Uitspraak 201906616/1/A3

201906616/1/A3.
Datum uitspraak: 24 november 2021

AFDELING
BESTUURSRECHTSPRAAK

Uitspraak op de hoger beroepen van:

Burgerrechtenvereniging Vrijbit, gevestigd te Utrecht,

appellante,

tegen de uitspraak van de rechtbank Midden-­Nederland van 23 juli 2019 in zaak nr. 16/3326 in het geding tussen:

Vrijbit

en

de Autoriteit Persoonsgegevens (hierna: AP).

Procesverloop

Bij besluit van 26 november 2015 heeft het College bescherming persoonsgegevens (thans: de AP) een verzoek van Vrijbit om op grond van de Wet bescherming persoonsgegevens (hierna: de Wbp) handhavend op te treden tegen Nederlandse zorgverzekeraars afgewezen.

Bij besluit van 1 juni 2016 heeft de AP het door Vrijbit daartegen gemaakte bezwaar ongegrond verklaard.

Vrijbit heeft hiertegen beroep ingesteld.

Bij tussenuitspraak van 7 juli 2017 (hierna: de tussenuitspraak)

heeft de rechtbank de AP in de gelegenheid gesteld het in die uitspraak geconstateerde gebrek aan dat besluit te herstellen.

Bij tussenuitspraak van 21 augustus 2017 heeft de rechtbank de termijn die zij heeft gegeven om het gebrek te herstellen, verlengd tot 26 weken na verzending van de tussenuitspraak.

Bij tussenuitspraak van 22 december 2017 heeft de rechtbank de termijn verlengd tot uiterlijk 15 februari 2018.

Bij besluit van 15 februari 2018 heeft de AP een nieuw besluit genomen en het bezwaar van Vrijbit alsnog gegrond verklaard, het besluit van 1 juni 2016 ingetrokken, het besluit van 26 november 2015 herroepen en beslist dat aan Menzis en VGZ een last onder dwangsom wordt opgelegd.

Vrijbit heeft hiertegen gronden ingediend.

Bij uitspraak van 23 juli 2019 (hierna: de einduitspraak) heeft de rechtbank het door Vrijbit tegen het besluit van 1 juni 2016 ingestelde beroep niet-ontvankelijk verklaard en het beroep tegen het besluit van 15 februari 2018 ongegrond verklaard. De tussenuitspraak en de einduitspraak zijn aangehecht.

Tegen de tussenuitspraak en de einduitspraak heeft Vrijbit hoger beroep ingesteld.

De AP en Zilveren Kruis Achmea Zorgverzekering N.V. hebben elk afzonderlijke een schriftelijke uiteenzetting ingediend.

De AP heeft stukken overgelegd en met verwijzing naar artikel 8:29 van de Algemene wet bestuursrecht (hierna: Awb) medegedeeld dat uitsluitend de Afdeling kennis zal mogen nemen van deze stukken.

De Afdeling heeft beslist dat beperkte kennisneming van deze stukken gerechtvaardigd is.

Vrijbit en Zilveren Kruis hebben de Afdeling toestemming gegeven om mede op grondslag van deze stukken uitspraak te doen.

De Afdeling heeft de zaak ter zitting behandeld op 2 november 2021, waar Vrijbit, vertegenwoordigd door J.M.T. Wijnberg, en de AP, vertegenwoordigd door mr. J.M.A. Koster en mr. O.S. Nijveld, zijn verschenen. Voorts is ter zitting Zilveren Kruis, vertegenwoordigd door mr. R. Out en [gemachtigde], bijgestaan door mr. G.J. Zwenne, advocaat te Den Haag, als partij gehoord.

