Zorgverzekeraars mogen dus bijzondere persoonsgegevens verwerken ten behoeve van het
machtigingsvereiste.
Noodzakelijkheidsvereiste
Daarbij is van belang dat de Wbp voor elke gegevensverwerking vereist dat er naast een grondslag uit artikel 8 Wbp en een uitzondering op het verbod uit artikel 16 Wbp, moet zijn voldaan aan het noodzakelijkheidsvereiste. Artikel 21 eerste lid, onderdeel b, onder 2°, biedt bijvoorbeeld een uitzondering voor de persoonsgegevens betreffende de gezondheid
die noodzakelijk zijn voor de uitvoering van de overeenkomst van verzekering. En artikel 8, onder
b, betreft de gegevens die noodzakelijk zijn voor de uitvoering van een overeenkomst waarbij betrokkene partij is.
Dit noodzakelijkheidsvereiste brengt een belangrijke beperking aan voor wat betreft
de aard en omvang van de persoonsgegevens die voor een machtiging mogen worden verwerkt.
Zorgverzekeraars zullen moeten kunnen onderbouwen of de gevraagde persoonsgegevens
noodzakelijk zijn voor het verlenen van een machtiging. Bij de toepassing van het
noodzakelijkheidsvereiste toetst degene die de persoonsgegevens verwerkt steeds of
de betreffende verwerking voldoet aan de beginselen van proportionaliteit en subsidiariteit.
Dat betekent ten eerste dat het doel, de aard en omvang van de persoonsgegevens die
voor de machtiging worden verwerkt met elkaar in verhouding zijn en ten tweede dat
er geen minder ingrijpende verwerking van persoonsgegevens voor dat doel mogelijk
is. Kan bijvoorbeeld worden volstaan met het doen van een meer formele toets zoals
de aanwezigheid van een verwijsbrief of het verstrekken van (kwaliteits)informatie
over de zorgverlener dan is het opvragen van (andere) persoonsgegevens betreffende
de gezondheid over de verzekerde niet toegestaan.
Voor de hierboven genoemde onderbouwing is van belang welk doel het vragen van de
machtiging in het specifieke geval dient. In het algemeen geldt dat een machtiging
ten doel heeft te voorkomen dat vergoeding ten onrechte plaatsvindt maar meer specifiek
kan bijvoorbeeld onderscheid worden gemaakt tussen het voorkomen dat er sprake is
van onverzekerde zorg, het waarborgen dat er sprake is van doelmatige zorg, het voorkomen
dat de zorg die wordt verleend niet het meest is aangewezen gezien de individuele
omstandigheden en/of het ziektebeeld van de betreffende verzekerde en het voorkomen
dat de zorg die wordt verleend niet het meest is aangewezen omdat de betreffende zorgaanbieder
niet aan bepaalde (kwaliteits) vereisten voldoet. De onderbouwing van de gevraagde
persoonsgegevens moet worden gerelateerd aan het specifiek doel.
Doel machtiging
Het doel van de machtiging is voorkomen dat de verzekerde zorg ondergaat die achteraf
niet voor vergoeding in aanmerking blijkt te komen, bijvoorbeeld omdat er geen sprake
is van verzekerde zorg, de zorg niet het meest is aangewezen voor de specifieke verzekerde of de betreffende
zorgaanbieder niet aan bepaalde kwaliteitseisen voldoet. Met een machtiging krijgt
de verzekerde vooraf duidelijkheid over de vraag of zorgkosten worden vergoed. Zo
wordt voorkomen dat de zorgverzekeraar ten onrechte betaalde vergoedingen moet terugvorderen
en de verzekerde met onverwachte kosten wordt geconfronteerd.
Voor de toets die zorgverzekeraars bij het afgeven van een machtiging hanteren, geldt
verder dat artikel 14, eerste lid, Zvw bepaalt dat de vraag of een verzekerde behoefte heeft aan een bepaalde vorm van zorg
of een bepaalde andere dienst, slechts op basis van zorginhoudelijke criteria wordt
beantwoord.
