In deze uitspraak gaat de rechtbank in op het verschil tussen het verstrekken van gezondheidsgegevens van verzekerden aan een zorgverzekeraar door een gecontracteerde zorgaanbieder en een niet- gecontracteerde zorgaanbieder. Ook komt het verstrekken van persoonsgegevens van indicatiestellers en zorgverleners aan bod.
Op 12 mei 2021 heeft de Rechtbank Gelderland uitspraak gedaan in een zaak van Zusterindebuurt c.s. (ZIDB c.s.) tegen Menzis Zorgverkeraar N.V. (Menzis) met betrekking tot de (on)rechtmatigheid van het opvragen van (medische) persoonsgegevens voor een detailcontrole door Menzis. In het vonnis wordt het wettelijk kader voor het opvragen en verstrekken van (bijzondere) persoonsgegevens voor een detailcontrole uiteengezet. De rechtbank maakt daarbij onderscheid tussen het verstrekken van de persoonsgegevens van verzekerden en de persoonsgegevens van de indicatiestellers en zorgverleners. Het oordeel luidt dat het verzoek van Menzis aan ZIDB c.s. om gezondheidsgegevens van verzekerden te verstrekken, onrechtmatig is. Het verzoek aan ZIDB c.s. om persoonsgegevens van de indicatiestellers en zorgverleners te verstrekken is níet onrechtmatig.
In 2017 is door het Talma Instituut onderzoek gedaan naar de niet-gecontracteerde zorg in de geestelijke gezondheidszorg en wijkverpleging. Uit het onderzoek volgde dat sprake is van een sterke volumegroei van de niet-gecontracteerde zorg en bleek specifiek voor wijkverpleging dat de kosten per cliënt van de niet-gecontracteerde zorg hoger zijn dan voor gecontracteerde zorg. Uit een onderzoek van Arteria Consulting (januari 2018) is eveneens gebleken dat sinds de invoering van de wijkverpleging in de Zorgverzekeringswet (Zvw) de kosten ten aanzien van niet-gecontracteerde wijkverpleging enorm gestegen zijn.
In het kader van de uitvoering van de Zvw zijn zorgverzekeraars bevoegd om, in overeenstemming met de daarvoor geldende wet- en regelgeving, formele en materiële controles uit te voeren. Bij een formele controle wordt gecontroleerd of de kosten voor de zorgverlening in aanmerking komen voor vergoeding. Hierbij wordt bijvoorbeeld gecontroleerd of de patiënt verzekerd was bij de verzekeraar, of sprake is van verzekerde zorg in de zin van de Zvw en of het juiste tarief is gedeclareerd. Bij een materiële controle wordt gecontroleerd of de zorg die werd gedeclareerd wel is verleend (rechtmatigheid) en of de zorg is geleverd past bij de gezondheidstoestand van de patiënt (doelmatigheid). Bij uitvoering van de controles, waarbij ook persoonsgegevens worden opgevraagd en verwerkt, dienen zorgverzekeraars en zorgaanbieders zich te houden aan onder meer de Algemene verordening gegevensbescherming (AVG), de Zvw, de Regeling zorgverzekering (Rzv) en de Gedragscode Zorgverzekeraars (de Gedragscode) inclusief het daarbij behorende Protocol Materiële Controle (het Protocol).
De onderhavige uitspraak gaat over een controle van Menzis bij de niet-gecontracteerde zorgaanbieder ZIDB c.s., die wijkverpleging aanbiedt. In het kader van het onderzoek heeft Menzis ZIDB c.s. verzocht om twee verschillende soorten persoonsgegevens te verstrekken, te weten: gezondheidsgegevens van verzekerden en de persoonsgegevens van de indicatiestellers en zorgverleners.
ZIDB c.s. vordert onder andere een verklaring voor recht dat Menzis onrechtmatig heeft gehandeld en handelt door te proberen ZIDB c.s. te bewegen om (medische) persoonsgegevens te verstrekken. ZIDB c.s. stelt dat het onderzoek van Menzis onrechtmatig is, omdat Menzis zich niet aan de regels heeft gehouden die volgen uit de Rzv en de verdere uitwerking van die regels in de Gedragscode en het Protocol zoals opgesteld door de Brancheorganisatie Zorgverzekeraars.
