De werkwijze van zorgverzekeraar CZ bij machtigingsvragen was in strijd met de Algemene verordening gegevensbescherming (AVG). Dit heeft de Autoriteit Persoonsgegevens (AP) geoordeeld na een onderzoek bij de verzekeraar. Uit het onderzoek van de AP blijkt dat CZ voor de beoordeling van aanvragen voor een vergoeding van revalidatiezorg in een aantal gevallen meer medische gegevens verwerkt dan noodzakelijk is. Het gaat om aanvragen van verzekerden die medisch-specialistische revalidatiezorg nodig hadden, bijvoorbeeld na een complexe botbreuk of een aandoening aan de motoriek. De AP heeft CZ naar aanleiding hiervan een last onder dwangsom opgelegd.
Machtigingsvereiste
Voor het vergoeden van medisch-specialistische revalidatie vereist CZ een voorafgaande akkoordverklaring. Dit wordt het machtigingsvereiste genoemd. Aan die akkoordverklaring kan CZ aanvullende voorwaarden stellen. In de praktijk komt dit er doorgaans op neer dat de zorgverlener de machtigingsaanvraag namens de verzekerde bij de verzekeraar indient, waarbij verschillende (medische) persoonsgegevens aan de verzekeraar moeten worden verstrekt. Welke persoonsgegevens moeten worden verstrekt, is afhankelijk van het beleid dat de verzekeraar daaromtrent hanteert.
Twaalf verzekerden hebben de AP gevraagd om handhavend op te treden tegen CZ. Zij zijn van mening dat CZ voor de beoordeling van hun aanvragen voor revalidatiezorg te veel (bijzondere) persoonsgegevens heeft verwerkt.
OCA / Zilveren Kruis
Een vergelijkbare kwestie speelde eerder tussen OCA en Zilveren Kruis in een zaak bij de rechtbank Midden-Nederland van 19 juli 2019. Op basis van de polis van Zilveren Kruis krijgen patiënten niet-contracteerde medisch-specialistische revalidatiezorg alleen vergoed na aan de behandeling voorafgaande toestemming van Zilveren Kruis (machtigingsvereiste). Een zorgaanbieder die namens patiënten de aanvragen indienden, OCA, is toen naar de rechter gestapt. Volgens OCA vraagt Zilveren Kruis in het kader van het machtigingsvereiste teveel persoonsgegevens op. In die zaak had OCA volgens de voorzieningenrechter echter niet voldoende concreet onderbouwd welke informatie Zilveren Kruis wel en niet zou mogen opvragen. OCA spreekt alleen van “gedetailleerde gegevens” en dat is volgens de rechter te vaag. Zilveren Kruis kwam er dus goed mee weg.
Nu de AP CZ een dwangsom oplegt ten aanzien van haar beleid omtrent machtigingsaanvragen, zou Zilveren Kruis er wel goed aan doen om haar eigen beleid ook onder de loep te nemen voordat de AP dat doet.
Minimale gegevensverwerking
Het beginsel van minimale gegevensverwerking (ook wel dataminimalisatie) is een van de belangrijkste beginselen onder de AVG. Wanneer persoonsgegevens worden verwerkt dan moeten zij voor het doel toereikend en ter zake dienend zijn. Verder mogen er niet meer persoonsgegevens worden verwerkt dan noodzakelijk voor het doel. Met andere woorden, er mogen gelet op het doel, niet te veel, maar ook niet te weinig gegevens worden verwerkt voor het doel. Wanneer namelijk te weinig gegevens worden verwerkt, dan kan er ten onrechte een onvolledig beeld ontstaan van de betrokkene.
De vraag hoeveel en welke informatie mag en moet worden verstrekt door de verzekerde aan de zorgverzekeraar moet dus worden beantwoord aan de hand van de AVG. Op grond van de AVG mag een verwerking van persoonsgegevens alleen plaatsvinden als dat noodzakelijk is. Voor medische gegevens geldt dit nog sterker. Artikel 9 lid 1 AVG bepaalt als uitgangspunt dat verwerking van “gegevens over gezondheid” verboden is. Artikel 9 lid 2 aanhef en onder h AVG maakt daarop een uitzondering voor het geval de verwerking noodzakelijk is voor, onder meer, het beheren van gezondheidszorgstelsels en -diensten op grond van nationaal recht.
Naar Nederlands recht is de gegevensverstrekking van zorgaanbieders aan zorgverzekeraars in verschillende bepalingen geregeld. Zo bepaalt de Nederlandse Uitvoeringswet AVG dat et verbod op de verwerking van gegevens over gezondheid niet van toepassing is op verzekeraars voor zover de verwerking noodzakelijk is voor de uitvoering van de overeenkomst van verzekering. Ook de Zorgverzekeringswet bepaalt onder meer dat een ieder op verzoek aan een zorgverzekeraar alle inlichtingen en gegevens, waaronder persoonsgegevens als bedoeld in de AVG, die noodzakelijk zijn voor de uitvoering van de zorgverzekering.
Volgens de voorzieningenrechter in de zaak OCA / Zilveren Kruis betekent dit dat de zorgverzekeraar tot op zekere hoogte medische informatie mag ontvangen. “Het gaat daarbij om alle informatie die de zorgverzekeraar nodig heeft om te kunnen beoordelen of er een vergoedingsrecht bestaat en dus ook of de behandeling doelmatig is. Die informatie zal alleen zinvol zijn als deze in individuele gevallen voldoende concreet en toetsbaar is. Algemene bewoordingen volstaan niet.”
Slot
Ten aanzien van CZ heeft de AP geoordeeld dat CZ bij vier verzekerden meer medische gegevens over hun behandeling heeft verwerkt dan noodzakelijk was voor de beoordeling van hun machtigingsaanvragen. Volgens het onderzoek van de AP heeft het beleid van CZ in de hand gewerkt dat meer persoonsgegevens werden verstrekt dan noodzakelijk was voor dergelijke beoordelingen. CZ heeft tegen het besluit van de AP beroep ingesteld. De AP en CZ hebben daarnaast wel al enkele afspraken gemaakt. In het kader daarvan heeft CZ een aantal maatregelen getroffen. Zo heeft CZ de bewuste gegevens van de twaalf verzoekers uit haar systemen verwijderd en heeft zij een beleidsdocument voor machtigingsaanvragen verwijderd van haar website. De AP meldt op haar website dat CZ en de AP nog verder in gesprek gaan over eventuele aanpassing van de werkwijze voor machtigingsaanvragen die voldoet aan de AVG.