3 maart 2016 – Minister Schippers (VWS) beantwoordt vragen van het Kamerlid De Lange (VVD) over het opvragen van de gegevens van een ggz-patiënt door een zorgverzekeraar.

1
Heeft u kennisgenomen van het artikel “Verzekeraar vroeg om diagnose ggz- patiënt” 1) van 8 februari jl. naar aanleiding van het verschenen nieuwsbericht op de site van de Autoriteit Persoonsgegevens (AP)? 2)

2
Wat is uw reactie op deze berichtgeving?

1 en 2
Ja, ik heb het gelezen. Ik ben blij dat de situatie inmiddels is opgelost.

3
Wat is de aanleiding geweest om het onderzoek van de AP te starten?

3
Zowel signalen van verzekerden als een handhavingsverzoek van de Stichting Koepel van DBC-vrije Praktijken van Psychotherapeuten en Psychiaters (KDVP) zijn aanleiding geweest om het onderzoek te starten.

4
Is het correct dat de desbetreffende zorgverzekeraar heeft gevraagd naar verwijsbrieven van verzekerden met een privacyverklaring? Is er ook gevraagd naar de behandelplannen en/of diagnoses van verzekerden met een privacyverklaring?

5
Om hoeveel mensen met een privacyverklaring waarvan de gegevens zijn opgevraagd gaat het?

6
Hoelang is de periode geweest dat de betreffende zorgverzekeraar de verwijsbrieven en/of behandelplannen en diagnoses van patiënten met een privacyverklaring heeft kunnen opvragen?

7
In welke mate heeft de desbetreffende zorgverzekeraar de verzekerden op de hoogte gebracht? Indien dit niet is gebeurd, gaat dit alsnog gebeuren?

4, 5, 6 en 7
Van de Autoriteit Persoonsgegevens heb ik desgevraagd het volgende vernomen. De betreffende zorgverzekeraar vroeg om verwijsbrieven inclusief diagnose- informatie, niet om behandelplannen. Het onderzoek van de Autoriteit Persoonsgegevens was erop gericht om deze overtreding zo snel mogelijk te beëindigen. Zij heeft niet onderzocht hoeveel verzekerden het betreft of hoe lang de situatie heeft geduurd. Wel staat vast dat de overtreding in 2015 plaatsvond en is beëindigd. Het is mij niet bekend of de zorgverzekeraar de betreffende verzekerden hierover heeft geïnformeerd of overweegt dit alsnog te doen.

8
Kunt u bevestigen dat uit het onderzoek van de AP is gebleken dat de andere verzekeringsmaatschappijen de regels niet hebben overtreden?

9
Hoe is het mogelijk dat de verwijsbrief en/of diagnoses en behandelplannen van ggz-patiënten met een privacyverklaring toch naar de desbetreffende zorgverzekeraar zijn gegaan?

8 en 9
De overige zorgverzekeraars hebben tegenover de Autoriteit Persoonsgegevens verklaard geen behandelplannen of diagnose-informatie uit verwijsbrieven van verzekerden met een privacyverklaring op te vragen in het kader van de formele controle. Hierover heeft de Autoriteit Persoonsgegevens ook geen signalen ontvangen. Het is duidelijk dat één zorgverzekeraar zich niet aan de regels heeft gehouden. Welke zorgverzekeraar het betreft of waarom deze zorgverzekeraar zo heeft gehandeld, is ook mij niet bekend.

10
Welke mogelijkheden zijn er om zorgverzekeraars sancties op te leggen?

11
Heeft de desbetreffende zorgverzekeraar sancties opgelegd gekregen? Zo nee, waarom niet?

10 en 11
De Autoriteit Persoonsgegevens heeft sinds 1 januari 2016 de bevoegdheid om boetes op te leggen. Ten tijde van de overtreding had de Autoriteit Persoonsgegevens alleen de mogelijkheid reparatoire sancties op te leggen, zoals een last onder dwangsom. Omdat de zorgverzekeraar de overtreding heeft beëindigd, is daarvan geen sprake geweest.

12
Hoe zal het toezicht eruit gaan zien wanneer de AP optreedt als er aanwijzingen zijn dat de wet wordt overtreden en de Nederlandse Zorgautoriteit (NZa) toezicht zal houden op de uitvoering van rechtmatigheidscontroles door zorgverzekeraars? Welke afspraken zijn hierover gemaakt?

13
In welke mate gaat de NZa de komende tijd toezicht houden op de uitvoering van rechtmatigheidscontroles door zorgverzekeraars?

14
Welke maatregelen zijn er genomen, zodat zorgverzekeraars zich in de toekomst zullen houden aan het geldende juridisch kader?

12, 13 en 14
De Nederlandse Zorgautoriteit (NZa) en de Autoriteit Persoonsgegevens hebben een convenant gesloten waarin samenwerkingsafspraken zijn vastgelegd. Er vindt regelmatig overleg plaats over onderwerpen die het toezichtdomein van beide toezichthouders raken. Over onderhavig onderzoek van de Autoriteit Persoonsgegevens heeft ook afstemming plaatsgevonden.

Het toezicht van de NZa richt zich onder meer op de mate waarin zorgverzekeraars controles uitvoeren en de manier waarop zij daarbij de privacywaarborgen in acht nemen. In een samenvattend rapport publiceert de NZa jaarlijks over de onderzoeksresultaten op dit terrein. De naleving van privacyvoorschriften door zorgverzekeraars komt daarnaast in 2016 aan de orde in een specifiek thematisch onderzoek, waarvan de resultaten dit voorjaar worden verwacht. Zodra de NZa het onderzoeksrapport publiceert, zal ik het met mijn reactie naar Uw Kamer sturen.

Of er vanuit de NZa maatregelen nodig zijn, zal uit voornoemd onderzoek blijken. Zorgverzekeraars zijn in geval op de hoogte van de geldende regels. De Autoriteit Persoonsgegevens heeft alle zorgverzekeraars hierop door middel van een brief gewezen. Zorgverzekeraars Nederland (ZN) heeft hiervan een afschrift ontvangen. In deze brief staat verder dat de Autoriteit Persoonsgegevens bij nieuwe signalen opnieuw tot onderzoek overgaat. Zij heeft het geldende juridisch kader bovendien via een persbericht en informatie op de website onder de aandacht gebracht van zorgverzekeraars, zorgaanbieders en verzekerden.

1) http://www.elsevier.nl/Nederland/nieuws/2016/2/Verzekeraar-vroeg-diagnose- ggz-patient-2758195W/
2) https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-opvragen-verwijsbrief- verzekerde-met-privacyverklaring-mag-niet

Bron: rijksoverheid.nl