Overwegingen

Inleiding

1.       Het gaat in deze zaak om een handhavingsverzoek van Vrijbit. Volgens Vrijbit vormen de door Zorgverzekering Nederland (hierna: ZN) opgestelde regels - waar alle zorgverzekeraars zich aan moeten houden - een schending van de Wbp, artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: EVRM) en het Handvest van de grondrechten van de Europese Unie (hierna: het Handvest). Hiertegen moet door de AP handhavend worden opgetreden, ook als er geen concrete schending in de uitvoering is geconstateerd. De regels moeten altijd in orde zijn, zeker waar het gaat om de verwerking van medische persoonsgegevens. Het achteraf handhavend optreden tegen een geconstateerde overtreding is volgens Vrijbit te laat, want dan heeft de schending van de Wbp, artikel 8 van het EVRM dan wel het Handvest al plaatsgevonden. De AP stelt dat alleen handhavend kan worden opgetreden als een concrete overtreding is geconstateerd in de wijze waarop de zorgverzekeraars feitelijk werken. Daaraan ligt onder meer ten grondslag dat er geen wettelijke verplichting bestaat voor zorgverzekeraars om te werken met door de AP goedgekeurde regels in de vorm van een gedragscode.

1.1.    De relevante wet- en regelgeving is opgenomen in de bijlage bij deze uitspraak. Deze bijlage is onderdeel van de uitspraak.

Voorgeschiedenis

2.       Op 29 december 2010 hebben zorgverzekeraars verzocht om afgifte van een verklaring als bedoeld in artikel 25 van de Wbp voor de Gedragscode Verwerking persoonsgegevens Zorgverzekeraars. De AP heeft de verzochte verklaring van goedkeuring afgegeven. Een belanghebbende is hiertegen opgekomen. De rechtbank Amsterdam heeft in haar uitspraak van 13 november 2013, ECLI:NL:RBAMS:2013:7480, geoordeeld dat de AP niet tot goedkeuring van de Gedragscode heeft kunnen overgaan omdat deze regels bevat die op een aantal punten niet voldoen aan de Wbp, artikel 8 van het EVRM en het Handvest. De bescherming van de persoonsgegevens is hiermee op deze punten niet voldoende gewaarborgd.

2.1.    Bij besluit van 19 december 2013 heeft de AP het eerdere besluit tot goedkeuring herzien en het verzoek tot afgifte van een goedkeurende verklaring voor de Gedragscode alsnog afgewezen. Het besluit is gepubliceerd op de website van de AP. Tegen dit besluit zijn geen rechtsmiddelen aangewend. Er is geen nieuw verzoek om goedkeuring van een gedragscode ingediend.

2.2.    Per 8 juli 2010 is de Regeling zorgverzekering gewijzigd en bevat deze niet langer de verplichting voor zorgverzekeraars om een gedragscode op te stellen en ter goedkeuring voor te leggen aan de AP.

Handhavingsverzoek

3.       Vrijbit heeft de AP verzocht om handhavend op te treden tegen het verzamelen en verwerken van medische persoonsgegevens door zorgverzekeraars zonder wettelijk verplichte gedragscode. Vrijbit heeft daartoe aangevoerd dat zorgverzekeraars al ruim tien jaar medische persoonsgegevens verwerken zonder wettelijk verplichte gedragscode en dat de AP het al die tijd nalaat om zorgverzekeraars te dwingen tot het opstellen van en het werken met een gedragscode die voldoet aan de wet. Zij heeft in het bijzonder gewezen op de Wbp, het Handvest en artikel 8 van het EVRM. Het verzamelen en verwerken van medische persoonsgegevens zonder gedragscode is volgens Vrijbit onrechtmatig.

Besluitvorming

4.       Het verzoek is afgewezen omdat er geen wettelijke verplichting bestaat voor zorgverzekeraars om te werken met een door de AP goedgekeurde gedragscode. Zorgverzekeraars handelen volgens de AP bij de uitvoering van formele en materiële controles niet onrechtmatig omdat een door de AP goedgekeurde gedragscode ontbreekt. Deze controles worden namelijk uitgevoerd op grond van de Zorgverzekeringswet en de Regeling zorgverzekering. De AP heeft verder geen aanleiding om te veronderstellen dat de feitelijke werkwijze van zorgverzekeraars bij het verzamelen en verwerken van medische persoonsgegevens in strijd is met de Wbp of internationale of Unierechtelijke bepalingen. Vrijbit heeft ook niet concreet gemaakt op welke wijze zorgverzekeraars de wet zouden overtreden dan wel wat er feitelijk mis is met de werkwijze van de zorgverzekeraars.

