| Ingediend | 13 december 2021 |
|---|---|
| Beantwoord | 25 januari 2022 (na 43 dagen) |
| Indieners | Lisa Westerveld (GL), Jeanet van der Laan (D66), Lucille Werner (CDA), Mirjam Bikker (CU), Maarten Hijink (SP), Ockje Tellegen (VVD), Attje Kuiken (PvdA), Fleur Agema (PVV) |
| Beantwoord door | Hugo de Jonge (minister zonder portefeuille binnenlandse zaken en koninkrijksrelaties) (CDA) |
| Onderwerpen | jongeren recht staatsrecht zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z23246.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-1448.html |
Nee, ik heb geen signalen ontvangen over zorgverzekeraars die zonder toestemming medische gegevens delen aan «derden» als zijnde «buitenstaanders» zonder wettelijke grondslag. Er zijn mij wel signalen bekend dat zorgverzekeraars onder eigen verwerkingsverantwoordelijkheid een verwerker inhuren. Deze verwerker voert controlerende taken uit ten behoeve van en onder verantwoordelijkheid van de zorgverzekeraar, zoals het afleggen van een huisbezoek. Hier is uw Kamer eind vorig jaar over geïnformeerd.1
Op hoofdlijnen geldt dat voor elke verwerking van persoonsgegevens een grondslag als opgesomd in artikel 6 Algemene verordening gegevensbescherming (AVG) aanwezig dient te zijn. Voor de verwerking van bijzondere persoonsgegevens moet voldaan zijn aan een uitzondering op het verbod om bijzondere persoonsgegevens te verwerken. Deze uitzonderingen zijn opgesomd in artikel 9, tweede lid, AVG. In het geval dat een verwerkingsverantwoordelijke gegevens doorgeeft aan een verwerker die zelf ook verwerkingsverantwoordelijk is, dan moet de verwerkingsverantwoordelijke zich ervan vergewissen dat hij hiervoor een grondslag heeft op basis van de AVG. Voor elke grondslag (bijvoorbeeld expliciete toestemming) gelden eigen randvoorwaarden. Naast de grondslag dient een verwerkingsverantwoordelijke zich ook te houden aan de andere uitgangspunten van de AVG. Zo mogen enkel de gegevens verwerkt worden die strikt noodzakelijk zijn voor het vastgestelde doel en mogen gegevens niet langer bewaard worden dan noodzakelijk. De verwerkingsverantwoordelijke moet tevens de mogelijkheid hebben voor betrokkene om zijn rechten onder de AVG, recht van inzage, wissing en zo verder te kunnen uitoefenen. Het staat de verwerkingsverantwoordelijke vrij om een verwerker in te huren die ten behoeve van de verwerkingsverantwoordelijke gegevens verwerkt. Deze verwerker voert dit dan uit ten behoeve van en onder volledige verantwoordelijkheid van de verwerkingsverantwoordelijke. De verwerker heeft geen eigen grondslag nodig.
De AVG is van toepassing op alle verwerkingen van persoonsgegevens die zorgverzekeraars doen. De zorgverzekeraars zijn zelf verwerkingsverantwoordelijk op basis van de AVG. Zij moeten ervoor zorgen dat hun gegevensverwerking voldoet aan de relevante wet- en regelgeving, met inbegrip van de AVG en dat zij hierover duidelijk communiceren naar hun verzekerden. Het is niet aan mij om te treden in de beoordeling van een specifieke gegevensverwerking. Dit is aan de Autoriteit Persoonsgegevens. Zij houden toezicht op de naleving van de privacywetgeving en de AVG.
Als ik uw vraag goed interpreteer vraagt u zich af of de inzet van een organisatie (als zijnde verwerker) voor het doen van de controle op doelmatigheid in opdracht van de zorgverzekeraar (als zijnde verwerkingsverantwoordelijke) in strijd is met de AVG. Dat hoeft niet het geval te zijn als deze organisatie dit doet ten behoeve van en onder verantwoordelijkheid van de zorgverzekeraar en de zorgverzekeraar hierover de juiste afspraken heeft gemaakt. De verwerker handelt dan onder de grondslag van de zorgverzekeraar en heeft geen eigen grondslag nodig.
De zorgverzekeraars zijn zelf verwerkingsverantwoordelijk op basis van de AVG. Zij moeten ervoor zorgen dat hun gegevensverwerking voldoet aan de relevante wet- en regelgeving, met inbegrip van de AVG en dat zij hierover duidelijk communiceren naar hun verzekerden. Het is niet aan mij om te treden in de beoordeling van een specifieke gegevensverwerking. Dit is aan de Autoriteit Persoonsgegevens. Zij houden toezicht op de naleving van de privacywetgeving en de AVG.