In de parlementaire geschiedenis van de Zvw wordt daarover onder meer gezegd dat ‘de verzekeraar het recht heeft om te controleren of de door de arts geïndiceerde vorm
van zorg inderdaad wel voor de desbetreffende patiënt is aangewezen en ook niet meer
omvat (en dus niet duurder is) dan nodig. Artikel 14 zorgt er dan wél voor, dat die
verzekeraar die toestemming slechts om zorginhoudelijke redenen mag weigeren. Het
artikel zorgt er voorts voor, dat een zorginhoudelijke deskundige (bijvoorbeeld een
verzekeringsarts)de verzekeraar dient te adviseren over de vraag of dergelijke zorginhoudelijke
redenen er al dan niet zijn. De zorgverzekeraar dient het advies van de zorginhoudelijk
deskundige over te nemen’.
‘Bij de vraag of een verzekerde behoefte heeft aan een bepaalde vorm van zorg of een
andere tot het verzekerde pakket behorende dienst zullen veelal medisch-inhoudelijke
criteria bepalend zijn. De wet hanteert echter het bredere begrip «zorginhoudelijke
criteria» om te bewerkstelligen dat waar nodig ook andere zorggebonden criteria een
rol kunnen spelen, bijvoorbeeld het oordeel van een verpleegkundige over de thuissituatie
indien een beslissing moet worden genomen over de vraag of een patiënt naar huis kan
of eerst in een revalidatie-instelling moet worden opgenomen.
Relatie tot formele en materiële controle
Het machtigingsvereiste heeft dus ten doel om vooraf het risico te beperken dat er ten onrechte vergoedingen plaatsvinden. Daarnaast hebben
zorgverzekeraars de mogelijkheid om achteraf te controleren dat er geen onrechtmatige vergoedingen zijn gedaan.
Het verwerken van persoonsgegevens ten behoeve van formele en materiële controles
is geregeld in artikel 87 van de Zvw jo. hoofdstuk 7 van de Regeling zorgverzekering (Rzv). Voor de aanvullende ziektekostenverzekering gelden daarvoor artikel 68a van de Wmg en de Regeling persoonsgegevens vrijwillige ziektekostenverzekeringen Wmg.
In deze regelingen wordt uitwerking gegeven aan het noodzakelijkheidscriterium door
nader te bepalen welke persoonsgegevens, voor welke doeleinden mogen worden verwerkt. Daarbij is invulling gegeven aan het proportionaliteitsvereiste door de materiële
controle door zorgverzekeraars stapsgewijs vorm te geven. Dat betekent dat indringende
methodes – met als sluitstuk het doen van detailcontroles – pas mogen worden toegepast
indien en voor zover niet kan worden volstaan met minder indringende methodes.
Het hanteren van een machtigingseis (toets voorafgaand aan de levering van zorg die
in korte tijd moet plaatsvinden) en het uitvoeren van formele en materiële controle
(controle achteraf aan de levering van zorg en niet onder tijdsdruk) zijn verschillende
instrumenten. De Rzv en de Regeling persoonsgegevens vrijwillige ziektekostenverzekeringen Wmg gelden dan ook niet voor de verwerking van persoonsgegevens ten behoeve van het machtigingsvereiste.
Daarmee is er dus geen nadere uitwerking van het noodzakelijkheidsvereiste (en dus
de beginselen van proportionaliteit en subsidiariteit) voorzien in wet- of regelgeving
voor de gegevensverwerking bij de aanvraag en behandeling van het machtigingsvereiste.
Uitgangspunten bij gegevensverwerking voor een machtiging
Het is niet mogelijk om in deze beleidsregels een sluitend overzicht te geven van
de gegevens die noodzakelijk zijn in het kader van het machtigingsvereiste. Het gaat immers om (zeer) verschillende
vormen van zorg waarbij bovendien zorginhoudelijke criteria in het individuele geval een rol spelen.
Wel zijn er een aantal algemene uitgangspunten:
-
– Er wordt volstaan met die gegevens die (minimaal) noodzakelijk worden geacht voor
de specifieke machtiging in het voorliggende geval. Dat betekent onder meer dat er
niet ‘voor de zekerheid’ alvast ook andere / meer gegevens worden verwerkt.
