanden worden verlengd. De verzoeker wordt van deze verlenging uiterlijk binnen een maand na ontvangst van het verzoek op de hoogte gesteld.

  • 7.10 De verstrekker reageert onverwijld maar uiterlijk binnen een maand op verzoeken om een kopie, om rectificatie of beperking van de verwerking van persoonsgegevens. Deze termijn kan met ten hoogste twee maanden worden verlengd. De verzoeker wordt van deze verlenging uiterlijk binnen een maand na ontvangst van het verzoek op de hoogte gesteld.

  • 7.11 Een betrokkene heeft na gebruikmaking van een klachtenregeling van een betrokken deelnemer het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens. Een deelnemer wijst een betrokkene op dit recht op zijn website en bij de mededeling omtrent de registratie in het Waarschuwingsregister.

  • 7.12 De deelnemers dragen er zorg voor dat op hun website duidelijke en begrijpelijke informatie staat over de rechten van een betrokkene of een natuurlijke persoon of rechtspersoon die vermoedt dat van hem gegevens zijn opgenomen in het Waarschuwingsregister. Daarbij zijn eveneens de contactgegevens opgenomen van de afdeling van de deelnemer die belast is met de afhandeling van vragen, klachten of het effectueren van rechten van betrokkenen of anderen.

TOELICHTING UITVOERINGSREGELING WAARSCHUWINGSREGISTER ZORGFRAUDE

Inleiding – context van deze regeling

Deze regeling is één van de twee ministeriële regelingen ter uitvoering van de Wet bevorderen samenwerking en rechtmatige zorg (hierna: de wet) en het Besluit bevorderen samenwerking en rechtmatige zorg (hierna: het besluit).

Met de wet is ingezet op een betere bestrijding van fraude in de zorg, door de mogelijkheden voor gegevensuitwisseling en daarmee de samenwerking tussen in de wet genoemde instanties in dat kader te verbeteren. De wet verandert niets aan de reeds bestaande grondslagen voor uitwisselen van gegevens, maar vult deze aan. De wet voorziet in wettelijke grondslagen voor het verstrekken van persoonsgegevens, waaronder bijzondere persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Het uitgangspunt daarbij is de verplichting tot het verstrekken van de in het besluit aangewezen (persoons)gegevens, indien dat noodzakelijk is voor de bestrijding van fraude in de zorg. Van een dergelijke noodzaak is sprake indien de bestrijding van (de betreffende) fraude in de zorg zonder de verstrekking niet dan wel onvoldoende kan plaatsvinden. De kaders van privacyregelgeving, waaronder de Algemene verordening gegevensbescherming, gelden daarbij onverminderd. De verwerking van gegevens moet rechtmatig zijn en dient plaats te vinden met oog voor de gevoeligheid van de gegevens en met zorg voor de privacy van betrokkenen. Daartoe zijn hoge eisen en voorwaarden gesteld aan de gegevensverwerking en is voorzien in de noodzakelijke waarborgen. Gegevens in het zorgdomein gaan vaak over de gezondheid van mensen. Het zijn gevoelige persoonsgegevens die extra bescherming vereisen. Het medisch beroepsgeheim wordt met de wet niet doorbroken.

Op grond van de eerste paragraaf van hoofdstuk 2 van de wet is het voor de in artikel 2.1 van de wet genoemde instanties mogelijk onderling gegevens te verstrekken van partijen ten aanzien van wie de gerechtvaardigde overtuiging bestaat dat die hebben gefraudeerd in de zorg. Betrokken instanties zijn voornemens daartoe een centraal registratiesysteem te gebruiken, dat wordt aangeduid als Waarschuwingsregister zorgfraude (hierna: het Waarschuwingsregister). De wet schrijft voor dat de instanties elkaar gegevens verstrekken die noodzakelijk zijn voor de bestrijding van fraude in de zorg. Zij verstrekken elkaar geen gegevens voordat zij, overeenkomstig bij deze ministeriële regeling vastgestelde protocol, de gerechtvaardigde overtuiging hebben dat er sprake is van fraude in de zorg. Daarnaast is in de wet bepaald dat de instanties alleen gegevens aan elkaar verstrekken indien de in artikel 2.2 van de wet bedoelde toezichthouders, nadat het onderzoek aan hen is voorgelegd, tot dezelfde gerechtvaardigde overtuiging van fraude in de zorg zijn gekomen.

Het doel van het Waarschuwingsregister is dat de in de wet genoemde instanties op deze manier elkaar op de hoogte brengen van (rechts)personen ten aanzien van wie de gerechtvaardigde overtuiging bestaat dat zij hebben gefraudeerd, zodat de andere instanties voor de andere domeinen eventueel maatregelen kunnen nemen om fraude van diezelfde (rechts)persoon te voorkomen.