Tussenuitspraak

5.       De rechtbank heeft in de tussenuitspraak vastgesteld dat het verzoek van Vrijbit uit twee onderdelen bestaat. Voor zover het verzoek erop ziet dat de AP zorgverzekeraars moet opdragen om volgens een goedgekeurde gedragscode te gaan werken, heeft de AP het verzoek naar het oordeel van de rechtbank terecht afgewezen. De AP heeft zich volgens de rechtbank terecht op het standpunt gesteld dat niet handhavend kan worden opgetreden door zorgverzekeraars te verplichten een gedragscode ter goedkeuring voor te leggen, omdat hiervoor een wettelijke grondslag ontbreekt. Het tweede deel van het handhavingsverzoek gaat over de vraag of zorgverzekeraars feitelijk medische persoonsgegevens verwerken en verzamelen in strijd met de Wbp, het Handvest dan wel artikel 8 van het EVRM. De rechtbank heeft overwogen dat hoewel voor de zorgverzekeringsbranche een gedragscode niet meer verplicht is, dat niet betekent dat de door de rechtbank Amsterdam in de uitspraak van 13 november 2013 gesignaleerde omissies in de toen voorliggende Gedragscode geen betekenis meer zouden hebben. Uit die uitspraak volgt volgens de rechtbank dat de zorgverzekeraars werkten met een gedragscode die op dat moment de toets aan artikel 8 van het EVRM en de Wbp niet kon doorstaan. De rechtbank ziet in de uitspraak van 13 november 2013 voldoende aanleiding dat er iets mis was met de wijze waarop zorgverzekeraars medische persoonsgegevens verzamelden en verwerkten. Dat zorgverzekeraars op hun websites laten weten nog steeds volgens de afgekeurde Gedragscode te werken, is een aanwijzing dat deze werkwijze (nog) niet is gewijzigd en dat maakt dat de aanname van de AP dat zorgverzekeraars nu wel op een juiste wijze de medische persoonsgegevens verzamelen en verwerken niet goed te volgen is, aldus de rechtbank. De AP had hier - mede naar aanleiding van het verzoek om handhaving van Vrijbit - nader onderzoek naar moeten doen en in de besluitvorming moeten toelichten waarom er niet aan wordt getwijfeld dat zorgverzekeraars op juiste wijze omgaan met de medische persoonsgegevens.

5.1.    De rechtbank heeft geconcludeerd dat de AP te gemakkelijk heeft aangenomen dat de werkwijze van zorgverzekeraars in orde is, zonder transparant te maken waarop dit is gebaseerd. Het besluit van 1 juni 2016 is daarom in strijd met artikel 3:2 en artikel 7:12, eerste lid, van de Awb. Om het gebrek te herstellen, moet de AP volgens de tussenuitspraak nader onderzoeken hoe zorgverzekeraars de medische persoonsgegevens verzamelen en verwerken en daarbij de volgende knelpunten betrekken.

(1) Het eerste knelpunt gaat erover dat zorgverzekeraars in de Gedragscode bij digitale afhandeling van vergoedingen geen uitzonderingsregels hebben opgenomen om diagnose-informatie niet te verstrekken, terwijl er wel in zo’n uitzonderingsregel zou moeten zijn voorzien bij psychische klachten.

(2) Het tweede knelpunt gaat over de mogelijkheid dat bij digitale verwerking van persoonsgegevens, onbevoegde personen toegang kunnen krijgen tot deze gegevens en deze zouden kunnen worden gebruikt voor bijvoorbeeld marketingdoeleinden. Daarmee is de doelbinding in de Gedragscode onvoldoende verzekerd.

(3) De rechtbank wijst er ten derde op dat met het koppelen van de verwerking van persoonsgegevens aan specifieke bedrijfsprocessen en bedrijfsonderdelen ongeautoriseerd gebruik van de persoonsgegevens niet noodzakelijkerwijs wordt voorkomen.