-
– Er wordt pas overgegaan tot het verwerken van (meer gedetailleerde) gezondheidsgegevens
over verzekerde als andere gegevens niet toereikend zijn om het doel van de machtiging
te bewerkstelligen.
-
– Daarbij worden de volgende afwegingen gemaakt:
-
○ Kan worden volstaan met het verstrekken van (kwaliteits)informatie over de zorgverlener?
(bijvoorbeeld als het doel van de machtiging is te bewerkstelligen dat ongecontracteerde
aanbieders aan dezelfde kwaliteitseisen voldoen als gecontracteerde zorgaanbieders).
-
○ Zijn de vermoedelijke diagnose en een schatting van de kosten voldoende?
-
○ Is een volledig behandelplan nodig of kan worden volstaan met enkele specifieke gegevens
uit het behandelplan?
-
○ Is een volledig dossier (uit bijvoorbeeld de eerste lijn) nodig of kan worden volstaan
met enkele specifieke persoonsgegevens?
-
○ Zijn persoonsgegevens uit (toekomstige) evaluaties van de behandeling nodig?
-
– De zorgverzekeraar onderbouwt waarom de persoonsgegevens die worden gevraagd voor
een machtiging noodzakelijk zijn voor dat doel.
-
○ In beginsel kan de onderbouwing waarom de persoonsgegevens die worden gevraagd noodzakelijk
zijn voor het doel van de machtiging op hoofdlijnen worden opgesteld per zorgsoort,
geneesmiddel en/of hulpmiddel waarvoor het machtigingsvereiste geldt.
-
○ Bij de onderbouwing van de noodzaak wordt in elk geval ingegaan op het specifieke
doel van het stellen van een machtigingsvereiste in het betreffende geval (bijvoorbeeld
vaststellen dat sprake is van verzekerde zorg, vaststellen dat de zorg het meest is
aangewezen voor de specifieke verzekerde of waarborgen dat de betreffende zorgaanbieder
aan bepaalde kwaliteitseisen voldoet).
-
○ De onderbouwing van de noodzaak zal uitgebreider en zorgvuldiger zijn naarmate het
gaat om (meer) detailgegevens.
-
○ Nadere onderbouwing vindt plaats indien er in het individuele geval wordt afgeweken
van de hierboven genoemde onderbouwing op hoofdlijnen per zorgsoort, geneesmiddel
en/of hulpmiddel waarvoor het machtigingsvereiste geldt.
-
○ Deze onderbouwing zal waar nodig (nader) zijn toespitst op individuele omstandigheden
van het geval indien betrokkene daarom vraagt.
-
– Zorgverzekeraars vragen aan een verzekerde met een privacyverklaring GGZ ook ten behoeve van een machtiging géén tot de diagnose herleidbare gegevens.
Dit vloeit voort uit een uitspraak van het College van Beroep voor het bedrijfsleven
(CBb). Het CBb heeft in deze uitspraak het belang van een goede taakvervulling van de zorgverzekeraars
(zorginkoop en controle van geleverde prestaties) afgewogen tegen het privacybelang
van individuele GGZ patiënten.
Deze uitspraak ziet weliswaar op het verwerken van diagnosegegevens ten behoeve van
de declaratieafwikkeling en niet ten behoeve van een machtiging, maar de afwegingen
die het CBb hierin maakt werken wel door in de wijze waarop het noodzakelijkheidsvereiste
van artikel 8 en artikel 23 van de Wbp moet worden toegepast bij de verwerking van persoonsgegevens voor een machtiging
bij verzekerden met een privacyverklaring GGZ.
Het noodzakelijkheidsvereiste van de artikelen 8 en 21 van de Wbp, in samenhang bezien met de uitspraak van het CBb, noopt er daarom toe dat bij aanwezigheid
van een privacyverklaring GGZ óók in het kader van een machtigingsaanvraag géén diagnosegegevens
worden verwerkt.