Opvragen gezondheidsgegevens door zorgverzekeraar onrechtmatig

Op 12 mei 2021 heeft de Rechtbank Gelderland interessante uitspraak gedaan in een zaak die een zorgaanbieder was gestart tegen zorgverzekeraar Menzis. Menzis had bij de niet-gecontracteerde zorgaanbieder persoonsgegevens opgevraagd, waaronder gezondheidsgegevens van haar verzekerden aan wie de zorgaanbieder zorg (wijkverpleging) verleende, maar ook persoonsgegevens van de zorgverleners en de indicatiestellers. Bij het verzoek liet Menzis – kort gezegd – weten dat zij het uitbetalen van ingediende declaraties opschortte gedurende het onderzoek. De zorgaanbieder stelde dat het onderzoek van Menzis onrechtmatig was omdat Menzis zich niet aan de regels had gehouden die volgen uit de Regeling zorgverzekering (die hoort bij de Zorgverzekeringswet, ‘Rzv’) en de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars (‘de Gedragscode’) en het Protocol Materiële Controle van brancheorganisatie Zorgverzekeraars Nederland (‘het Protocol’). Daarom bestond er geen grondslag om al deze gegevens op te vragen. De zorgaanbieder meende dat zij niet aan het onderzoek van Menzis kon meewerken en de betreffende gegevens niet kon verstrekken. Ook stelde de zorgaanbieder dat Menzis onrechtmatig had gehandeld door de betalingen op te schorten en zo druk uit te oefenen om (toch) mee te werken.

Om welke gegevens ging het?

In dit geval heeft Menzis verzocht om de volgende gegevens:

1. Gegevens van de indicatiesteller:

• Voor- en achternaam;
• BIG-nummer;
• Kopie diploma;

2. Een overzicht waaruit blijkt welke medewerker(s) zorg heeft c.q. hebben verleend, met daarbij per medewerker:

• Voor- en achternaam;
• BIG-nummer;
• Kopie diploma;

3. De indicatie, inhoudende een weergave van welke zorg is geïndiceerd en de omvang van de geïndiceerde zorg;
4. Een overzicht van de data en tijdstippen waarop welke medewerker welke zorg heeft verleend.

Vaststaat dat het hier gaat om persoonsgegevens in de zin van de AVG en dat het gaat om zowel (medische) persoonsgegevens van de verzekerden, als persoonsgegevens van de indicatiestellers en de zorgverleners. De verwerking van persoonsgegevens is gebonden aan de regels die zijn opgenomen in de AVG en de UAVG. Daarbij ziet artikel 6 AVG op ‘gewone’ persoonsgegevens en artikel 9 AVG op ‘bijzondere’ persoonsgegevens, waaronder gegevens over de gezondheid. Artikel 9 lid 2 AVG jo. 30 lid 3 UAVG maakt – onder voorwaarden – voor onder meer zorgverzekeraars een uitzondering op het uit artikel 9 lid 1 AVG volgende verbod op verwerking van gezondheidsgegevens: een zorgverzekeraar mag ingevolge artikel 30 lid 3 UAVG gezondheidsgegevens verwerken indien dit noodzakelijk is voor de uitvoering van de verzekering.

Persoonsgegevens over de gezondheid van de verzekerden

Juridisch kader

De rechtbank overwoog dat het voor Menzis noodzakelijk kan zijn om gezondheidsgegevens te verwerken, in het kader van de uitvoering van haar wettelijke taak tot het controleren van de rechtmatigheid en doelmatigheid van de door zorgaanbieders in rekening gebrachte prestaties. Zo kan voor Menzis de uitzondering van artikel 30 lid 3 UAVG van toepassing kan zijn.

Dit betekent echter niet dat de zorgaanbieder ook zonder meer gehouden is om gegevens over de gezondheid van verzekerden aan Menzis te verstrekken. Voor de beantwoording van de vraag of dat wél het geval is, citeerde de rechtbank uit de memorie van toelichting bij de UAVG. Daarin is over de verhouding tussen artikel 30 UAVG en het medisch beroepsgeheim opgemerkt dat het verstrekken van gezondheidsgegevens éérst moet worden getoetst aan het medisch beroepsgeheim. Pas als verstrekking niet in strijd is met het medisch beroepsgeheim, kan worden getoetst of de uitzondering van artikel 30 lid 3 UAVG van toepassing is. De rechtbank overwoog dat beoordeeld moet worden of wet- en regelgeving de zorgaanbieder verplichtte om het beroepsgeheim te doorbreken (als één van de uitzonderingsgronden van het medisch beroepsgeheim op grond van artikel 7:457 BW).