(4) Wat de verplichtingen van de verwerkers zijn, vindt de rechtbank ook niet voldoende beschreven in de Gedragscode.

(5) Tot slot worden er in de Gedragscode niet voldoende waarborgen geboden dat de medische persoonsgegevens niet onder ogen van anderen kunnen komen.

Dit betekent dat de AP moet onderzoeken of zorgverzekeraars op die punten een overtreding begaan en moet motiveren waarom al dan niet tot handhaving wordt overgegaan, aldus de rechtbank in de tussenuitspraak.

6.       De AP heeft vervolgens ter uitvoering van de tussenuitspraak onderzoek verricht naar de verwerking van persoonsgegevens door de vier grote zorgverzekeraarconcerns, te weten Zilveren Kruis, Menzis, VGZ en CZ (hierna ook: de zorgverzekeraars). Elk van deze concerns heeft meer dan twee miljoen verzekerden in portefeuille. Daarmee vertegenwoordigden deze zorgverzekeraarconcerns in 2017 tezamen meer dan 88% van de totale markt. Het onderzoek had betrekking op het privacybeleid van de zorgverzekeraars en op door de rechtbank gesignaleerde mogelijke knelpunten in de Gedragscode die verband houden met (1) digitale declaratie zonder diagnose-informatie bij psychische klachten, (2) doelbindingsbeginsel in relatie tot marketingdoeleinden, (3) ongeautoriseerde toegang tot persoonsgegevens, (4) bewerkers en (5) medisch beroepsgeheim. Naar aanleiding van een bureau-onderzoek, een onderzoek ter plaatste bij drie van de vier verzekeraars en (een) schriftelijke vragen ronde(n), heeft de AP per zorgverzekeraar (aanvullende) conceptbevindingen opgesteld, waarover zij hun zienswijzen naar voren hebben kunnen brengen. Vrijbit heeft alle conceptbevindingen en voornemens tot handhaving ontvangen, waarin bedrijfsvertrouwelijke informatie onleesbaar is gemaakt. De schriftelijke zienswijzen van Vrijbit zijn met de zorgverzekeraars gedeeld. Tot slot heeft de AP voor de zorgverzekeraars afzonderlijk definitieve bevindingen opgesteld en op basis daarvan een nieuw besluit genomen.

Besluit van 15 februari 2018

7.       De AP heeft vastgesteld dat de zorgverzekeraars niet alleen werken met de Gedragscode, maar in aanvulling daarop ook werken met de Uniforme Maatregelen van ZN. De zorgverzekeraars gebruiken allemaal ten minste Privacy Statement (02), Informatie verstrekken aan verzekerden en verzekeringsnemer (03), Direct Marketing (04), Privacy afhandeling declaraties (06), Informatie-uitwisseling zorgverzekeraars bij controle en fraude beheersing (08) en Gebruik authenticatiemiddelen bij internetapplicaties (09). Daarnaast gebruiken zorgverzekeraars uitgebreide sets aan documenten waarin zij hun privacybeleid uiteenzetten en ook op welke wijze de controle op de uitvoering van dat beleid is ingericht. Er is bij de zorgverzekeraars volgens de AP actief aandacht voor het naleven van de wet- en regelgeving op het gebied van privacy. Voorts actualiseren zorgverzekeraars hun privacybeleid regelmatig en hechten zij belang aan het creëren van bewustzijn op dat gebied onder hun werknemers. Zo gebruiken zij bijvoorbeeld (aanvullende) geheimhoudingsverklaringen. De enkele omstandigheid dat de zorgverzekeraars op hun website vermelden dat zij werken met een gedragscode die niet is goedgekeurd, betekent onder deze omstandigheden volgens de AP niet dat de zorgverzekeraars in strijd met de Wbp handelen. In het besluit heeft de AP verder per knelpunt beschreven hoe de zorgverzekeraars feitelijk werken en geconcludeerd dat de werkwijze, op één onderdeel na, te weten de autorisaties, in overeenstemming is met de Wbp. Omdat bij twee van de vier zorgverzekeraars de autorisaties van medewerkers niet in orde waren, heeft de AP tegen die twee zorgverzekeraars handhavend opgetreden. Voor verdere handhaving ziet de AP echter geen aanleiding

