Beleidsregels machtigingsvereiste

Geraadpleegd op 07-12-2024.
Geldend van 17-12-2016 t/m heden

Beleidsregels machtigingsvereiste

1. Inleiding

De Autoriteit Persoonsgegevens heeft in 2016 verschillende signalen ontvangen over de (bijzondere) persoonsgegevens die door zorgverzekeraars worden gevraagd in het kader van het machtigingsvereiste.

Uit deze signalen bleek dat het niet altijd duidelijk is of zorgverzekeraars persoonsgegevens mogen verwerken ten behoeve van het machtigingsvereiste en zo ja welke (bijzondere) persoonsgegevens voor dat doel mogen worden verwerkt.

De Autoriteit Persoonsgegevens heeft daarom de onderhavige beleidsregels opgesteld. Deze beleidsregels zijn afgestemd met de Nederlandse Zorgautoriteit en in verband met de overlegverplichting van artikel 67 van de Wet bescherming persoonsgegevens (Wbp) voorgelegd aan de Minister van Veiligheid en Justitie en de Minister van Binnenlandse Zaken en Koninkrijksrelaties.

De Autoriteit Persoonsgegevens stelt in deze beleidsregels vast dat zorgverzekeraars in beginsel (bijzondere) persoonsgegevens mogen verwerken ten behoeve van het machtigingsvereiste. Daarbij wordt nader ingegaan op de wijze waarop het noodzakelijkheidsbeginsel als bedoeld in de artikelen 8 en 21 van de Wbp bij de verwerking van persoonsgegevens ten behoeve van het machtigingsvereiste moet worden ingevuld.

Onder machtigingsvereiste (ook wel voorafgaande toestemming of akkoordverklaring genoemd) wordt begrepen dat verzekerde vóóraf toestemming van de zorgverzekeraar dient te hebben voor de vergoeding van bepaalde behandelingen, geneesmiddelen of hulpmiddelen dan wel voor bepaalde (typen van) zorgaanbieders. Het machtigingsvereiste kan worden gesteld voor zowel vergoedingen die vallen onder de basisverzekering als vergoedingen op grond van een aanvullende ziektekostenverzekering.1 De zorgpolis bepaalt in welke gevallen het machtigingsvereiste geldt. 2

2. Mogen zorgverzekeraars bijzondere persoonsgegevens verwerken ten behoeve van het machtigingsvereiste?

Zoals voor elke verwerking van bijzondere persoonsgegevens door zorgverzekeraars geldt ook voor het verwerken van bijzondere persoonsgegevens ten behoeve van het machtigingsvereiste dat er een uitzondering op het verbod op het verwerken van persoonsgegevens betreffende de gezondheid van artikel 16 van de Wbp moet zijn en dat er een grondslag voor de verwerking van persoonsgegevens in artikel 8 van de Wbp moet zijn.

Het machtigingsvereiste is niet in de Zorgverzekeringswet (Zvw) of de Wet marktordening gezondheidszorg (Wmg)3 gedefinieerd. Ook is niet uitgewerkt hoe de procedure rondom het machtigingsvereiste moet zijn vormgegeven4 en of en zo ja welke persoonsgegevens daarvoor mogen worden verwerkt. Er is alleen voorzien in artikel 14, vijfde lid, Zvw waarin is geregeld dat een zorgverzekeraar niet nogmaals een machtigingsvereiste kan stellen als de verzekerde reeds een machtiging van zijn vorige verzekeraar heeft gekregen (en de periode waarover de machtiging is verleend nog loopt).