In het besluit zijn nadere eisen gesteld aan het protocol. Deze vormden de randvoorwaarden bij het opstellen van het protocol.

Voor de praktijk is belangrijk dat het besluit diverse regels bevat die door de colleges en ziektekostenverzekeraars moeten worden nageleefd als zij gegevens verstrekken via het Waarschuwingsregister.

Deze regels zijn niet opnieuw opgenomen in het protocol. Het gaat om artikel 2.1 tot en met 2.5 van het besluit. Voor hun inhoud wordt verwezen naar de tekst van het besluit en naar de bijbehorende nota van toelichting.1

De bijlage bij de onderhavige Uitvoeringsregeling Waarschuwingsregister zorgfraude (hierna: Uitvoeringsregeling) bevat het in de wet genoemde protocol. In dit protocol is eveneens een regeling opgenomen voor de procedure voor voorleggen van het onderzoek aan de toezichthouder. Verder bevat deze regeling een bepaling over de beveiliging van de gegevens die zijn opgenomen in het Waarschuwingsregister.

Het protocol Waarschuwingsregister zorgfraude

Het protocol is als bijlage bij de onderhavige uitvoeringsregeling onderdeel van regelgeving. Daarom zijn de verplichtingen die uit hoofde van de wet, het besluit of andere regelgeving (zoals de Algemene verordening gegevensbescherming of voor de colleges of ziektekostenverzekeraars specifiek geldende regelgeving) niet opgenomen in het protocol. Bij het gebruik van het protocol dient een gemeente of ziektekostenverzekeraar daarom alert te zijn op het naleven van de andere relevante regelgeving die niet als zodanig in het protocol is opgenomen. Voorts is van belang dat de wet en het besluit geen bevoegdheden scheppen om onderzoek te doen of maatregelen te nemen ter bestrijding van fraude in de zorg. De eisen die in dit protocol worden gesteld, zien enkel op de zorgvuldigheid van het onderzoeksdossier met het oog op registratie van gegevens in het Waarschuwingsregister.

In hoofdstuk 1 zijn enkele definities opgenomen met het oog op verduidelijking van het protocol. Definities die al in de wet of het besluit zijn opgenomen, zijn ook van toepassing op het protocol en zijn daarom niet opnieuw opgenomen in het protocol. Het begrip ‘betrokkene’ is niet gedefinieerd. In de Algemene verordening gegevensbescherming wordt dit begrip ook gebruikt. Om verwarring te voorkomen is in deze regeling afgezien van een afwijkende definitie. In deze regeling wordt onder ‘betrokkene’ verstaan de natuurlijke persoon of rechtspersoon van wie de gegevens worden geregistreerd in het protocol.

In hoofdstuk 2 zijn algemene bepalingen opgenomen, die grotendeels een concretisering bevatten van de eisen die het besluit stelt aan het protocol. Dit geldt bijvoorbeeld voor de vergelijkbare waarborgen die gelden voor persoonsgegevens als niet-persoonsgegevens. Hieronder vallen bijvoorbeeld veelal de gegevens van rechtspersonen. Vanwege de aard van de gegevens waarmee wordt gewerkt, verdienen ook deze gegevens in principe dezelfde waarborgen. De eis dat persoonsgegevens slechts mogen worden verwerkt voor zover dat noodzakelijk in de zorg houdt in dat de instanties zich in ieder geval af moeten vragen of het noodzakelijk is om de concrete gegevens in dit specifieke geval te delen. Het gaat dus niet alleen om de vraag of er een bevoegdheid bestaat voor het delen van gegevens, maar ook of deze bevoegdheid in het individuele geval terecht wordt ingezet. Voor een verdere toelichting op de eisen die het besluit aan het protocol stelt wordt verwezen naar de Nota van toelichting op het besluit.

Hoofdstuk 3 bevat voorschriften ten aanzien van het vaststellen van een gerechtvaardigde overtuiging van fraude in de zorg alsmede een beschrijving van het proces van voorleggen van de onderzoeksrapportage aan de toezichthouder.