Einduitspraak

8.       De rechtbank heeft geoordeeld dat de AP voldoende onderzoek heeft gedaan naar de in de tussenuitspraak gesignaleerde knelpunten in de Gedragscode en zich terecht op het standpunt heeft gesteld dat de zorgverzekeraars feitelijk niet in strijd handelen met de Wbp. De rechtbank ziet verder geen aanleiding om te oordelen dat de implementatie van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en artikel 8 van het EVRM in de Wbp onjuist is. Door vast te stellen dat de zorgverzekeraars de Wbp niet hebben overtreden, hebben zij daarom ook artikel 8 van het EVRM en het later in werking getreden artikel 8 van het Handvest niet overtreden, aldus de rechtbank.

Hoger beroep

9.       Vrijbit betoogt dat de rechtbank heeft miskend dat de AP ten onrechte voor verdere handhaving geen aanleiding heeft gezien.

Wat is het toepasselijke recht?

10.     Op dit geding is de Wbp van toepassing en niet de Algemene Verordening Gegevensbescherming (EU) 2016/679 (hierna: de AVG).

De AVG is weliswaar in werking getreden op 25 mei 2016, maar in artikel 99 van de AVG is bepaald dat zij van toepassing is met ingang van 25 mei 2018. Het besluit van 15 februari 2018 is van voor die datum. Daarom is nog de Wbp van toepassing.

Wat is in geschil?

11.     In geschil is of het door de AP uitgevoerde onderzoek volledig en zorgvuldig was en of daaraan de juiste conclusies zijn verbonden. De Afdeling beoordeelt dit in hoger beroep aan de hand van de door Vrijbit aangevoerde gronden ter onderbouwing van haar betoog.

Niet in geschil is dat zorgverzekeraars over een wettelijke grondslag beschikken voor het verwerken van medische persoonsgegevens voor formele en materiële controles.

-         Onderzoek

12.     Vrijbit voert aan dat de rechtbank er ten onrechte aan is voorbijgegaan dat het verzoek betrekking heeft op de gemeenschappelijke zorgverzekeraars en is gericht op de regels voor verwerking van medische gegevens zoals door ZN zijn vastgelegd in de Gedragscode. De AP heeft ten onrechte alleen onderzoek verricht naar de werkwijze van de zorgverzekeraars. Het onderzoek van de AP heeft geen conclusies opgeleverd over aanpassingen van regels met betrekking tot de verwerking van medische persoonsgegevens en is daarom onvolledig, niet zorgvuldig en geen juiste uitvoering van de tussenuitspraak. Bovendien zijn volgens Vrijbit ten onrechte niet alle zorgverzekeraars onderzocht maar alleen de vier grootste, terwijl de belangen van alle verzekerden gelijk zijn.

12.1.  De AP heeft terecht geen aanleiding gezien om onderzoek te doen naar de vraag of regels die door ZN zijn vastgesteld als zodanig aanpassing behoeven. De rechtbank heeft in de tussenuitspraak terecht overwogen dat de Wbp weliswaar de mogelijkheid bood om een gedragscode goed te laten keuren, maar dat daartoe voor ZN geen verplichting bestond. De invoering van de AVG heeft hierin ook geen verandering gebracht. Het initiatief om een gedragscode ter goedkeuring aan de AP voor te leggen, wordt ook nu nog aan de (branche)organisaties zelf overgelaten. Artikel 40, eerste lid, van de AVG bepaalt dat de AP de opstelling van gedragscodes moet bevorderen, maar de AP kan (branche)organisaties daar niet toe dwingen. Daarom kan Vrijbit met dit hoger beroep niet bereiken dat de Gedragscode in de door haar gewenste zin wordt aangepast. De AP is pas bevoegd handhavend op te treden tegen de zorgverzekeraars als een concrete overtreding is geconstateerd. Om dat in dit geval te kunnen vaststellen, was een onderzoek naar de werkwijze van de zorgverzekeraars noodzakelijk en niet naar de regels als zodanig. Pas als wordt vastgesteld dat de zorgverzekeraars in de uitvoering van hun werkzaamheden de wet overtreden, kan daartegen handhavend worden opgetreden. Tegen de weigering om handhavend op te treden kunnen, zoals Vrijbit heeft gedaan, rechtsmiddelen worden aangewend. Of de AP in dit geval terecht heeft geweigerd om handhavend op te treden zal de Afdeling hierna beoordelen.