In de memorie van toelichting op de Zvw staat dat ‘Het aan de zorgverzekeraar is om in zijn modelovereenkomsten op te nemen (en derhalve ook in de zorgverzekering overeen te komen en vervolgens in de zorgpolis op te nemen) voor welke vormen van zorg hij een vorm van toetsing wenst. Zo kan hij (...) regelen dat de verzekerde voor bepaalde vormen van zorg zijn voorafgaande toestemming behoeft (het verzoek tot toestemming dient dan te worden bezien door een bij de verzekeraar werkende verzekeringsarts). Eist een zorgverzekeraar in de ogen van zijn verzekerden te vaak voorafgaande toestemming, dan zullen zijn verzekerden bij hem weg gaan’.5

Dit is naar aanleiding van vragen tijdens de parlementaire behandeling bevestigd: ‘Wie de zorg verleent en waar die wordt verleend, is een verantwoordelijkheid van de zorgverzekeraar om daarover afspraken te maken met de verzekerde in de zorgovereenkomst. Dit geldt ook voor de procedurele voorwaarden, zoals toestemmingsvereisten, verwijzingen en voorschrijfvereiste,6 En ook in de nota naar aanleiding van het verslag komt het aan de orde: ‘Op basis van artikel 11 wordt geregeld waar de verzekerde recht op kan hebben, indien het verzekerde risico zich voordoet. De verdere invulling van deze rechten vindt plaats in de modelovereenkomst, de zorgverzekeringsovereenkomst en daarmee in de zorgpolis.7 Ook in de nota van toelichting op het Besluit Zorgverzekering staat dat: ‘Uitgangspunt is dat in de zorgpolis staat vermeld welke zorg door wie wordt verleend, waar deze wordt verleend en welke voorwaarden gelden, wil op deze zorg aanspraak bestaan, dan wel willen de kosten worden vergoed.’8 En ‘De voorwaarden waar zorgverzekeraar en verzekerde wel afspraken over kunnen maken, zijn voorwaarden zoals het vragen van een verwijsbriefje, een voorschrift, een melding van aanvang zorg en het vragen van toestemming.9

Uit de parlementaire geschiedenis van de Zvw blijkt dus dat het hanteren van het machtigingsvereiste deel uitmaakt van de zorgovereenkomst die de zorgverzekeraar en verzekerde overeenkomen.

Artikel 21, eerste lid, onderdeel b, onder 2°, van de Wbp voorziet in een uitzondering voor zorgverzekeraars op het verbod op het verwerken van persoonsgegevens betreffende de gezondheid indien dat noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst. Daarnaast bepaalt artikel 23, eerste lid, onderdeel f, van de Wbp, dat een uitzondering op het verbod op het verwerken van persoonsgegevens betreffende de gezondheid bij wet kan worden geregeld. De Zvw en de Wmg zijn dergelijke wetten.

De grondslag voor de verwerking van persoonsgegevens ten behoeve van het machtigingsvereiste door zorgverzekeraars is artikel 8, onderdeel b, van de Wbp (‘uitvoering van een overeenkomst waarbij betrokkene partij is’).

3. Welke persoonsgegevens mogen zorgverzekeraars verwerken ten behoeve van het machtigingsvereiste?

Zorgverzekeraars mogen dus bijzondere persoonsgegevens verwerken ten behoeve van het machtigingsvereiste.

Noodzakelijkheidsvereiste

Daarbij is van belang dat de Wbp voor elke gegevensverwerking vereist dat er naast een grondslag uit artikel 8 Wbp en een uitzondering op het verbod uit artikel 16 Wbp, moet zijn voldaan aan het noodzakelijkheidsvereiste. Artikel 21 eerste lid, onderdeel b, onder 2°, biedt bijvoorbeeld een uitzondering voor de persoonsgegevens betreffende de gezondheid die noodzakelijk zijn voor de uitvoering van de overeenkomst van verzekering. En artikel 8, onder b, betreft de gegevens die noodzakelijk zijn voor de uitvoering van een overeenkomst waarbij betrokkene partij is.

Dit noodzakelijkheidsvereiste brengt een belangrijke beperking aan voor wat betreft de aard en omvang van de persoonsgegevens die voor een machtiging mogen worden verwerkt.

