Meer nadruk op verantwoordelijkheid zorgverzekeraar?
In de zorg worden steeds meer controles uitgevoerd door zorgverzekeraars en zelfs de zorgkantoren laten inmiddels van zich horen. Bij hun controles vragen zorgverzekeraars bij zorginstellingen en zorgaanbieders vaak allerlei medische informatie van patiënten op. Als de zorgaanbieder die gegevens zomaar verstrekt, kan hij de privacy van zijn patiënten schenden. De zorgaanbieder is gehouden tot geheimhouding van de medische gegevens en heeft de verantwoordelijkheid te controleren of hij de gegevens desgevraagd wel mag verstrekken, maar hoe zit het eigenlijk met de verantwoordelijkheid van de zorgverzekeraar op dit punt, na de invoering van de AVG in de zorg?
Is de zorg rechtmatig en doelmatig?
Aan de ’10 geboden bij materiële controles’ (tips en tricks voor zorgaanbieders bij materiële controles) hebben wij al meerdere malen aandacht besteed. De meeste controles in de zorg zien op de vraag of de geleverde zorg rechtmatig is verleend (in overeenstemming met de geldende regels) en of deze doelmatig is verleend (de verleende zorg is de meest aangewezen zorg gelet op de gezondheidstoestand van de patiënt. In de praktijk geven zorgverzekeraars vaak aan dat zij medische informatie over individuele patiënten van de zorginstelling of zorgaanbieder nodig hebben. Dit om rechtmatig- en doelmatigheid te kunnen toetsen.
Medische gegevens verstrekken: wanneer en wanneer niet?
De meeste zorgaanbiederes die geconfronteerd worden met een controle, vragen zich af of zij gegevens uit patiëntendossiers of medische informatie over individuele patiënten met de verzekeraar mogen of moeten delen, als de verzekeraar daarom vraagt. In beginsel bevat de Algemene Verordening Gegevensbescherming (de bekende AVG), net zoals de Wet bescherming persoonsgegevens, een verbod om medische gegevens van patiënten te verstrekken aan derden, dus ook de verzekeraar.
Op dat verbod zijn uitzonderingen, onder meer bij controles door de verzekeraar bij gecontracteerde zorgaanbieders. Maar kort samengevat mag een zorgaanbieder alleen gegevens aan de zorgverzekeraar verstrekken als hij op basis van een overeenkomst met de zorgverzekaar rechtstreeks bij de zorgverzekeraar heeft gedeclareerd. In alle andere gevallen mag hij alleen gegevens aan de verzekerde verstrekken. Dat volgt uit de wet.
Als de zorgaanbieder een (betaal)overeenkomst heeft met de zorgverzekeraar, dient hij te controleren of de opgevraagde medische gegevens noodzakelijk zijn voor het vaststellen van het controledoel en passen binnen het controledoel. Daarnaast dient de zorgaanbieder vast te stellen of de opgevraagde gegevens wel proportioneel zijn: kan de controle niet op een andere – minder ingrijpende – (denk aan bijvoorbeeld een toelichting op praktijkniveau in plaats van over de individuele patiënt) manier worden afgerond? Om deze vragen te kunnen beantwoorden, dient de zorgaanbieder bij de zorgverzekeraar het specifieke controleplan en controledoel op te vragen.
Medische gegevens verstrekken: verantwoordelijkheid van de zorgaanbieder?
In het kader van de AVG is van belang dat de zorgaanbieder goed nagaat wat de verzekeraar onderzoekt en om welke reden de verzekeraar medische gegevens opvraagt: is dat wel noodzakelijk en proportioneel? Indien de zorgaanbieder die toets niet uitvoert of gegevens verstrekt terwijl hij geen overeenkomst met de verzekeraar heeft gesloten, dan schendt hij feitelijk zijn beroepsgeheim. Daardoor kan hij problemen krijgen met de patiënt en als deze klaagt bij de Autoriteit Persoonsgegevens.
Eerder besteedden wij in een blog aandacht aan de merkwaardige situatie dat de zorgaanbieder deze zware verantwoordelijkheid krijgt, terwijl in de wetgeving geen duidelijke sanctie is opgenomen voor de zorgverzekeraar die zich niet houdt aan de Regeling zorgverzekering en – zonder dat aan de wettelijke eisen is voldaan – medisch vertrouwelijke informatie opvraagt en verkrijgt.
Medische gegevens opvragen: verantwoordelijkheid van de zorgverzekeraar?
De invoering van de AVG heeft als bijkomend effect dat de privacy in en buiten de zorg in de schijnwerpers is komen te staan en ook de toezichthouder, de Autoriteit Persoonsgegevens, zich anders is gaan opstellen. Niet is uitgesloten dat zorgverzekeraars, indien zij zonder dat dit strikt noodzakelijk is medische gegevens opvragen bij de zorgaanbieder, bij het verwerken van deze gegevens dezelfde privacyrechtelijke verantwoordelijkheden hebben als zorgaanbieders en bij onterechte verwerking zelf handelen in strijd met de AVG. Dat betekent dat in voorkomend geval niet alleen de zorgaanbieder, maar ook zorgverzekeraars zich blootstellen aan mogelijke maatregelen die de Autoriteit Persoonsgegevens kan opleggen. Denk hierbij aan hoge boetes en sancties. Dit zal met name het geval kunnen zijn als een zorgaanbieder vanwege door een zorgverzekeraar opgelegde druk, bijvoorbeeld opschorting van betaling, gegevens heeft verstrekt. Dit is een aandachtspunt voor de Functionaris Gegevensbescherming van de betreffende verzekeraars. Immers, als er onrechtmatig gegevens verwerkt worden door een zorgverzekeraar doordat onterecht teveel gegevens zijn opgevraagd en verkregen, dan dient de FG daar actie op te ondernemen.