12.2.  Met de rechtbank is de Afdeling van oordeel dat de AP de in de tussenuitspraak geformuleerde opdracht zorgvuldig heeft opgevat en ook op zorgvuldige wijze heeft uitgevoerd. Daarbij is van belang dat de AP de Gedragscode en de Uniforme Maatregelen wel heeft betrokken bij de beoordelingen van de wijze waarop zorgverzekeraars hun verwerkingsactiviteiten verrichten. De Afdeling ziet in wat Vrijbit heeft aangevoerd, geen grond voor het oordeel dat de rechtbank ten onrechte heeft overwogen dat het onderzoek op juiste wijze is uitgevoerd. Ook het handhavingsverzoek van Vrijbit biedt geen aanknopingspunten voor het oordeel dat dit verzoek door de rechtbank en de AP te beperkt is opgevat. Naast de vraag of zorgverzekeraars mogen werken zonder een door de AP goedgekeurde gedragscode, is het verzoek ook opgevat als een verzoek om de feitelijke werkwijze van zorgverzekeraars te onderzoeken op eventuele schendingen van de Wbp. De keuze van de AP om het onderzoek uit te voeren bij de zorgverzekeraars waarbij 88% van de verzekerden is aangesloten, acht de Afdeling net als de rechtbank, gelet op de omvang en de breedte van het verzoek, redelijk. In de omstandigheid dat bij twee zorgverzekeraars de autorisaties niet in orde waren, heeft de AP geen aanleiding hoeven zien ook de overige zorgverzekeraars op dat punt te controleren. Zoals de AP ter zitting heeft toegelicht, zijn de handhavingsbesluiten gepubliceerd, zodat ook bij de overige zorgverzekeraars duidelijk is dat de AP op dit punt optreedt. Hier gaat een waarschuwende werking vanuit. Dat het onderzoek niet de door Vrijbit gewenste resultaten heeft opgeleverd, betekent niet dat het onderzoek als zodanig niet op zorgvuldige wijze is uitgevoerd. De vraag of de door de AP getrokken conclusies per knelpunt juist zijn, komt in de navolgende overwegingen aan de orde.

12.3.  Deze grond slaagt niet.

-         Digitale declaratie zonder diagnose-informatie bij psychische klachten (knelpunt 1)

13.     Vrijbit voert aan dat de rechtbank ten onrechte heeft overwogen dat zij niet duidelijk heeft gemaakt waarom de door de zorgverzekeraars gebruikte digitale declaratieprocedure niet deugt. Zij stelt dat zij nadrukkelijk heeft gewezen op de onvolkomenheden en daarmee misleidende en niet effectieve uitwerking van de digitale declaratieprocedure. Het is niet mogelijk om digitaal te declareren zonder dat via de diagnose behandelcombinatie en het daarbij behorende tarief alsnog diagnose-informatie wordt verstrekt aan de zorgverzekeraar. De AP en de rechtbank baseren zich ten onrechte op een onderzoek van de Nederlandse Zorgautoriteit (hierna: NZa) uit 2016.