Zorgverzekeraars zullen moeten kunnen onderbouwen of de gevraagde persoonsgegevens noodzakelijk zijn voor het verlenen van een machtiging. Bij de toepassing van het noodzakelijkheidsvereiste toetst degene die de persoonsgegevens verwerkt steeds of de betreffende verwerking voldoet aan de beginselen van proportionaliteit en subsidiariteit. Dat betekent ten eerste dat het doel, de aard en omvang van de persoonsgegevens die voor de machtiging worden verwerkt met elkaar in verhouding zijn en ten tweede dat er geen minder ingrijpende verwerking van persoonsgegevens voor dat doel mogelijk is. Kan bijvoorbeeld worden volstaan met het doen van een meer formele toets zoals de aanwezigheid van een verwijsbrief of het verstrekken van (kwaliteits)informatie over de zorgverlener dan is het opvragen van (andere) persoonsgegevens betreffende de gezondheid over de verzekerde niet toegestaan.

Voor de hierboven genoemde onderbouwing is van belang welk doel het vragen van de machtiging in het specifieke geval dient. In het algemeen geldt dat een machtiging ten doel heeft te voorkomen dat vergoeding ten onrechte plaatsvindt maar meer specifiek kan bijvoorbeeld onderscheid worden gemaakt tussen het voorkomen dat er sprake is van onverzekerde zorg, het waarborgen dat er sprake is van doelmatige zorg, het voorkomen dat de zorg die wordt verleend niet het meest is aangewezen gezien de individuele omstandigheden en/of het ziektebeeld van de betreffende verzekerde en het voorkomen dat de zorg die wordt verleend niet het meest is aangewezen omdat de betreffende zorgaanbieder niet aan bepaalde (kwaliteits) vereisten voldoet. De onderbouwing van de gevraagde persoonsgegevens moet worden gerelateerd aan het specifiek doel. 10

Doel machtiging

Het doel van de machtiging is voorkomen dat de verzekerde zorg ondergaat die achteraf niet voor vergoeding in aanmerking blijkt te komen, bijvoorbeeld omdat er geen sprake is van verzekerde zorg,11 de zorg niet het meest is aangewezen voor de specifieke verzekerde of de betreffende zorgaanbieder niet aan bepaalde kwaliteitseisen voldoet. Met een machtiging krijgt de verzekerde vooraf duidelijkheid over de vraag of zorgkosten worden vergoed. Zo wordt voorkomen dat de zorgverzekeraar ten onrechte betaalde vergoedingen moet terugvorderen en de verzekerde met onverwachte kosten wordt geconfronteerd.

Voor de toets die zorgverzekeraars bij het afgeven van een machtiging hanteren, geldt verder dat artikel 14, eerste lid, Zvw bepaalt dat de vraag of een verzekerde behoefte heeft aan een bepaalde vorm van zorg of een bepaalde andere dienst, slechts op basis van zorginhoudelijke criteria wordt beantwoord.

In de parlementaire geschiedenis van de Zvw wordt daarover onder meer gezegd dat ‘de verzekeraar het recht heeft om te controleren of de door de arts geïndiceerde vorm van zorg inderdaad wel voor de desbetreffende patiënt is aangewezen en ook niet meer omvat (en dus niet duurder is) dan nodig. Artikel 14 zorgt er dan wél voor, dat die verzekeraar die toestemming slechts om zorginhoudelijke redenen mag weigeren. Het artikel zorgt er voorts voor, dat een zorginhoudelijke deskundige (bijvoorbeeld een verzekeringsarts)de verzekeraar dient te adviseren over de vraag of dergelijke zorginhoudelijke redenen er al dan niet zijn. De zorgverzekeraar dient het advies van de zorginhoudelijk deskundige over te nemen’.12

‘Bij de vraag of een verzekerde behoefte heeft aan een bepaalde vorm van zorg of een andere tot het verzekerde pakket behorende dienst zullen veelal medisch-inhoudelijke criteria bepalend zijn. De wet hanteert echter het bredere begrip «zorginhoudelijke criteria» om te bewerkstelligen dat waar nodig ook andere zorggebonden criteria een rol kunnen spelen, bijvoorbeeld het oordeel van een verpleegkundige over de thuissituatie indien een beslissing moet worden genomen over de vraag of een patiënt naar huis kan of eerst in een revalidatie-instelling moet worden opgenomen.13