Volgens ZIDB c.s. betreffen de controlegegevens waar Menzis om vraagt persoonsgegevens van verzekerden en zorgverleners en betreft het onderzoek een detailcontrole, zodat, zonder toestemming van de verzekerden, een wettelijke grondslag voor het rechtstreeks verstrekken van persoonsgegevens van verzekerden aan Menzis ontbreekt. Als gevolg daarvan mag ZIDB c.s., zo stelt zij, niet meewerken aan het onderzoek en mag zij ook niet de gegevens verstrekken die zij op basis van de wet wel rechtstreeks aan Menzis zou mogen verstrekken.
Voor de beoordeling van de vorderingen van ZIDB c.s. en haar stelling dat Menzis jegens haar onrechtmatig heeft gehandeld, is allereerst van belang om vast te stellen of (en zo ja, in hoeverre) Menzis de verlangde persoonsgegevens mocht opvragen en of (en zo ja, in hoeverre) ZIDB c.s. die persoonsgegevens moest verstrekken. De rechtbank maakt voor deze beoordeling onderscheid tussen i) persoonsgegevens over de gezondheid van de verzekerden en ii) persoonsgegevens van de indicatiestellers en zorgverleners.
Persoonsgegevens over de gezondheid van de verzekerden
Voor de verwerking van gezondheidsgegevens van verzekerden geldt in principe het verwerkingsverbod uit artikel 9 van de AVG. Het is enkel toegestaan persoonsgegevens betreffende de gezondheid te verwerken als daarvoor een uitzondering geldt.
Op grond van artikel 30, derde lid Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) mag een zorgverzekeraar gezondheidsgegevens verwerken indien dit noodzakelijk is voor de uitvoering van de verzekering. Menzis mag op grond van artikel 30, derde lid UAVG de gezondheidsgegevens verwerken die noodzakelijk zijn voor het controleren van de in rekening gebrachte prestaties.
Voor ZIDB c.s. geldt dat het medisch beroepsgeheim uit artikel 7:457 Burgerlijk Wetboek (BW) van belang is voor de beoordeling of zij de opgevraagde gezondheidsgegevens ook aan Menzis mag verstrekken. Artikel 7:457 BW bepaalt dat de hulpverlener geen gezondheidsgegevens aan derden mag verstrekken, tenzij de patiënt daarvoor toestemming geeft of als wet- of regelgeving de hulpverlener daartoe verplicht. Dit betekent dat ZISB c.s. (tenzij toestemming verkregen is) een wettelijke verplichting moet hebben voordat zij de gezondheidsgegevens aan Menzis mag verstrekken.
Een dergelijke wettelijke verplichting is opgenomen in artikel 87 Zvw. Artikel 87 Zvw maakt echter onderscheid tussen ‘gecontracteerde’ en ‘niet gecontracteerde’ zorgaanbieders. Artikel 87 lid 1 Zvw bepaalt dat de gecontracteerde zorgaanbieder persoonsgegevens van de verzekerde (waaronder gezondheidsgegevens) rechtstreeks aan de zorgverzekeraar moet verstrekken. In geval van een niet-gecontracteerde zorgaanbieder ligt het anders. Artikel 87 lid 2 Zvw bepaalt namelijk dat de niet-gecontracteerde zorgaanbieder de persoonsgegevens desgevraagd aan de verzekerde moet verstrekken, zodat de verzekerde de gegevens aan zijn zorgverzekeraar kan verstrekken. Enkel bij expliciete toestemming van de verzekerde kunnen de persoonsgegevens van de verzekerde rechtstreeks door de zorgaanbieder aan de zorgverzekeraar worden verstrekt. De rechtbank is van oordeel dat indien de zorgverzekeraar (in dit geval dus Menzis), het ter uitoefening van haar controletaak nodig acht om persoonsgegevens op te vragen bij een niet-gecontracteerde zorgaanbieders, het op de weg van de zorgverzekeraar zelf ligt om aan haar verzekerde toestemming te vragen om de persoonsgegevens rechtstreeks van de zorgaanbieder te verkrijgen.
