Zo zijn onze manieren: zorgverzekeraars delen medische info met derden
Op 9 december 2020 plaatste Caren Kunst op Twitter een serie tweets. Het betreft het inschakelen van derden door zorgverzekeraars voor controle op de indicatiestelling voor Persoonsgebonden Budgetten(PGB’s) in het kader van Zorgverzekeringswet(Zvw). Caren Kunst, zelfstandige in de zorg en verpleegkundige, doet indicatiestellingen voor PGB’s voor patiënten. Ze merkte dat patiënten naderhand bezocht worden door personen van bureaus(derden) die zorgverzekeraars inhuren voor genoemde controle. Daarbij vragen die personen naar persoons- en medische gegevens en checken die met de informatie die ze van de zorgverzekeraar krijgen. Dat houdt in dat deze laatsten de in hun bezit zijn medische informatie in de PGB-aanvraag blijkbaar delen met die derden. Je kunt namelijk allen maar controleren als derde als je de uitvraag bij de patiënt vergelijkt met de door de zorgverzekeraar aan die derde verstrekte medische informatie. Deze controle blijkt in het Reglement Zfw-PGB 2021 ook zo formeel vermeld te staan.
Controle
Medische beoordeling van door de zorgverzekeraar te betalen zorg valt onder de controle van de medisch adviseur van de zorgverzekeraar. Die functionaris gebonden aan het medisch beroepsgeheim. Daarnaast heeft hij een aantal medewerkers om zich heen die werkzaamheden in zijn/haar naam verrichten en die evenzeer gebonden zijn aan het medisch beroepsgeheim, het afgeleide medisch beroepsgeheim. Men spreekt dan ook van de “functionele eenheid” die voor het omgaan met de medische gegevens bij de zorgverzekeraar bestaat. Dit staat ook zo beschreven in de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars(versie oktober 2019). Deze is onder auspiciën van Zorgverzekeraars Nederland tot stand gekomen.
Fraudecontrole
Aangezien er in het verleden nogal eens malversaties zijn gepleegd met PGB’s is controle op zijn plaats. Het is echter maar helemaal de vraag of het doel van fraudebestrijding de gebruikte middelen altijd wel rechtvaardigt. Er bestaat al tot op detailniveau communicatie tussen de functionele eenheid en de BIG-geregistreerde, meestal verpleegkundige, indiceerder. Daarbij moeten we helaas constateren dat het kennis- en opleidingsniveau aan de kant van de zorgverzekeraar vaak veel lager is dan de indicerende persoon, die zoals gezegd een bepaald opleidingsniveau dient te hebben om überhaupt te mogen indiceren. Dat geeft nogal eens moeizame discussies. Men gaat thans wel erg ver door de controle op de indicering ook nog een keer over te doen bij de patiënt met inschakeling van derden die dan de indiceringsinformatie, dus medische informatie toebedeeld krijgen om die te gaan controleren.
Opname in reglement(1)
Meerdere zorgverzekeraars, zoals bijv. Zilveren Kruis , CZ en VGZ hebben in hun reglement Zvw PGB 2021 een artikel opgenomen waarin ze de controle door derden bij de patiënt opgenomen hebben. Men doet dat onder de noemer: “Bewuste keuze gesprek en/of huisbezoek”. Zilveren kruis stelt dat in hun reglement als volgt in artikel 8.11, blz 12 over verplichtingen:
“U bent verplicht om mee te werken aan een Bewuste Keuze Gesprek (BKG) of een huisbezoek (aangekondigd/onaangekondigd), als wij dat nodig vinden, bijvoorbeeld voor controle-doeleinden. U en uw eventuele (wettelijke) vertegenwoordiger moeten op ons verzoek hierbij aanwezig zijn. Wij kunnen een huisbezoek uitbesteden aan een derde partij. Deze derde partij selecteren wij zorgvuldig. Zij zijn namelijk namens ons gerechtigd uw persoonlijke en medische gegevens op te vragen, in te zien en te controleren. Dit doen zij heel zorgvuldig conform het door ons opgestelde privacy statement, welke u kan vinden op onze website.”