Als eerste is in dit hoofdstuk verduidelijkt hoe wordt vastgesteld dat er sprake is van een gerechtvaardigde overtuiging van fraude in de zorg. Voor natuurlijke personen en rechtspersonen is op deze manier kenbaar op grond van welke gedragingen gegevens worden verwerkt (artikel 2.2, tweede lid, onder b, van het besluit). De wet definieert fraude in de zorg als ‘opzettelijk misleidend handelen binnen het domein van de Zorgverzekeringswet, Wet langdurige zorg, Wet maatschappelijke ondersteuning 2015, Jeugdwet of de door een ziektekostenverzekeraar te vergoeden zorg, die niet behoort tot het verzekerde pakket van de Zorgverzekeringswet of Wet langdurige zorg, met het oog op eigen of andermans gewin, voor zover het in de wet strafbaar gestelde feiten betreft’. Het besluit bepaalt hierover dat er sprake is van een gerechtvaardigde overtuiging van fraude in de zorg indien er voldoende bewijs van betrokkenheid bij fraude voorhanden is en sprake is van een vastgestelde gedraging die een zwaardere verdenking dan een redelijk vermoeden oplevert (artikel 2.2, eerste lid van het besluit). In het protocol is dit geconcretiseerd door aan te sluiten bij de wettelijke bepaling, die een strafrechtelijk feit vereist. Gelet op de eisen van het besluit is aangesloten bij het strafrechtelijke begrip van opzet en voorwaardelijke opzet. Aangetoond moet worden dat een betrokkene opzettelijk heeft gehandeld, dan wel dat hij, met het oog op eigen gewin, bewust de aanmerkelijke kans heeft aanvaard dat de instantie zou worden misleid of op andere manier frauduleus zou kunnen worden benadeeld. Over de invulling van deze begrippen bestaat veel jurisprudentie, waarbij kan worden aangesloten in de concrete praktijk van zorgverzekeraars of gemeenten. Ter illustratie kan, zonder volledig te zijn, gewezen worden op enkele lijnen die uit de jurisprudentie over het externe verwijzingsregister naar voren komen.2

Bijvoorbeeld is enkel het onjuist invullen van vragen op een invulformulier niet voldoende om ook opzet op misleiden aan te nemen. Daarvoor zijn meer concrete bewijsmiddelen nodig.

Verklaringen van een betrokkene kunnen zowel bijdragen aan het bewijs van opzettelijk misleidend handelen als juist het tegendeel: zij kunnen ook ontlastend werken. Ook kunnen de verklaringen het noodzakelijk maken om nader onderzoek te doen.

Het overleggen van vervalste documenten op naam van betrokkene is op zichzelf niet voldoende om aan te nemen dat er sprake is van fraude door die betrokkene. Het is aan een instantie met concrete stukken te onderbouwen dat een betrokkene daadwerkelijk zelf deze vervalste documenten heeft ingediend, indien een betrokkene dat ontkent. Als concrete bewijzen ontbreken en een betrokkene ontkent dat hij de vervalste gegevens heeft verstrekt, dan hoeft een betrokkene niet het bewijs te leveren dat hij niet betrokken was bij fraude.

Ook aanwijzingen dat het indienen van een onjuist document niet met het oog op misleiding is gebeurd, moeten serieus worden genomen.

Anderzijds kan het indienen van vervalste documenten door een betrokkene wel voldoende bewijs opleveren van fraude in de zorg als er genoeg concrete aanwijzingen zijn dat deze stukken door betrokkene moeten zijn ingediend.

Dat een betrokkene ontkent dat hij die documenten heeft ingediend, maakt dat dan niet anders.

Er is, aansluitend bij de praktijk van fraudeonderzoek, gekozen voor het stellen van eisen aan de verantwoording voorafgaand aan het onderzoek in het plan van aanpak. Daarnaast zijn eisen gesteld aan de onderzoeksrapportage op basis waarvan wordt verantwoord dat er sprake is van een gerechtvaardigde overtuiging van fraude in de zorg.

De achtergrond van de gestelde eisen is om te waarborgen dat er alleen gegevens over een betrokkene worden verstrekt, indien op basis van een zorgvuldige en rechtmatige procedure is vastgesteld dat er sprake is van een gerechtvaardigde overtuiging van fraude in de zorg. Belangrijke vereisten daarbij zijn het naleven van de eisen over de proportionaliteit en subsidiariteit. Het naleven van o.a. deze eisen moet zowel in het plan van aanpak als in de onderzoeksrapportage worden verantwoord. Door voorafgaand aan het onderzoek een plan van aanpak vast te stellen, komen de eisen van proportionaliteit en subsidiariteit al in een vroege fase duidelijk in beeld.

