Het beginsel van minimale gegevensverwerking (ook wel dataminimalisatie) is een van de belangrijkste beginselen onder de Algemene verordening gegevensbeschermig (AVG). Wanneer persoonsgegevens worden verwerkt dan moeten zij voor het doel toereikend en ter zake dienend zijn. Verder mogen er niet meer persoonsgegevens worden verwerkt dan noodzakelijk voor het doel. Met andere woorden, er mogen gelet op het doel, niet te veel, maar ook niet te weinig gegevens worden verwerkt voor het doel. Wanneer namelijk te weinig gegevens worden verwerkt, dan kan er ten onrechte een onvolledig beeld ontstaan van de betrokkene. Onlangs moest de voorzieningenrechter zich buigen over dit beginsel in een kort geding tussen OCA en Zilveren Kruis.
Waar gaat het kort geding over?
OCA verleent medisch-specialistische revalidatiezorg (MSR) aan patiënten met chronische pijn en is ten opzichte van Zilveren Kruis een zogenaamde ‘niet-gecontracteerde zorgaanbieder’. Dit houdt in dat OCA geen contract heeft met Zilveren Kruis. De vergoeding uit de basisverzekering of aanvullende verzekering kan dan lager zijn dan wanneer een patiënt naar een gecontracteerde zorgverlener gaat.
Op basis van de polis van Zilveren Kruis krijgen patiënten niet-contracteerde MSR alleen vergoed na aan de behandeling voorafgaande toestemming van Zilveren Kruis (hierna: het ‘machtigingsvereiste’). In de praktijk dient OCA namen de verzekerde deze machtigingsaanvraag bij Zilveren Kruis in, waarbij OCA verschillende persoonsgegevens van patiënten aan Zilveren Kruis moet verstrekken. Een van de bezwaren van OCA tegen de werkwijze van Zilveren Kruis was dan ook dat Zilveren Kruis te veel informatie opvraagt. Het is, in de woorden van OCA, nooit genoeg. Dat leidt er volgens OCA toe dat Zilveren Kruis informatie wenst te ontvangen die volgens de privacywetgeving niet mag worden verstrekt.
Hoeveel en welke informatie mag Zilveren Kruis van OCA verlangen?
Zilveren Kruis stelt ten eerste dat OCA, anders dan de verzekerden zelf, geen belang heeft bij naleving van de AVG door Zilveren Kruis. Volgens de voorzieningenrechter heeft OCA echter welzeker een eigen belang bij het voorkomen van schending van de AVG omdat zij van mening is dat zij in het kader van de machtigingsaanvraag wordt gedwongen om mee te werken aan schending van de privacywetgeving. Daarnaast vond de voorzieningenrechter het aannemelijk dat OCA ook voor het belang van de verzekerden opkomt, zodat de voorzieningenrechter het bezwaar van OCA alsnog inhoudelijk behandelt.
De vraag hoeveel en welke informatie mag en moet worden verstrekt door de verzekerde aan de zorgverzekeraar moet worden beantwoord aan de hand van de AVG. Op grond van de AVG mag een verwerking van persoonsgegevens alleen plaatsvinden als dat noodzakelijk is. Voor medische gegevens geldt dit nog sterker. Artikel 9 lid 1 AVG bepaalt als uitgangspunt dat verwerking van “gegevens over gezondheid” verboden is. Artikel 9 lid 2 aanhef en onder h AVG maakt daarop een uitzondering voor het geval de verwerking noodzakelijk is voor, onder meer, het beheren van gezondheidszorgstelsels en -diensten op grond van nationaal recht.
Naar Nederlands recht is de gegevensverstrekking van zorgaanbieders aan zorgverzekeraars in verschillende bepalingen geregeld. Zo bepaalt de Nederlandse Uitvoeringswet AVG dat het verbod op de verwerking van gegevens over gezondheid niet van toepassing is op verzekeraars voor zover de verwerking noodzakelijk is voor de uitvoering van de overeenkomst van verzekering. Ook de Zorgverzekeringswet bepaalt onder meer dat een ieder op verzoek aan een zorgverzekeraar alle inlichtingen en gegevens, waaronder persoonsgegevens als bedoeld in de AVG, die noodzakelijk zijn voor de uitvoering van de zorgverzekering.
Volgens de voorzieningenrechter betekent dit dat de zorgverzekeraar tot op zekere hoogte medische informatie mag ontvangen. “Het gaat daarbij om alle informatie die de zorgverzekeraar nodig heeft om te kunnen beoordelen of er een vergoedingsrecht bestaat en dus ook of de behandeling doelmatig is. Die informatie zal alleen zinvol zijn als deze in individuele gevallen voldoende concreet en toetsbaar is. Algemene bewoordingen volstaan niet.”
In deze zaak had OCA volgens de voorzieningenrechter niet voldoende concreet onderbouwd welke informatie Zilveren Kruis wel en niet zou mogen opvragen. OCA spreekt alleen van “gedetailleerde gegevens” en dat is volgens de rechter te vaag.
Slot
Had OCA in deze zaak concreet aangegeven welke informatie door Zilveren Kruis niet had mogen worden opgevraagd, dan had de rechter een beoordeling gemaakt naar de noodzakelijkheid van de verwerking van de gegevens. Helaas kwam de rechter daaraan dus niet toe. Desalniettemin verdient het beginsel van dataminimalisatie bijzondere aandacht. Onder de AVG moeten organisaties bij het inrichten van verwerkingen rekening te houden met het principe van privacy door ontwerp en standaardinstellingen (privacy by design & default). Minimale gegevensverwerking wordt in dat kader uitdrukkelijk genoemd als passende maatregel.