Opname in reglement(2)
Bij zorgverzekeraar CZ ook onder 8.11 en bij VGZ staat onder 8.10 woordelijk dezelfde tekst. Men verwijst naar het privacyreglement. Maar als je daar gaat kijken zie je niets over het delen van medische informatie met derden. Bij CZ zie je dan alleen iets over persoonsgegevens staan :
“Als CZ gebruik maakt van derde partijen bij de verwerking van persoonsgegevens dan controleert CZ dat die derde partij, afhankelijk van het soort persoonsgegevens, beschikt over voldoende beveiliging.”
Juridische kritiek
De methode die men probeert door te drukken komt direct als laakbaar over. Het advocatenkantoor Sent Advocatuur heeft er sinds 4 november 2020 een webpagina over: “Nieuwe bepalingen PGB ZVW-reglement in strijd met privacy?!” Het advies van Sent is dan ook aan betrokkenen:
“Wat nu als u geconfronteerd wordt met deze of een vergelijkbaar PGB-reglement? Bericht u dan direct (met verzoek van een ontvangstbevestiging) de privacy-officer van uw verzekeraar en vraag schriftelijke bevestiging dat deze regeling conform artikel 9 AVG is, en is voorgelegd aan de Autoriteit Persoonsgegevens. Meldt uw zaak ook zelf bij de Autoriteit Persoonsgegevens. Dat kan bijvoorbeeld telefonisch bij het Meldpunt Informatie en Meldpunt Privacy.”
Sent laat ook meteen weten dat zorgverzekeraars al eerder over de schreef gingen. De Autoriteit Persoonsgegevens tikte hen op de vingers bij het bij het opvragen van teveel informatie in het kader van een indicatiestelling.
Gedragscode onder vuur
Overigens is de genoemde Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars ook onderwerp van een langdurig juridisch dispuut. Er loopt een slepende kwestie vanaf 2011. Omdat de in de Gedragscode Zorgverzekeraars beschreven procedures en bedrijfsprocessen geen juiste uitwerking vormden van Wbp (Wet bescherming persoonsgegevens) en EVRM (Europees Verdrag voor de Rechten van de Mens) bestrijdt de Stichting KDVP het hanteren van dergelijke bedrijfsprocessen. Daarover wordt al lang geprocedeerd tegen de Autoriteit Persoonsgegevens. Gisteren ,op 9 december 2020, was er weer een vervolg bij de Rechtbank Amsterdam met een zitting onder zaaknummer AMS 16/5329 Beslu. Die ging over het uitblijven van aanpassing van procedures en bedrijfsprocessen voor de verwerking van medische persoonsgegevens bij zorgverzekeraars zoals die eerder zijn vastgelegd in de Gedragscode.
Te scherp aan de wind zeilen
Zorgverzekeraars zeilen al langere tijd zeer scherp aan de wind en gaan bij het verwerken bij persoonsgegevens dan te ver. Het verschaffen van indicatiegegevens met medische informatie aan derden om die indicatie bij de patiënt te willen controleren is daar een voorbeeld weer van. Het is overigens weer een voorbeeld van geïnstitutionaliseerd wantrouwen.
W.J. Jongejan, 11 december 2020
Afbeelding van Oberholster Venita
Ik vraag me af waarom zo’n controle nodig is.
Leken, ik neem aan dat dat die derden zijn, zijn geen artsen die een diagnose of functioneren goed kunnen beoordelen. Wanneer het gaat om te ferificieren wat gemeld is dan kan dat schriftelijk of per computer.
Zonder enige duidelijke noodzaak wordt de client geen enkele vrijheid geboden om geen medische informatie met onbekende derden te delen.
Hebben verzekeraars geen verzekeringsartsen in dienst?