Indien vervolgens uit het onderzoek een gerechtvaardigde overtuiging van fraude in de zorg blijkt, dan is het aan het college of de ziektekostenverzekeraar om zorgvuldig en zo feitelijk mogelijk weer te geven hoe het onderzoek is verlopen op alle door het protocol weergegeven eisen. Op deze wijze kan de rechtmatigheid en de proportionaliteit van het onderzoek worden onderbouwd en wordt ook achteraf de rechtmatigheid worden getoetst. Ook verzachtende of verzwarende omstandigheden of verklaringen moeten daarbij in beeld komen. Dit verzekert een zorgvuldige verwerking van de gegevens van een betrokkene als die wordt geregistreerd in het Waarschuwingsregister. Voor de volledigheid wordt opgemerkt dat als uit een onderzoek blijkt dat er geen sprake is van een gerechtvaardigde overtuiging van fraude in de zorg, het aan de instantie is om op grond van de regels die voor die instantie gelden, de vergaarde informatie zo veel mogelijk te verwijderen. De onderhavige regeling ziet niet op het verwerken of verwijderen van deze gegevens.

Met het oog op de rechtmatigheid en zorgvuldigheid van het onderzoek naar het bestaan van een gerechtvaardigde overtuiging van fraude in de zorg zijn daarnaast nog enkele extra eisen gesteld aan het onderzoek naar het bestaan van een gerechtvaardigde overtuiging van fraude in de zorg. Zo is bijvoorbeeld van belang dat verklaringen van derden op betrouwbaarheid getoetst worden. Indien een zorgbehoeftige een verklaring aflegt, is belangrijk dat wordt nagegaan of die persoon in staat is een verklaring af te leggen (hetgeen bij bijvoorbeeld bij personen met dementie of een verstandelijke beperking niet het geval kan zijn). Ook is noodzakelijk dat de verklaring gaat over feiten die aan de derde zelf bekend zijn of dat deze anders voldoende verifieerbaar zijn. Verklaringen die door de medische toestand van een ondervraagde of verklaringen die enkel gebaseerd op aannames of verklaringen ‘van horen zeggen’ zonder verdere mogelijkheden voor verificatie mogen niet ten grondslag worden gelegd aan het bestaan van een gerechtvaardigde overtuiging van fraude in de zorg.

Op het moment dat de rapportage wordt vastgesteld, moet worden gecontroleerd of de rapportage juist, volledig en actueel is.

Het is vervolgens aan het college of de ziektekostenverzekeraar om met inachtneming van artikel 3.10 van het protocol te besluiten of opname van een betrokkene in het Waarschuwingsregister noodzakelijk en proportioneel is.

Daarbij is relevant of andere colleges of ziektekostenverzekeraars belang kunnen hebben bij de verstrekking vanwege de aard van de verleende zorg of omdat bekend is dat een betrokkene zorg verleend in andere domeinen. Indien aannemelijk is dat zij geen enkel belang kunnen hebben bij verstrekking van de gegevens van een betrokkene, is registratie niet noodzakelijk en proportioneel. Dit kan bijvoorbeeld het geval zijn als de fraude is gepleegd op een terrein van zorg, waar andere instanties geen enkele taak hebben.

Verder is van belang of er persoonlijke omstandigheden van een betrokkene bekend zijn, die registratie in het Waarschuwingsregister niet proportioneel zouden maken. Dit kan bijvoorbeeld het geval zijn indien duidelijk is dat een betrokkene door een ziekte nooit meer zorg zal kunnen (doen) verlenen. In een dergelijk geval dient registratie in het Waarschuwingsregister geen enkel redelijk doel. Ook verzachtende omstandigheden ten aanzien van betrokkene moeten worden meegewogen, gelet op de gevolgen die een registratie in het Waarschuwingsregister kan hebben. Bij verzachtende omstandigheden kan bijvoorbeeld gedacht worden aan het onder dwang doen van frauduleuze handelingen, terwijl aannemelijk wordt dat een betrokkene dergelijk handelen niet nogmaals zal vertonen. Niet iedere verzachtende omstandigheid maakt registratie in het Waarschuwingsregister overigens disproportioneel. Het belang van de bestrijding van fraude in de zorg kan ook bij het bestaan van verzachtende omstandigheden zwaarder wegen. In heel bijzondere omstandigheden kan er daarnaast sprake zijn van een registratie die geen enkel redelijk doel dient. Dergelijke omstandigheden zullen zich niet snel voordoen, maar er moet ruimte zijn om het bestaan ervan (buiten wat hierboven is omschreven) mee te wegen. Het is aan de colleges en de ziektekostenverzekeraars om een weging in te maken.

Als het college of de ziektekostenverzekeraar besluit dat er gronden zijn om een betrokken natuurlijk persoon of rechtspersoon te registreren in het Waarschuwingsregister, wordt de onderzoeksrapportage met geanonimiseerde gegevens voorgelegd aan de toezichthouder.