Relatie tot formele en materiële controle

Het machtigingsvereiste heeft dus ten doel om vooraf het risico te beperken dat er ten onrechte vergoedingen plaatsvinden. Daarnaast hebben zorgverzekeraars de mogelijkheid om achteraf te controleren dat er geen onrechtmatige vergoedingen zijn gedaan.14 15

Het verwerken van persoonsgegevens ten behoeve van formele en materiële controles is geregeld in artikel 87 van de Zvw jo. hoofdstuk 7 van de Regeling zorgverzekering (Rzv).16 Voor de aanvullende ziektekostenverzekering gelden daarvoor artikel 68a van de Wmg en de Regeling persoonsgegevens vrijwillige ziektekostenverzekeringen Wmg.

In deze regelingen wordt uitwerking gegeven aan het noodzakelijkheidscriterium door nader te bepalen welke persoonsgegevens, voor welke doeleinden mogen worden verwerkt.17 Daarbij is invulling gegeven aan het proportionaliteitsvereiste door de materiële controle door zorgverzekeraars stapsgewijs vorm te geven. Dat betekent dat indringende methodes – met als sluitstuk het doen van detailcontroles – pas mogen worden toegepast indien en voor zover niet kan worden volstaan met minder indringende methodes.18

Het hanteren van een machtigingseis (toets voorafgaand aan de levering van zorg die in korte tijd moet plaatsvinden) en het uitvoeren van formele en materiële controle (controle achteraf aan de levering van zorg en niet onder tijdsdruk) zijn verschillende instrumenten. De Rzv en de Regeling persoonsgegevens vrijwillige ziektekostenverzekeringen Wmg gelden dan ook niet voor de verwerking van persoonsgegevens ten behoeve van het machtigingsvereiste.

Daarmee is er dus geen nadere uitwerking van het noodzakelijkheidsvereiste (en dus de beginselen van proportionaliteit en subsidiariteit) voorzien in wet- of regelgeving voor de gegevensverwerking bij de aanvraag en behandeling van het machtigingsvereiste.

Uitgangspunten bij gegevensverwerking voor een machtiging

Het is niet mogelijk om in deze beleidsregels een sluitend overzicht te geven van de gegevens die noodzakelijk zijn in het kader van het machtigingsvereiste. Het gaat immers om (zeer) verschillende vormen van zorg waarbij bovendien zorginhoudelijke criteria in het individuele geval19 een rol spelen.

Wel zijn er een aantal algemene uitgangspunten:

  • Er wordt volstaan met die gegevens die (minimaal) noodzakelijk worden geacht voor de specifieke machtiging in het voorliggende geval. Dat betekent onder meer dat er niet ‘voor de zekerheid’ alvast ook andere / meer gegevens worden verwerkt.

  • Er wordt pas overgegaan tot het verwerken van (meer gedetailleerde) gezondheidsgegevens over verzekerde als andere gegevens niet toereikend zijn om het doel van de machtiging te bewerkstelligen.

  • Daarbij worden de volgende afwegingen gemaakt:

    • Kan worden volstaan met het verstrekken van (kwaliteits)informatie over de zorgverlener? (bijvoorbeeld als het doel van de machtiging is te bewerkstelligen dat ongecontracteerde aanbieders aan dezelfde kwaliteitseisen voldoen als gecontracteerde zorgaanbieders).

    • Zijn de vermoedelijke diagnose en een schatting van de kosten voldoende?

    • Is een volledig behandelplan nodig of kan worden volstaan met enkele specifieke gegevens uit het behandelplan?

    • Is een volledig dossier (uit bijvoorbeeld de eerste lijn) nodig of kan worden volstaan met enkele specifieke persoonsgegevens?

    • Zijn persoonsgegevens uit (toekomstige) evaluaties van de behandeling nodig?

