Op 21 september jl. heeft de Nederlandse Zorgautoriteit (NZa) het rapport ‘Zorgverzekeraars, controles en privacyvoorschriften’ gepubliceerd. In navolging van mijn toezegging1 hierover treft u dit rapport bijgaand aan.

Aanleiding van het onderzoek van de NZa zijn 14 signalen, afkomstig van verzekerden en zorgaanbieders, inhoudend dat de privacyregeling GGZ door zorgverzekeraars niet altijd goed zou worden nageleefd. Het onderzoekrapport van de NZa spitst zich dan ook enerzijds toe op de uitvoering door zorgverzekeraars van de privacyregeling GGZ2. Anderzijds richt het zich meer in het algemeen op de wijze waarop zorgverzekeraars de omgang met persoonsgegevens binnen hun organisatie hebben geborgd bij de controles die zij op grond van de Zorgverzekeringswet en de Regeling zorgverzekering moeten uitvoeren.

Onderzoeksbevindingen NZa

Privacyregeling GGZ; Uit het onderzoek van de NZa blijkt dat zorgverzekeraars de privacyregeling GGZ in zijn algemeenheid goed naleven. Wel heeft de NZa bij één verzekeraar een overtreding vastgesteld die inmiddels is hersteld. De betreffende zorgverzekeraar vroeg diagnosegegevens op terwijl dat op grond van de privacyregeling niet was toegestaan.

Privacybeleid; Alle zorgverzekeraars besteden beleidsmatig aandacht aan privacy. Het onderzoek laat zien dat waar het privacybeleid van de verzekeraar samenhangend is beschreven in één afzonderlijk en openbaar document, het eenvoudiger is om duidelijkheid te geven over de naleving van de privacyregels. De NZa beveelt derhalve aan dat het privacybeleid door de zorgverzekeraar centraal en kenbaar wordt vastgelegd. Een reguliere periodieke evaluatie en monitoring moeten onderdeel zijn van dat beleid. Dit wordt door een groot deel van de verzekeraars al gedaan, een klein deel kan op dit punt nog verbeteringen doorvoeren. 

Organisatie van en communicatie over controles; De NZa vermoedt dat het voor zorgaanbieders lastig voorspelbaar is welke controles zij van de verschillende verzekeraars kunnen verwachten, waardoor hierbij terughoudendheid kan ontstaan.... De NZa heeft verzekeraars erop aangesproken om meer duidelijkheid te bieden over de vorm van controle (formeel, materieel of fraudeonderzoek) die wordt toegepast richting de zorgaanbieder. Bij vier verzekeraars werd dit niet altijd voldoende duidelijk gemaakt.

Het opvragen van medische persoonsgegevens gebeurt bij elke verzekeraar altijd onder verantwoordelijkheid van de medisch adviseur. De meerderheid van de zorgverzekeraars biedt in haar communicatie ook voldoende duidelijkheid over de positie van de medisch adviseur bij de uitvoering van controles. Voor een aantal verzekeraars geldt dat zij de positie van de medisch adviseur nog kunnen verhelderen richting zorgaanbieders, wat de zorgaanbieders meer vertrouwen kan geven. Zo worden bij twee verzekeraars informatieverzoeken niet door de medisch adviseur zelf ondertekend. De NZa geeft aan dat een directe ondertekening zorgaanbieders meer duidelijkheid biedt. De medisch adviseur is - op één verzekeraar na - altijd aanwezig bij de uitvoering van detailcontroles op locatie bij de zorgaanbieder. Maar ook in dat geval is en blijft de medisch adviseur verantwoordelijk voor het gebruik en het beschermen van medische persoonsgegevens in het kader van de detailcontrole.

...Specifiek ten aanzien van de communicatie richting zorgaanbieders, met name over de rol van de medisch adviseur, wil ik zorgverzekeraars nog op het volgende wijzen. Borg als zorgverzekeraar niet alleen de veiligheid van medische gegevens (zoals blijkens het rapport op orde is), maar laat dat ook expliciet zien. Hiermee kunnen eventuele zorgen over de veiligheid van de medische gegevens die kunnen worden opgevraagd bij detailcontrole bij zorgaanbieders weg worden genomen. Maak daarnaast duidelijk welke rol en verantwoordelijkheid de medisch adviseur heeft, hoe hij bij de detailcontrole is betrokken, welke opgevraagde gegevens bij welke personen in de verzekeringsorganisatie belanden en dat deze gegevens niet langer worden bewaard dan strikt noodzakelijk. Dit zal de medewerking van de zorgaanbieder bij de detailcontrole ten goede komen

Alles bij de bron; RijksOverheid