Op basis van deze onderzoeksrapportage kan de toezichthouder vervolgens onderzoeken of hij ook tot de gerechtvaardigde overtuiging van fraude in de zorg komt. Indien de toezichthouder op basis van de onderzoeksrapportage de overtuiging niet deelt, is het van belang dat voor het college of de ziektekostenverzekeraar duidelijk is waarom de toezichthouder tot dit oordeel komt. Het kan bij de toetsing door de toezichthouder noodzakelijk blijken om aanvullende gegevens te overleggen. Het protocol voorziet in een procedure daarvoor.

Een toezichthouder krijgt in het kader van de beoordeling die hij moet maken, geen persoonsgegevens over een betrokkene ten aanzien van wie een gerechtvaardigde overtuiging van fraude in de zorg bestaat. Dit volgt uit de wet. Het is van belang dat de toezichthouder op enig moment kan controleren dat de deelnemende instanties inderdaad geen betrokkenen in het Waarschuwingsregister opnemen als de toezichthouder oordeelt dat er geen gerechtvaardigde overtuiging van fraude in de zorg bestaat in een concreet dossier. Omdat er sprake is van geanonimiseerde gegevens is dat niet direct na te gaan. Het is aan de deelnemende instanties om daarvoor een controleerbaar proces in te richten.

Hoofdstukken 4, 5 en 6 geven zorgvuldigheidseisen bij de daadwerkelijke registratie in en het raadplegen van het Waarschuwingsregister.

Vanwege minimalisering van de gegevensdeling is het niet mogelijk om zonder invoer van de gegevens van een specifieke betrokkene het Waarschuwingsregister te raadplegen. Een instantie kan dus alleen controleren of een specifieke natuurlijke persoon of rechtspersoon voorkomt in het register.

Dit raadplegen kan ook geautomatiseerd, bijvoorbeeld als na contractering een automatisch proces in werking treedt, waarbij voor alle nieuwe contractanten gecontroleerd wordt of zij in het Waarschuwingsregister voorkomen. Indien een college of ziektekostenverzekeraar van een dergelijk automatisch proces gebruikt maakt, bepaalt artikel 2.11 dat zij dit op hun eigen website vermelden en dat zij uitleggen wanneer dit plaatsvindt. Op deze wijze wordt gewaarborgd dat automatische raadpleging vooraf kenbaar is en volgens een vaste procedure verloopt.

Verder is voorgeschreven dat colleges en ziektekostenverzekeraars een lijst bijhouden waaruit blijkt wanneer en door welke medewerker het Waarschuwingsregister is geraadpleegd en of dit geleid heeft tot een treffer. Zij zijn ook verantwoordelijk voor een regelmatige controle van deze lijst. Het raadplegen van het Waarschuwingsregister is immers alleen aangewezen indien dat noodzakelijk is ter bestrijding van fraude in de zorg. Met het oog op de privacy van de medewerkers van de deelnemer is opgenomen dat de namen van medewerkers die het register hebben geraadpleegd, niet gedeeld worden met andere deelnemers.

Hoofdstuk 7 bevat tot slot bepalingen over de rechtsbescherming van betrokkenen. Dit hoofdstuk ziet op de juistheid van de geregistreerde gegevens. Indien een betrokkene hier gebruik wil maken van zijn rechten, moet hij zich wenden tot de verstrekker (de deelnemer die de gegevens van betrokkene in het Waarschuwingsregister heeft geplaatst). Waar het gaat om rechtsbescherming in het geval een (rechts)persoon meent dat er geen grond is voor een gerechtvaardigde overtuiging van fraude in de zorg, wordt verwezen naar hetgeen daarover is opgemerkt de memorie van toelichting bij de wet. De rechten van een betrokkene kunnen worden beperkt als het gaat om de in 7.1 tot en met 7.5 genoemde rechten, indien dit noodzakelijk is ter bescherming van de rechten en vrijheden van anderen of ter bestrijding van fraude in de zorg. Waar het gaat om informatie over de bron van de gegevens is dit expliciet nogmaals opgenomen, om te benadrukken dat het belang van bescherming van de bron van bepaalde gegevens bij een verdenking van fraude in de zorg, nadrukkelijk moet worden meegewogen.

Beveiligingseisen

In de regeling is een bepaling opgenomen over de beveiliging van de verwerking van persoonsgegevens in het kader van het Waarschuwingsregister. Over de keuze voor de Baseline Informatiebeveiliging Overheid wordt verwezen naar de Nota van Toelichting bij het besluit, waar deze keuze uitvoerig is toegelicht. Gelet op de gevoelige aard van de gegevens wordt aangesloten bij beveiligingsniveau 2.