Menzis mocht de gezondheidsgegevens van haar verzekerden dus niet rechtstreeks bij ZISB c.s. opvragen en mocht niet van ZISB c.s. verwachten dat ZISB c.s. toestemming zou vragen aan de betreffende verzekerden voor het verstrekken van hun persoonsgegevens aan Menzis.
Naam, BIG-nummer en diploma van indicatiestellers en zorgverleners
Voor de verwerking van de persoonsgegevens van de indicatiestellers en zorgverleners geldt een ander regime. Hierbij is geen sprake van de verwerking van gezondheidsgegevens of andere bijzondere persoonsgegevens zodat alleen een grondslag op grond van artikel 6 AVG vereist is. De rechtbank overweegt dat de verwerking van de persoonsgegevens van de indicatiestellers en de zorgverleners (waaronder BIG-nummer en kopieën van de diploma’s) noodzakelijk is voor de uitoefening van de op Menzis als zorgverzekeraar rustende controletaak. Daarbij dient de persoonlijke levenssfeer van de indicatiestellers en zorgverleners te worden beschermd. Dit houdt in dat de verwerking noodzakelijk moet zijn voor het met de controle gediende doel, het doel niet op een andere wijze kan worden bereikt (subsidiariteit) en het doel niet kan worden bereikt op een wijze die de privacy van de zorgverlener minder belast (proportionaliteit).
De rechtbank heeft geoordeeld dat de zorgaanbieder (ZIDB c.s.) – en niet de verzekerde - de aangewezen partij is om de persoonsgegevens van de indicatiestellers en zorgverleners voor het controleonderzoek te verstrekken, omdat de zorgaanbieder over deze gegevens beschikt en precies weet welke (onder)zorgaanbieder zij heeft ingezet. Deze verplichte medewerking van de zorgaanbieder is ingevolge artikel 7.4 Rzv gekoppeld aan de voorwaarde dat de zorgverzekeraar het onderzoek uitvoert zoals in Rzv is bepaald, waarbij de eisen uit de Rzv door de zorgverzekeraars in het Protocol nader zijn ingevuld. Kortom: indien de zorgverzekeraar bij het uitvoeren van een controleonderzoek handelt overeenkomstig de AVG, de Rzv en het Protocol, zal de zorgaanbieder verplicht zijn de persoonsgegevens van indicatiestellers en zorgverleners ten behoeve van die controle te verstrekken.
Deze uitspraak onderstreept opnieuw het belang voor zowel zorgverzekeraars als zorgaanbieders om per situatie te beoordelen of zij persoonsgegevens al dan niet mogen (of moeten) verwerken in het kader van een materiële of formele controle. Uiteraard is daarbij het onderscheid tussen gewone en bijzondere persoonsgegevens van groot belang maar ook de relatie (gecontracteerd of niet-gecontracteerd) tussen zorgaanbieders en zorgverzekeraars speelt een belangrijke rol.
Zorgverzekeraars dienen bij iedere controle ook vast te stellen of voldaan wordt aan de eisen van subsidiariteit en proportionaliteit. Daarbij is van belang wat het doel is van de controle en of het doel ook bereikt kan worden op andere wijze of met minder persoonsgegevens. Dit werd onlangs ook in het kader van machtigingsaanvragen nogmaals bevestigd door de Autoriteit Persoonsgegevens (AP). Bij een machtigingsaanvraag gaat het niet om een controle achteraf maar vraagt een verzekerde vooraf akkoord aan de zorgverzekeraar voor de vergoeding van bepaalde zorg. Vorig jaar oordeelde de AP dat de werkwijze van verzekeraar CZ bij machtigingsaanvragen in strijd was met de AVG en legde de AP een last onder dwangsom op aan CZ. De AP vond dat CZ in sommige gevallen meer gezondheidsgegevens verwerkte dan noodzakelijk voor de behandeling van de machtigingsaanvraag. Inmiddels heeft CZ haar werkwijze in overleg met de AP aangepast.