  • De zorgverzekeraar onderbouwt waarom de persoonsgegevens die worden gevraagd voor een machtiging noodzakelijk zijn voor dat doel.

    • In beginsel kan de onderbouwing waarom de persoonsgegevens die worden gevraagd noodzakelijk zijn voor het doel van de machtiging op hoofdlijnen worden opgesteld per zorgsoort, geneesmiddel en/of hulpmiddel waarvoor het machtigingsvereiste geldt.

    • Bij de onderbouwing van de noodzaak wordt in elk geval ingegaan op het specifieke doel van het stellen van een machtigingsvereiste in het betreffende geval (bijvoorbeeld vaststellen dat sprake is van verzekerde zorg, vaststellen dat de zorg het meest is aangewezen voor de specifieke verzekerde of waarborgen dat de betreffende zorgaanbieder aan bepaalde kwaliteitseisen voldoet).

    • De onderbouwing van de noodzaak zal uitgebreider en zorgvuldiger zijn naarmate het gaat om (meer) detailgegevens.

    • Nadere onderbouwing vindt plaats indien er in het individuele geval wordt afgeweken van de hierboven genoemde onderbouwing op hoofdlijnen per zorgsoort, geneesmiddel en/of hulpmiddel waarvoor het machtigingsvereiste geldt.

    • Deze onderbouwing zal waar nodig (nader) zijn toespitst op individuele omstandigheden van het geval indien betrokkene daarom vraagt.

  • Zorgverzekeraars vragen aan een verzekerde met een privacyverklaring GGZ 20ook ten behoeve van een machtiging géén tot de diagnose herleidbare gegevens.

Dit vloeit voort uit een uitspraak van het College van Beroep voor het bedrijfsleven (CBb).2122 Het CBb heeft in deze uitspraak het belang van een goede taakvervulling van de zorgverzekeraars (zorginkoop en controle van geleverde prestaties) afgewogen tegen het privacybelang van individuele GGZ patiënten.

Deze uitspraak ziet weliswaar op het verwerken van diagnosegegevens ten behoeve van de declaratieafwikkeling en niet ten behoeve van een machtiging, maar de afwegingen die het CBb hierin maakt werken wel door in de wijze waarop het noodzakelijkheidsvereiste van artikel 8 en artikel 23 van de Wbp moet worden toegepast bij de verwerking van persoonsgegevens voor een machtiging bij verzekerden met een privacyverklaring GGZ.23

Het noodzakelijkheidsvereiste van de artikelen 8 en 21 van de Wbp, in samenhang bezien met de uitspraak van het CBb, noopt er daarom toe dat bij aanwezigheid van een privacyverklaring GGZ óók in het kader van een machtigingsaanvraag géén diagnosegegevens worden verwerkt.24

4. Doorbreken geheimhoudingsplicht zorgaanbieder

Indien een machtigingsverzoek wordt gedaan door de verzekerde kan deze de daarvoor noodzakelijke persoonsgegevens opvragen bij zijn zorgaanbieder(s). In dat geval is er uiteraard geen sprake van een doorbreking van de geheimhoudingsplicht van de zorgverlener.

In de praktijk worden er ten behoeve van een machtiging ook zonder tussenkomst van de verzekerde door zorgverleners persoonsgegevens over de verzekerde aan zorgverzekeraars verstrekt. In dat geval is er een grond voor de doorbreking van de geheimhoudingsplicht van de betreffende zorgverlener nodig.

De Zvw en de Wmg voorzien niet in een nadere uitwerking van de gevallen en de aard en omvang van de persoonsgegevens die moeten worden verstrekt voor een machtiging (zoals bijvoorbeeld in hoofdstuk 7 van de Rzv is gedaan voor de verwerking van persoonsgegevens in het kader van formele en materiële controle). Er is dan ook geen wettelijk voorschrift dat kan dienen als grond voor de doorbreking van de geheimhoudingsplicht ten behoeve van het machtigingsvereiste.25

In de situatie waarin door de zorgverlener aan de zorgverzekeraar in het kader van het machtigingsvereiste persoonsgegevens worden verstrekt, is dan ook toestemming van de verzekerde aan de zorgverlener nodig voor de doorbreking van de geheimhoudingsplicht.