Uitvoeringsaspecten

Bij het opstellen van het protocol is herhaaldelijk met de betrokken instanties overlegd. Daarbij was de zorgvuldigheid rondom de verwerking van persoonsgegevens en de door de wet en het besluit daarbij gegeven kaders leidend. Tegelijkertijd is het ook van belang dat de werkwijze, waar mogelijk, zoveel mogelijk aansluit bij bestaande systemen en de uitvoeringspraktijk van deze instanties.

Zo is bijvoorbeeld nadrukkelijk ook inspiratie ontleend aan het Protocol Incidenten- waarschuwingssysteem Financiële Instellingen (PIFI) 2021, het door de Autoriteit Persoonsgegevens goedgekeurde protocol voor de financiële sector, dat onder andere geldt voor de zorgverzekeraars. Het moment van publicatie van de regeling ligt na 1 oktober. Dit is afgestemd met de betrokken instanties.

Regeldruk

Regeldruk is een verzamelnaam voor kosten die samenhangen met administratieve lasten (kosten om te voldoen aan informatieverplichtingen aan de overheid vanuit regelgeving), inhoudelijke nalevingskosten (kosten om te voldoen aan inhoudelijke eisen uit wet- en regelgeving) en toezichtlasten. Bij de totstandkoming van de wet is aandacht besteed aan de regeldrukaspecten. Geconcludeerd is dat de wet geen consequenties heeft op het gebied van regeldruk voor burgers, zorgondernemingen en zorgprofessionals. Het besluit is een uitwerking van de in de wet opgenomen delegatiegrondslagen. Onderhavige uitvoeringsregeling is een uitwerking van een aantal eisen van het besluit. Evenals de wet en besluit, kent de uitvoeringsregeling geen consequenties op het gebied van regeldruk voor burgers, zorgondernemingen en zorgprofessionals. De uitvoeringslasten die deze uitvoeringsregeling met zich mee brengt gelden enkel voor de betrokken instanties, te weten de colleges, ziektekostenverzekeraars en toezichthouders, aan wie verplichtingen worden opgelegd.

Het protocol, behorend bij deze uitvoeringsregeling stelt eisen aan de zorgvuldigheid waarmee de gerechtvaardigde overtuiging van fraude wordt vastgesteld. Dit brengt beperkte regeldrukgevolgen met zich mee. Gemeenten en zorgverzekeraars worden geacht een plan van aanpak voor fraudeonderzoek op te stellen alsmede een onderzoeksrapportage indien er een gerechtsvaardigde overtuiging van fraude in de zorg is. Deze bepalingen zijn uitvoerig afgestemd en er is zo veel als mogelijk aangesloten bij de huidige uitvoeringspraktijk van fraudeonderzoek. Voor zover er regeldrukgevolgen optreden zijn deze een gevolg van de eisen aan de zorgvuldigheid van het onderzoek. Gelet op de vergaande gevolgen die registratie in het Waarschuwingsregister voor een betrokkene kan hebben, zijn deze regeldrukgevolgen evenredig.

Het protocol bevat eveneens bepalingen over de rol van de toezichthouder. Bij de uitwerking van het proces van het ter beoordeling voorleggen van de onderzoeksrapportage aan de toezichthouder om te bepalen of sprake is van een gerechtvaardigde overtuiging van fraude in de zorg, is in overleg met de gemeenten, ziektekostenverzekeraars en toezichthouders een werkwijze opgesteld die zo veel als de eisen van het besluit het toelaten past binnen de huidige uitvoeringspraktijk. Los van de bestaande wettelijke bepalingen voegt het protocol hier geen regeldrukgevolgen aan toe.

Het protocol bevat verder bepalingen over de zorgvuldigheid rondom het registreren en raadplegen van het Waarschuwingsregister, alsmede over de rechtsbescherming van betrokkenen. Ook hier is zo veel als mogelijk aangesloten bij de huidige uitvoeringspraktijk en volgt een groot deel van deze bepalingen uit verplichtingen van de Algemene verordening gegevensbescherming.

Tot slot dienen betrokken instanties kennis te nemen van de inhoud van deze uitvoeringsregeling. De daarmee gemoeide kennisnamekosten zijn echter vanwege de beperkte doelgroep en hun actieve betrokkenheid in het proces van totstandkoming van de regeling, verwaarloosbaar.

Het Adviescollege toetsing regeldruk (ATR) heeft het dossier niet geselecteerd voor een formeel advies, omdat het, behoudens kennisnamekosten, geen gevolgen voor de regeldruk voor burgers, zorgondernemingen en zorgprofessionals heeft.