Artikel 87 Zvw bevat de waarborgen voor de privacy van verzekerden bij gegevensuitwisseling tussen de zorgaanbieder en de zorgverzekeraar. Op grond van dit artikel kan het beroepsgeheim worden doorbroken. Artikel 87 Zvw maakt echter onderscheid tussen ‘gecontracteerde’ en ‘niet-gecontracteerde’ zorgaanbieders. Artikel 87 lid 1 Zvw bepaalt dat de gecontracteerde zorgaanbieder de persoonsgegevens van de verzekerde rechtstreeks aan de zorgverzekeraar moet verstrekken. Dit betreft dus een (wettelijk geregelde) doorbreking van het medisch beroepsgeheim. Artikel 87 lid 2 bepaalt evenwel dat een niet-gecontracteerde zorgaanbieder (zoals de zorgaanbieder in deze zaak) de persoonsgegevens desgevraagd aan de verzekerde moet verstrekken, zodat de verzekerde de gegevens aan zijn zorgverzekeraar kan verstrekken. Slechts bij expliciete toestemming van de verzekerde kunnen de persoonsgegevens van de verzekerde rechtstreeks door de zorgaanbieder aan de zorgverzekeraar worden verstrekt.

Standpunt Menzis en oordeel rechtbank

Menzis stelde dat de wettelijke grondslag voor de gegevensuitwisseling moest worden gevonden in artikel 7.3 lid 2 Rzv. In dat artikellid staat dat de zorgaanbieder verplicht is om desgevraagd de ‘overige gegevens die noodzakelijk zijn voor het verrichten van materiële controle dan wel fraudeonderzoek’ te verstrekken aan de zorgverzekeraar (artikel 7.2 sub i Rzv). De grondslag voor deze bepalingen ligt in artikel 87 lid 6 Zvw.

Onder verwijzing naar de toelichting op de Rzv oordeelde de rechtbank dat de Rzv het in artikel 87 Zvw opgenomen verschil tussen een gecontracteerde en een niet-gecontracteerde zorgaanbieder in het verstrekken van persoonsgegevens van de verzekerde niet wegneemt. Artikel 87 lid 6 Zvw (of een andere bepaling uit die wet) geeft (dus) géén grondslag om bij ministeriele regeling, zoals de Rzv, alsnog te bepalen dat de persoonsgegevens van de verzekerde rechtstreeks aan de zorgverzekeraar moeten of mogen worden verstrekt, in plaats van via de verzekerde. Daarvoor is volgens de rechtbank een wijziging van artikel 87 Zvw noodzakelijk. Het wetsvoorstel dat deze wijziging moest regelen is in juli 2019 echter ingetrokken.

De rechtbank concludeerde dan ook dat een wettelijke grondslag voor doorbreking van het medisch beroepsgeheim voor een niet-gecontracteerde zorgaanbieder ontbrak (ontbreekt). Voor een niet-gecontracteerde zorgaanbieder geldt dus dat de zorgaanbieder de nodige persoonsgegevens van de verzekerde aan de verzekerde zelf dient te verstrekken, zodat de verzekerde deze gegevens aan de zorgverzekeraar kan verstrekken (artikel 87 lid 2 Zvw). Het medisch beroepsgeheim staat eraan in de weg dat de zorgaanbieder de persoonsgegevens over de gezondheid van de verzekerden zonder hun toestemming rechtstreeks aan Menzis mag verstrekken.

Menzis stelde ook dat de zorgaanbieder de toestemming van de verzekerde moet verkrijgen. Ook daarin ging rechtbank niet mee: de vergoeding van verleende ongecontracteerde zorg (en de controle daarvan) wordt geregeld in de relatie tussen Menzis en de verzekerde. De zorgaanbieder staat daar in zoverre buiten. Het is daarom aan Menzis om aan haar verzekerde toestemming te vragen om de persoonsgegevens van de verzekerde bij de zorgaanbieder op te vragen.

Persoonsgegevens van indicatiestellers en zorgverleners

Naast medische gegevens van verzekerden had Menzis ook de persoonsgegevens van de indicatiestellers en de zorgverleners opgevraagd. Daarbij ging het om de voor- en achternaam, het BIG-nummer en een kopie van het diploma. Het betrof hier dus geen gezondheidsgegevens. Dat betekent dat artikel 6 AVG van toepassing is. Verwerking van die gegevens is rechtmatig indien aan bepaalde voorwaarden wordt voldaan. In dit geval kan de verwerking rechtmatig zijn indien de indicatiesteller of zorgverlener toestemming heeft gegeven (artikel 6 lid 1 onder a AVG) of indien de verwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van Menzis (artikel 6 lid 1 onder f AVG).