Met alle persoonsgegevens dient zorgvuldig om te worden gegaan. Dit geldt ook, en des te meer, voor bijzondere persoonsgegevens. Voor de verwerking van bijzondere persoonsgegevens geldt dan ook strengere wetgeving in de AVG. Het medische dossier van kwetsbare kinderen valt onder deze categorie bijzondere persoonsgegevens.
In de polisvoorwaarden zijn bepalingen opgenomen over de verwerking van (bijzondere) persoonsgegevens door de zorgverzekeraar. Verwerking daarvan is noodzakelijk voor de uitvoering van de basisverzekering. De zorgverzekeraar mag persoonsgegevens delen met derden (bijvoorbeeld een zorgaanbieder) voor zover dat noodzakelijk is om de verplichtingen op grond van de basisverzekering na te komen.
Ouders geven door ondertekening van het aanvraagformulier van een Zvw-pgb expliciet toestemming dat de zorgverzekeraar contact opneemt met de indicerende verpleegkundige, de huisarts en/of de medisch specialist om de (medische) gegevens omtrent deze aanvraag en indicatiestelling voor verpleging en/of verzorging in te zien.
Verder is in het pgb-reglement van de zorgverzekeraars vermeld dat de verzekerde toestemming geeft aan de zorgverzekeraar om contact op te nemen met de verpleegkundige, de huisarts en de behandelend specialist om de (medische) gegevens van de verzekerde omtrent de Zvw-pgb aanvraag en indicatiestelling voor verpleging en verzorging in te zien op het moment dat het nodig is voor een juiste uitvoering van de verzekering. Dit vindt plaats onder verantwoordelijkheid van de medisch adviseur of verpleegkundig adviseur. Het pgb-reglement is onderdeel van de polisvoorwaarden van de verzekerde.
Alleen zorgverzekeraars zijn in de positie om de controle op doelmatigheid uit te voeren. Als zij deze opdracht laten uitvoeren door een organisatie kan die organisatie die opdracht enkel uitvoeren ten behoeve van en onder verantwoordelijkheid van de zorgverzekeraar. Zorgverzekeraars zijn en blijven daarmee verantwoordelijk voor de verwerking van de desbetreffende gegevens.
De AVG is van toepassing op alle verwerkingen van persoonsgegevens die zorgverzekeraars doen. Ik ben natuurlijk van mening dat iedereen en dus ook zorgverzekeraars zich moeten houden aan de AVG. Als zorgverzekeraars zich houden aan die privacywetgeving heb ik geen bezwaar tegen een eventuele gegevensverwerking in opdracht en onder verantwoordelijkheid van de zorgverzekeraar als verwerkingsverantwoordelijke. Het is niet aan mij om te treden in de beoordeling van een specifieke gegevensverwerking. Dit is aan de Autoriteit Persoonsgegevens. Zij houden toezicht op de naleving van de privacywetgeving en de AVG.
Eind 2020 bent u inhoudelijk over dit onderwerp geïnformeerd2 en is met zorgverzekeraars het gesprek gevoerd over gegaan over dit onderwerp. Dit was naar aanleiding van een vraag van het lid Bergkamp (D66) over een wijziging van een zorgverzekeraar in het reglement Zvw-pgb. Op basis van dat gesprek zag mijn ambtsvoorganger geen aanleiding tot vervolgstappen en op dit moment zijn er bij mij geen aanwijzingen om dat besluit te heroverwegen. Desalniettemin staat het verzekerden altijd vrij om klachten over een mogelijke inbreuk op de AVG kenbaar te maken bij hun zorgverzekeraar of zich te wenden tot de Autoriteit Persoonsgegevens voor een formele beoordeling van de juistheid van deze gegevensverwerking.
De vragen van de leden Westerveld (GroenLinks), Hijink (SP), Kuiken (PvdA), Agema (PVV), Tellegen (VVD), Bikker (ChristenUnie), Van der Laan (D66) en Werner (CDA) over bescherming medische gegevens in de intensieve kindzorg (2021Z23246 ingezonden 13 december 2021) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. De reden van het uitstel is dat de afstemming ten behoeve van de beantwoording meer tijd vergt. Ik zal u zo spoedig mogelijk de antwoorden op de Kamervragen doen toekomen.