Internetconsultatie en Uitvoeringstoetsen

Er is een internetconsultatie voor de uitvoeringsregeling gehouden van 8 april 2024 tot 22 mei 2024. Er zijn zeven reacties ontvangen. Daarin worden naast algemene punten ook een aantal specifieke punten gemaakt. Deze hebben op verschillende onderdelen geleid tot een aanscherping van de tekst van het protocol en de toelichting. Zo is bijvoorbeeld verduidelijkt wanneer de uitwisseling van gegevens noodzakelijk is en is de suggestie om het begrip ‘hit’ te vervangen door ‘treffer’ overgenomen. Verder is uitgebreider toegelicht waarom als bewijsmaatstaf voor ‘opzet’ of ‘voorwaardelijk opzet’ is gekozen en is toegevoegd dat een deelnemer geen persoonsgegevens over zijn medewerkers die het Waarschuwingsregister raadplegen, met andere deelnemers deelt. Ook is verduidelijkt dat de rechtsbescherming kan worden beperkt indien en zolang dit noodzakelijk is ter waarborging van de openbare veiligheid, de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen of de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

In meer algemene zin zijn zorgen geuit over de uitvoerbaarheid en de administratieve lasten van deze regeling. Uit de inhoud van de reacties blijkt dat deze zorgen voor een groot deel voortvloeien uit de eisen die de wet en het besluit stellen aan deze regeling. Deze hebben daarom niet kunnen leiden tot aanpassing van de uitvoeringsregeling. Voor het overige is met de uitvoeringsregeling, het protocol daarbij inbegrepen, zo dicht mogelijk aangesloten bij het het Protocol incidenten-waarschuwingensysteem financiële instellingen (Pifi) en de praktijk van het fraudeonderzoek. De eisen die zijn gesteld, hebben te maken met de zorgvuldigheid vanwege de vergaande gevolgen die registratie in het Waarschuwingsregister voor een betrokkene kan hebben.

Daarnaast hebben de Nederlandse zorgautoriteit (Nza), Zorgverzekeraars Nederland (ZN) en de Vereniging van Nederlandse gemeenten (VNG) een uitvoeringstoets toegezonden.

De Nza acht de regeling op zichzelf uitvoerbaar, al is nog niet volledig in te schatten welke tijdsinvestering benodigd gaat zijn voor de toezichthouder en of de huidige personele capaciteit voldoende is. Daarnaast brengt de Nza naar voren dat het niet duidelijk is hoe de Nza toezicht kan houden op de naleving van de verplichting om een betrokkene niet te registreren als de Nza niet de gerechtvaardigde overtuiging heeft van fraude in de zorg ten aanzien van een specifieke betrokkene. Het protocol schrijft voor dat verzekeraars daarvoor een controleerbaar proces moeten inrichten, maar hoe een dergelijk proces er uit moet zien, is aan de verzekeraars overgelaten. Voor toezicht op (on)terechte opnames in het Waarschuwingsregister is ten minste nodig dat de NZa zelf toegang zal hebben tot het Waarschuwingsregister.

Mocht toegang tot het Waarschuwingsregister voor de Nza gerealiseerd worden, dan dient nader beoordeeld te worden of huidige wettelijke grondslagen voor verwerking van persoonsgegevens toereikend zijn.

Uit de wet vloeit voort dat de gegevens geanonimiseerd aan de toezichthouder verstrekt moeten worden. Dat staat er derhalve in de weg aan het verlenen van toegang tot het Waarschuwingsregister. Verder is bewust aan verzekeraars overgelaten om een werkproces in te richten dat controleerbaar is. De Nza kan vaststellen of verzekeraars aan die verplichting hebben voldaan. De beoordeling of de huidige personele capaciteit voldoende is voor deze taak zal in de uitvoering worden bezien.

ZN maakt in de uitvoeringstoets bezwaar tegen de stapeling van de toetsing doordat een toezichthouder het bestaan van een gerechtvaardigde overtuiging van fraude in de zorg moet toetsen alvorens een betrokkene kan worden opgenomen in het Waarschuwingsregister. ZN brengt naar voren dat deze toetsing in het licht van de overige bepalingen ten aanzien van het Waarschuwingsregister disproportioneel is, tot onwenselijke vertraging leidt en de uitvoerbaarheid van de wet schade toebrengt. ZN wijst op de reeds bestaande mogelijkheden voor rechtsbescherming voor betrokkenen. Daarnaast merkt ZN bij 3.1 en 3.4 van het protocol op dat niet wenselijk is dat nieuwe bestanddelen worden toegevoegd terwijl onderdelen van artikel 2.1 van het besluit niet wordt overgenomen. Daarnaast vraagt ZN een verduidelijking bij artikel 3.6 en 3.16 van het protocol.