  1. Hiermee wordt bedoeld de vrijwillige ziektekostenverzekering ex artikel 1, onder b, van de Regeling persoonsgegevens vrijwillige ziektekostenverzekeringen Wmg. ^ [1]
  2. Waar in deze beleidsregels wordt gesproken over de zorgpolis wordt mede bedoeld de vrijwillige ziektekostenverzekering ex artikel 1, onder b, van de Regeling persoonsgegevens vrijwillige ziektekostenverzekeringen Wmg. ^ [2]
  3. De Wmg ziet mede op de aanvullende ziektekostenverzekering. ^ [3]
  4. De NZa heeft in 2012 wel kaders gesteld voor het borgen van medische deskundigheid bij de afhandeling van machtigingsverzoeken, het informeren van verzekerden bij (met name de afwijzing van) machtigingsverzoeken en de doorlooptijden van machtigingsprocedures, NZa Thematisch onderzoek Zorgplicht – verkrijgen en vergoeden van zorg 2012. Dit rapport ging niet in op het juridisch kader dat geldt voor de vraag of en zo ja welke persoonsgegevens mogen worden verwerkt ten behoeve van een machtiging. ^ [4]
  5. Kamerstukken II, 2003–04, 29 763, nr. 3, p. 110. ^ [5]
  6. Kamerstukken II, 2003–04, 29 763, nr. 26, p. 11. ^ [6]
  7. Kamerstukken II, 2003–04, 29 763, nr. 7, p. 42 en p. 56. ^ [7]
  8. Nota van toelichting op het Besluit zorgverzekering, Stb. 2005, 389, p. 18–19. ^ [8]
  9. Nota van toelichting op het Besluit zorgverzekering, Stb. 2005, 389, p. 35. ^ [9]
  10. Overigens geldt voor elke gegevensverwerking dat deze noodzakelijk moeten zijn voor het doel waarvoor de gegevens worden verwerkt. Evenzo vergt de Wbp van elke verantwoordelijke dat hij of zij transparant is over (de noodzaak van) de gegevens die over betrokkene(n) worden verwerkt. ^ [10]
  11. De Zvw geeft aan op welke medisch noodzakelijke zorg iemand recht heeft. Zorgverzekeraars werken de nadere voorwaarden vervolgens uit in hun verzekeringspolis van de basisverzekering. De zorg moet onder meer voldoen aan de stand van de wetenschap en praktijk, doelmatig zijn en de verzekerde moet redelijkerwijs op de zorg aangewezen zijn. ^ [11]
  12. Kamerstukken II, 2003/04, 29 763, nr. 4, p. 35. Kamerstukken II, 2003/04, 29 763, nr. 7, p. 100. ^ [12]
  13. Kamerstukken II, 2003/04, 29 763, nr. 7, p. 111. ^ [13]
  14. Daartoe kunnen zij formele controles (onderzoek waarbij de zorgverzekeraar nagaat of het tarief dat door een zorgaanbieder voor een prestatie in rekening is gebracht (...) een prestatie betreft, welke behoort tot het verzekerde pakket van die persoon) en materiële controles doen (het onderzoek waarbij de zorgverzekeraar nagaat of de door de zorgaanbieder in rekening gebrachte prestatie is geleverd en of die geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde. ^ [14]
  15. Belangrijk verschil is dat als na materiële controle de declaratie niet rechtmatig blijkt te zijn dit voor risico van de zorgaanbieder komt terwijl het bij machtigingen gaat om situaties waarin het risico van niet-betaling voor de verzekerde wordt weggenomen. ^ [15]
  16. Deze wettelijke regeling voorziet tevens in het vereiste wettelijk voorschrift tot doorbreking van de geheimhoudingsplicht van de behandelaar. Zie ook paragraaf 4. ^ [16]