De rechtbank oordeelde dat de zorgaanbieder – en niet de verzekerde – de aangewezen partij is om deze persoonsgegevens te verstrekken, omdat de zorgaanbieder – anders dan de verzekerde – over deze gegevens beschikt en precies weet welke (onder)zorgaanbieder zij heeft ingezet voor de wijkverpleging aan de verzekerden van Menzis. Daarbij dient wel de persoonlijke levenssfeer van de indicatiestellers en zorgverleners te worden beschermd. De verwerking moet noodzakelijk zijn voor het met de materiële controle gediende doel, het doel kan niet op een andere wijze worden bereikt (subsidiariteit) en het doel kan niet worden bereikt op een wijze die de privacy van de zorgverlener minder belast (proportionaliteit). Dit volgt uit de AVG, de Rzv en de Gedragscode, inclusief het Protocol.

De rechtbank oordeelde dat Menzis voldoende gronden had om een materiële controle te (mogen) starten. De documenten waarover Menzis al beschikte waren namelijk onvoldoende om de rechtmatigheid van de zorg te controleren en Menzis had signalen kregen dat een deel van de zorg werd verleend door zorgverleners met niveau 2 in plaats van het vereiste niveau 3. Ook was de rechtbank van mening dat Menzis de gegevens van alle zorgverleners en indicerende verpleegkundigen die de zorgaanbieder heeft ingeschakeld mocht controleren. De zorgaanbieder zette verschillende onderaannemers in, zodat een controle bij een steekproef van declaraties geen goed beeld kon geven. Verder overwoog de rechtbank dat Menzis terecht kopieën van de diploma’s vroeg, omdat het controleren van de (minder ingrijpende) AGB-codes en BIG-nummers onvoldoende duidelijkheid over het opleidingsniveau zouden verschaffen. Al met al kwam de rechtbank tot het oordeel dat het doel van de controle niet op een andere manier kan worden bereikt (subsidiariteit) en dat voor het bereiken van het controledoel niet een lichter middel kon worden ingezet (proportionaliteit), omdat inzage in de diploma’s noodzakelijk werd geacht. Menzis voerde de controle uit overeenkomstig de geldende regels, zodat de zorgaanbieder ingevolge artikel 7.4 lid 2 Rzv verplicht was om de opgevraagde persoonsgegevens van de indicatiestellers en zorgverleners aan Menzis te verstrekken.

Onrechtmatigheid

Tot slot oordeelde de rechtbank – kort gezegd – dat Menzis onrechtmatig had gehandeld ter zake van het verstrekken van (medische) persoonsgegevens van verzekerden, door van de zorgaanbieder méér gegevens te vragen dan waartoe de zorgaanbieder gehouden en bevoegd was en door aan de weigering van die gegevensverstrekking de consequentie te verbinden dat de declaratie zou worden afgewezen. De zorgaanbieder had (heeft) geen wettelijke grondslag om haar medisch beroepsgeheim te doorbreken en het was (is) aan Menzis zelf om voor toestemming van haar verzekerde(n) te zorgen. Menzis mocht wel gegevens van de zorgverleners en indicatiestellers opvragen. Wat dat betreft is dan ook niet onrechtmatig gehandeld. Verder oordeelde de rechtbank dat niet vaststond dat de zorgaanbieder schade had geleden als gevolg van het onrechtmatig handelen van Menzis. Daarom was er geen grond voor schadevergoeding. Al met al verklaarde de rechtbank voor recht dat Menzis onrechtmatig had gehandeld door te proberen de zorgaanbieder te bewegen om medische persoonsgegevens van haar verzekerden te verstrekken. De gevorderde schadevergoeding werd evenwel afgewezen.

Beschouwing

Deze uitvoerig gemotiveerde uitspraak van de rechtbank geeft goed weer dat zorgaanbieders er terecht scherp op dienen te zijn welke persoonsgegevens zij wel en niet mogen (of soms: moeten) uitwisselen met de zorgverzekeraar. Het onderscheid tussen ‘gewone gegevens’ en ‘gezondheidsgegevens’ is daarbij van groot belang. Dat geldt eveneens voor het onderscheid tussen ‘gecontracteerde’ en ‘niet-gecontracteerde’ aanbieders.