Autoriteit Persoonsgegevens vergaloppeert zich door ontkenning afhankelijkheidsrelatie
Op 19 december 2016 publiceerde de Autoriteit Persoonsgegevens(AP) de Beleidsregels Machtigingsvereiste. Op 16 december verschenen deze regels in de Staatscourant. De AP heeft in afstemming met de Nederlandse Zorgautoriteit (Nza) beleidsregels opgesteld waarin wordt vastgesteld dat zorgverzekeraars in beginsel medisch gegevens, zijnde bijzondere persoonsgegevens, mogen verwerken voor het zogenoemde machtingsvereiste. Dit houdt in dat een verzekerde in bepaalde gevallen vooraf toestemming van de zorgverzekeraar moet hebben voor de vergoeding van bepaalde behandelingen, geneesmiddelen, hulpmiddelen of zorgaanbieders EN medische gegevens dient te verschaffen om die toestemming te verkrijgen . Bij het vaststellen van de beleidsregels is er eigenlijk automatisch vanuit gegaan dat zorgverzekeraars recht hebben op het opvragen van medische gegevens in deze gevallen. De afgelopen jaren bleek eén ander niet correct geregeld te zijn in de Zorgverzekeringswet(Zvw) die in 2006 in werking trad. In die wet wordt de machtingsvereiste wel genoemd maar niet goed uitgewerkt. Het gemak waarmee de AP, in afstemming met de NZa, de zorgverzekeraars nu faciliteert bij het mogen opvragen van medische gegevens voorafgaand aan een behandeling is weer een aantasting van de rechten van de patiënt. De vrijwilligheid van het verstrekken van de gegevens is volledig illusoir omdat de patiënt zich in een volledige afhankelijkheidsrelatie met de zorgverzekeraar bevindt.
Verkeerde conclusie
De AP stelt zelf eerst dat de machtingsvereiste op zich niet gedefinieerd is in de Zorgverzekeringswet(Zvw) of in de Wet marktordening gezondheidszorg(Wmg). Met aanhalen van een Nota van toelichting van de minister van VWS en enkele stukken uit de parlementaire behandeling komt de AP vervolgens tot de conclusie dat uit de parlementaire geschiedenis van de Zvw blijkt dat het hanteren van het machtigingsvereiste deel uitmaakt van de zorgovereenkomst die de zorgverzekeraar en verzekerde overeenkomen. Weinig, en naar ik denk geen zorgverzekerde, zal zich dit bij het aangaan van een zorgverzekering realiseren, laat staan daarover voorgelicht zijn. Uitgaande van het principe dat slechts een wet bepalend is en de rest subjectieve interpretatie had het kwartje de andere kant op moeten vallen.
Medisch adviseur
Nergens in de opgestelde beleidsregels staat wie bij de zorgverzekeraar bepaalt welke medische gegevens en in welke omvang opgevraagd gaan worden. Wel spreekt de AP uitdrukkelijk over de proportionaliteit en subsidiariteit bij het opvragen van de gegevens. Dat betekent ten eerste dat het de doel, de aard en omvang van de persoonsgegevens die voor de machtiging worden verwerkt met elkaar in verhouding zijn en ten tweede dat er geen minder ingrijpende verwerking van persoonsgegevens voor dat doel mogelijk is. Ook staat niet in de regeling dat deze gegevens uitsluitend onder de ogen zouden mogen komen van de medisch adviseur van de zorgverzekeraar.
Piep-systeem
In de beleidsregels is een uitzondering gemaakt. Op pagina 8 schrijft de AP dat zorgverzekeraars geen tot de diagnose herleidbare gegevens ten behoeve van een machtiging mogen vragen aan een verzekerde met een privacyverklaring GGZ. Dat vloeit voort uit de uitspraak van de Centrale raad van Beroep van het bedrijfsleven in een zaak die ging over het vermelden van (DBC)-diagnosecodes op facturen van zorgaanbieders. Blijkbaar is het zo dat als je elders in het rechtssysteem “gepiept” hebt, het machtigingsvereiste niet speelt.
Omvang
Bij dit alles vergeet de AP volledig dat de omvang van de zorgitems waarvoor medische gegevens bij het aanvragen van een machtiging volledig in handen is van de zorgverzekeraar. Door steeds meer zorg onder beperkende voorwaarden te contracteren kunnen zij het aantal gevallen waarbij medische gegevens voorafgaand aan een behandeling verstrekt moeten worden laten uitdijen. De patiënt zit daarbij in een situatie waarbij deze de gegevens niet vrijwillig verstrekt maar in volledige afhankelijkheid van de zorgverzekeraar. Niet aanleveren betekent het niet positief beslissen op een machtigingsaanvraag.
Zeer inconsequent
De AP blijkt in dit dossier deze afhankelijkheidsrelatie die evident aanwezig is niet te willen zien. En dat terwijl de AP wat betreft de jeugdzorg precies het tegenovergestelde schreef in het Advies Privacytoets Jeugdzorgdomein.
“Toestemming geldt alleen als rechtsgeldige grondslag voor de verwerking van persoonsgegevens als deze vrijwillig kan worden gegeven. Dit punt heeft het CBP ook in dit kader eerder onder de aandacht gebracht. Evenals in de sfeer van arbeid en sociale zekerheid kan in het sociaal domein worden gesproken van een afhankelijkheidsrelatie, in deze context tussen betrokkene en de gemeente. Toestemming voor verwerking van persoonsgegevens kan in een afhankelijkheidsrelatie niet vrij worden gegeven en derhalve niet de grondslag zijn voor verwerking van persoonsgegevens. Ook als de gemeente bij de uitvoering van publiekrechtelijke taken nadrukkelijk zou aangeven dat het weigeren van toestemming voor de gegevensverwerking geen gevolgen zal hebben voor het in aanmerking komen voor een door betrokkene gewenste voorziening, neemt dat de afhankelijkheid van de burger ten opzichte van de gemeente niet voldoende weg. In deze context zijn de randvoorwaarden voor het verkrijgen van een vrije en daardoor rechtsgeldige toestemming voor de verwerking van persoonsgegevens niet aanwezig”.
Als bij lezing van deze tekst het woord “burger” vervangen wordt door “patiënt” en het woord “gemeente” door “zorgverzekeraar” dan is meteen duidelijk hoe vreemd en schadelijk het standpunt van de AP is met de Beleidsregels Machtigingsvereiste.
De AP vergaloppeert zich op een enorme wijze.
W.J. Jongejan
Heb je Aleid Wolfsen om commentaar op dit ( verontrustende) artikel gevraagd?
Dat is nog niet gedaan.
Inderdaad Wim, weer een stukje van de privacy van de burger verdwenen. De erosie van het beroepsgeheim en de privacy van de patiënt gaat onverminderd door, zelfs gelegitimeerd door de AP. Je vraagt je af waar toch de term “Autoriteit” op doelt. In ieder geval niet op kennis en kunde, waar een autoriteit normaal zijn gezag aan ontleent.
Onthutsend.