College bescherming persoonsgegevens onthoudt goedkeuring aan protocol materiële controle

Iedere vorm van gebruik van persoonsgegevens (gegevens betreffende een identificeerbare persoon) moet voldoen aan de eisen die de Wet bescherming persoonsgegevens (Wbp) stelt. Organisaties die gebruik maken van persoonsgegevens (die deze gegevens ‘verwerken’) kunnen een gedragscode opstellen waarin ze uitwerken hoe ze dit doen. Deze gedragscode kunnen ze ter goedkeuring voorleggen aan het College bescherming persoonsgegevens (Cbp, artikel 25 Wbp).

 Zorgverzekeraars maken veelvuldig gebruik van persoonsgegevens. Niet alleen om te administreren wie bij hen verzekerd zijn en bij wie ze hun verzekeringspremies moeten innen, maar bijvoorbeeld ook voor het uitbetalen van declaraties en bij het uitvoeren van een materiële controle (controle naar de rechtmatigheid en doelmatigheid van de verleende zorg).

 Zorgverzekeraars Nederland (ZN) heeft in 2011 de “Gedragscode verwerking Persoonsgegevens Zorgverzekeraars en het bijbehorende Protocol Materiële Controle” aan het Cbp voorgelegd die het vervolgens op 13 december 2011 heeft goedgekeurd (Stcrt. 2012, 401). Tegen dit goedkeuringsbesluit heeft Stichting Koepel van DBC-vrije Praktijken van Psychotherapeuten en Psychiaters beroep ingesteld bij de rechtbank Amsterdam die het goedkeuringsbesluit op 13 november 2013 (ECLI:NL:RBAMS:2013:7480) heeft vernietigd.

 Oordeel rechtbank

Volgens de rechtbank had het Cbp de gedragscode en het protocol niet goed moeten keuren, omdat daarin geen uitzonderingsbepalingen zijn opgenomen voor de verwerking van gegevens over de behandeling van psychische klachten. Het College van beroep voor het bedrijfsleven (CBb) heeft op 10 augustus 2010 (ECLI:NL:CBB:2010:BN3056) echter al geoordeeld dat informatie over met name diagnoses van psychische aandoeningen de kern van het privéleven van een persoon raken en daardoor zeer privacygevoelige informatie bevatten waardoor de verwerking van deze gegevens met extra waarborgen moet worden omkleed. Dit oordeel heeft het College voor beroep in een uitspraak van 8 maart 2012 herhaald (ECLI:NL:CBB:2012:BV8297). Daarnaast is volgens de rechtbank het individuele belang dat gemoeid is met eerbiediging van het privéleven als grondrecht verankerd in artikel 8 van het Europees Verdrag ter bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). Dit alles brengt mee dat de gedragscode en het protocol bijzondere bepalingen moeten bevatten voor de verwerking van informatie over de diagnose en behandeling bij psychische aandoeningen.

 Het Cbp had hiertegen aangevoerd dat de plicht diagnose-informatie aan zorgverzekeraars te overleggen al uit de Regeling zorgverzekering zou volgen. De gedragscode zou met andere woorden slechts herhalen waartoe een zorgaanbieder op grond van deze Regeling al verplicht zou zijn. Volgens de rechtbank is dit standpunt onjuist. De Regeling verplicht hier niet toe. Dit betekent dat de vraag of in een specifiek geval diagnose- en/of behandelinformatie overgelegd zou moeten worden, gebaseerd moet worden op een belangenafweging. Bij deze belangenafweging geldt informatie over de behandeling van psychische klachten als gezegd als zeer privacygevoelige informatie waardoor het belang dat gediend wordt met overlegging van deze gegevens zeer zwaarwegend moeten zijn om de inbreuk te kunnen rechtvaardigen.

 De gedragscode had volgens de rechtbank ook afgekeurd moeten worden, omdat dat deze het mogelijk maakt dat persoonsgegevens die met een bepaald doel verzameld zijn in strijd met de Wbp voor compleet andere doeleinden worden gebruikt. Hoewel de  gedragscode bepaalt dat dit alleen mogelijk is als dit “dringend noodzakelijk” is, schrijft de code niet voor wie beslist is of daarvan sprake is. Hierdoor worden de persoonsgegevens onvoldoende beschermd. Tot slot staat de gedragscode toe dat personeel van zorgverzekeraars dat niet gebonden is aan het medisch beroepsgeheim diagnose-informatie verwerkt die betrekking heeft op de behandeling van psychische klachten. Dit doet volgens de rechtbank onvoldoende recht aan het (privacy)belang van de patiënten.

 Nieuw besluit Cbp

De rechtbank heeft het Cbp opgedragen binnen 6 weken na de uitspraak een nieuwe beslissing op het goedkeuringsverzoek van ZN te nemen. Het CBp heeft het goedkeuringsverzoek van ZN daarom op 19 december 2013 alsnog afgewezen. Reden hiervoor is dat de gedragscode en het protocol geen juiste uitwerking vormen van de Wbp, de uitvoeringsregelingen van de Wbp zoals de voor zorgverzekeraars relevante ‘Regeling zorgverzekering’ en alle overige wettelijke bepalingen die regels stellen aan de verwerking van persoonsgegevens (Kamerstukken II 1997/98, 25 892, nr.3, p. 129).

 Gevolgen voor zorgaanbieders

Hoewel de gedragscode en het protocol op dit moment niet zijn goedgekeurd betekent dit niet dat zorgverzekeraars geen rechtmatige materiële controles kunnen uitvoeren. Voor de rechtvaardiging van de manier waarop zij de controle uitvoeren kunnen zij echter niet meer volstaan met een verwijzing naar de gedragscode en het protocol. Hun handelwijze zal direct aan de wet- en regelgeving getoetst moeten worden. Zeker bij de uitvoering van materiële controles bij GGZ-instellingen moeten de overwegingen van de rechtbank Amsterdam hierbij betrokken worden. Dit houdt concreet onder meer in dat diagnose- en behandelinformatie van behandelingen binnen de geestelijke gezondheidszorg niet per definitie ter inzage aan zorgverzekeraars behoort te worden gegeven. Zeker niet als de informatie vervolgens ingezien kan worden door personeel van een zorgverzekeraar dat niet aan het medisch beroepsgeheim is gebonden.

 Vervolg

ZN heeft inmiddels tegen de uitspraak van de rechtbank van 13 november 2013 hoger beroep ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State.