Het standpunt van ZN dat de toetsing door de toezichthouder de uitvoerbaarheid van de onderhavige uitvoeringsregeling schaadt, kan niet leiden tot aanpassing van de uitvoeringsregeling, omdat deze toetsing uit de wet voortvloeit en slechts is uitgewerkt in dit protocol. Verder is er geen aanleiding om de artikelen 3.1 en 3.4 van het protocol aan te passen. Artikel 2.2, tweede lid, aanhef en onder b, van het besluit schrijft voor dat voor betrokkenen kenbaar moet zijn op welke wijze wordt vastgesteld dat er ten aanzien van hen een gerechtvaardigde overtuiging van fraude in de zorg bestaat. Het voorstel van ZN bevat enkel herhaling van de wettekst en voldoet daarmee niet aan het voorschrift in het besluit. De in artikel 3.1 gegeven invulling bevat een duidelijk en werkbaar criterium, dat aansluit bij de tekst van de wet en het besluit op dit punt. De uitvoeringstoets van ZN heeft geleid tot een verduidelijking van artikel 3.6 van het protocol. Dit artikel is hierboven ook uitgebreider toegelicht. Voor wat betreft de rechtsbescherming tegen het handelen van de toezichthouder geldt dat dit niet bij protocol wordt geregeld.

VNG geeft in de uitvoeringstoets aan risico's met betrekking tot de uitvoerbaarheid te zien. Het Waarschuwingsregister is een arbeidsintensieve taak voor gemeenten. De inzet die hiervoor nodig is zal ten koste gaan van de onderzoekscapaciteit voor het uitvoeren van rechtmatigheidstoezicht, terwijl de vraag is of deze inzet opweegt tegen het resultaat. Er wordt gewaarschuwd dat de gemeenten de nieuwe taak alleen kunnen uitvoeren als daarvoor de benodigde financiële middelen beschikbaar worden gesteld. Daarnaast stelt VNG dat de procedure voor het Waarschuwingsregister tijdrovend is en wordt de inrichting van onafhankelijke toetsing als een drempel ervaren. De balans tussen de gevraagde inzet staat volgens VNG niet in verhouding met de mogelijke resultaten van het Waarschuwingsregister. Tot slot wordt aangegeven dat het begrip gerechtvaardigde overtuiging van fraude in de zorg onduidelijk is.

De afweging om te komen tot een Waarschuwingsregister is gemaakt in de wet. In het besluit zijn daarbij randvoorwaarden gesteld aan het protocol, waarmee rekening moet worden gehouden bij het invullen van het protocol.

Het protocol bij het Waarschuwingsregister eist een zorgvuldige procedure omdat deze als waarborg dient voor betrokkenen, vanwege de verstrekkende gevolgen die registratie in het Waarschuwingsregister voor hen kan hebben. Ook de inrichting van de onafhankelijke toetsing is vanuit het oogpunt van zorgvuldigheid en bescherming van betrokkenen in de wet opgenomen. In de invoeringstoets zal worden geëvalueerd hoe de effectief de procedure is.

Gelet op het voorgaande, is er geen aanleiding om de uitvoeringsregeling op deze punten aan te passen in die zin dat er minder waarborgen gelden. Wel zijn de uitvoeringsregeling en de toelichting op enkele punten verduidelijkt naar aanleiding van vragen en opmerkingen. Het begrip gerechtvaardigde overtuiging van fraude is uitgebreider uitgewerkt in deze toelichting, zodat de instanties meer duidelijkheid krijgen over de invulling van deze kernbepaling.

De Autoriteit Persoonsgegevens heeft in het advies van 17 juni 2024 enkel opgemerkt dat op grond van artikel 2.2, tweede lid, aanhef en onder f, van het besluit, in het protocol de grondslagen moeten worden vermeld voor de eventuele overige verwerking door de instanties en de relatie met de grondslagen in artikel 6, eerste lid van de Algemene verordening gegevensverwerking. Naar aanleiding daarvan is in het protocol een bepaling toegevoegd in hoofdstuk 2.

De Minister van Volksgezondheid, Welzijn en Sport, M. Agema

X Noot
2

De voorbeelden dit de tabel zijn ontleend aan diverse rechterlijke uitspraken: Gerechtshof Arnhem-Leeuwaren, 5 maart 2024, ECLI:NL: GHARL:2024:1639, Gerechtshof Den Haag, 30 april 2024, ECLI:NL: GHDHA:2024:650, Gerechtshof Arnhem-Leeuwarden 5 maart 2024, ECLI:NL:GHARL:2024:1636, Rechtbank Overijssel, 5 april 2017, ECLI:NL:RBOVE:2017:1556 en Rechtbank Amsterdam 10 mei 2021, ECLI:NL:RBAMS:2021:2410

Naar boven