  17. ‘De Rvz geeft tezamen met de prestatiebeschrijvingen invulling aan de uitwerking van het noodzakelijkheidcriterium. Voorts schept de Rvz helderheid over de doelen die met de verstrekking van persoonsgegevens worden gediend (artikel 7.1)’. Toelichting op de Rvz, Stcrt. 2005, 249.Op grond van artikel 5 van de Regeling persoonsgegevens vrijwillige ziektekostenverzekeringen Wmg zijn de artikelen 7.4 en 7.5 tot en met 7.10 van de Rzv van overeenkomstige toepassing op de uitvoering van formele en materiële controle (…) in het kader van de vrijwillige ziektekostenverzekering. ^ [17]
  18. Toelichting op de Rzz, Stcrt. 2005, 249. Zie ook de brief van de Minister van VWS van 8 maart 2016, Kamerstukken II, 33 980, nr. 10. ^ [18]
  19. Kamerstukken II, 2003/04, 29 763, nr. 7, p. 111. ^ [19]
  20. Een privacyverklaring zoals opgenomen in de Regeling gespecialiseerde geestelijke gezondheidszorg van de NZa, NR/CU 565. ^ [20]
  21. Het CBb oordeelde dat gelet op de zwaarwegende belangen van GGZ patiënten in de declaratieregels van de Nederlandse Zorgautoriteit (NZa) ten minste in de mogelijkheid zou moeten zijn voorzien om in bepaalde gevallen van de verplichting tot het vermelden van diagnose informatie op declaraties aan zorgverzekeraar af te kunnen wijken, CBb 8 maart 2012, JB 2012, 135, ro 5.41. ^ [21]
  22. De NZa heeft naar aanleiding van deze uitspraak de Regeling gespecialiseerde geestelijke gezondheidszorg opgesteld, NR/CU 565. Hierin is geregeld dat er ten behoeve van de declaratie van GGZ zorg geen tot de diagnose herleidbare gegevens te worden verstrekt indien patiënt en de zorgaanbieder gezamenlijk een privacyverklaring hebben ondertekend. ^ [22]
  23. Het CBb heeft hierbij het belang van een goede taakvervulling van de zorgverzekeraars (zorginkoop en controle van geleverde prestaties) afgewogen tegen het privacybelang van individuele GGZ patiënten. Het CBb oordeelde dat het in de gespecialiseerde GGZ gaat om diagnoses die de kern van het privéleven van de betrokken persoon raken zodat informatie hierover zeer privacygevoelig is. En dat (...) vertrouwelijkheid en geheimhouding bij de behandeling van psychische klachten van groot belang zijn, CBb 8 maart 2012, JB 2012, 135, ro 2.4.4.3.De afweging die het CBB maakte tussen het belang van een goede taakvervulling van zorgverzekeraars en het privacybelang van individuele GGZ patiënten werkt door in de wijze waarop het noodzakelijkheidsvereiste van artikel 8 en artikel 23 van de Wbp moet worden toegepast. Ook hier moet deze afweging immers worden gemaakt. Het effect van deze uitspraak zou bovendien teniet worden gedaan als zorgverzekeraars door middel van een machtiging voorafgaand aan de behandeling alsnog diagnosegegeven van verzekerden opvragen. ^ [23]
  24. Overigens is het wel mogelijk om – met inachtneming van de artikelen 7.2, derde lid, en 7.5 tot en met 7.9 van de Rzv – óók in gevallen waarin er sprake is van een privacyverklaring GGZ materiële controles uit te voeren.Het enkele feit dat er sprake is van privacyverklaringen GGZ is op zichzelf echter géén rechtvaardiging om materiële controles uit te voeren. ^ [24]
  25. Zie onder andere het advies van het CBP over de wijziging Regeling zorgverzekering van 9 februari 2010 en de brief van het CBP over de Jeugdwet van 16 maart 2015. ^ [25]