13.1.  Zoals de rechtbank terecht heeft overwogen moet de werkwijze van de zorgverzekeraars voorzien in de mogelijkheid om bij psychische klachten zonder diagnose-informatie digitaal te kunnen declareren, maar hoeft dit niet te zijn geregeld via een gedragscode. Volgens de AP is in die mogelijkheid voorzien met de privacyregeling van de NZa. Daartoe heeft de AP zich gebaseerd op het rapport Zorgverzekeraars, controles en privacyvoorschriften van de NZa van september 2016 (hierna: het rapport). Het rapport is opgesteld naar aanleiding van een door de NZa verricht onderzoek naar de naleving door zorgverzekeraars van de privacyregeling. Die regeling bestaat om te voorkomen dat artikel 16 van de Wbp wordt overtreden in geval van een afgegeven privacyverklaring. Uit het onderzoek is gebleken dat alle zorgverzekeraars de privacyregeling gebruiken zoals deze is bedoeld, dus zonder verstrekking van informatie over de diagnose. Voor zover één zorgverzekeraar toch verwijsbrieven en behandelplannen heeft opgevraagd wanneer een privacyverklaring was overgelegd, heeft de NZa deze zorgverzekeraar gedurende een jaar een maatregel opgelegd om ervoor te zorgen dat deze informatie niet meer wordt opgevraagd en de privacyregeling volledig wordt nageleefd. Verder is uit het onderzoek gebleken dat alle zorgverzekeraars de mogelijkheid bieden om een afwijkend tarief in rekening te brengen waarbij geen tot de diagnose herleidbare informatie hoeft te worden verstrekt. Hierbij wordt de mogelijkheid geboden om een dummycode te gebruiken of om met de zorgverzekeraar een apart tarief af te spreken dat niet herleidbaar is tot diagnose-informatie. De zorgverzekeraars hebben verklaard dat bij het gebruik van een dummycode of een afwijkend tarief altijd wordt overgegaan tot uitbetaling en geen controle plaatsvindt en dat in geval van een privacyverklaring evenmin een machtigingseis wordt gebruikt of toegepast waarbij voorafgaande aan een behandeling aan de zorgverzekeraar om toestemming wordt gevraagd voor vergoeding van de behandeling. Voorts is uit het onderzoek gebleken dat de declaraties zowel digitaal als op papier kunnen worden ingediend bij de zorgverzekeraars. De uitkomst van het rapport is dat die procedures niet leiden tot ongewenste uitwisseling van diagnose-informatie in geval van een afgegeven privacyverklaring. De AP heeft deze bevindingen onderschreven en zich op het standpunt gesteld dat sprake is van een adequate privacyregeling. Voorts is de AP uit navraag bij de zorgverzekeraars gebleken dat zij hun werkwijze in zoverre sinds het onderzoek van de NZa niet hebben gewijzigd. Bovendien zijn tijdens het door de AP uitgevoerde onderzoek ook geen aanwijzingen gevonden van wijzigingen in de werkwijze van de zorgverzekeraars op dit punt. De rechtbank heeft vastgesteld dat een onderbouwing van de stelling van Vrijbit dat de regeling misleidend en onvolkomen zou zijn, ontbreekt, ondanks verzoek daartoe. Voor het oordeel dat de AP en de rechtbank zich niet mochten baseren op het rapport ziet de Afdeling geen grond. Wat Vrijbit in hoger beroep heeft aangevoerd, biedt daarvoor geen aanknopingspunten. Niet is gebleken dat de zorgverzekeraars op dit punt de Wbp overtreden. De rechtbank heeft terecht geoordeeld dat de AP het in de tussenuitspraak geconstateerde gebrek op dit punt heeft hersteld.

13.2.  Deze grond slaagt evenmin.

-         Doelbindingsbeginsel in relatie tot marketingdoeleinden (knelpunt 2)

14.     Vrijbit voert aan dat de rechtbank er ten onrechte aan is voorbijgegaan dat ten onrechte welbepaalde verwerkingsdoelstellingen voor de werkwijzen en de procedures bij de verwerking van medische persoonsgegevens ontbreken. De enkele verwijzing naar de uitzondering op het verbod om medische persoonsgegevens te verwerken, namelijk dat het noodzakelijk is voor de uitvoering van een verzekeringsovereenkomst, is onvoldoende. Toetsing aan de noodzakelijkheid, proportionaliteit en subsidiariteit kan alleen als een verwerkingsdoel is bepaald. Volgens Vrijbit heeft de rechtbank ten onrechte Uniforme Maatregel 8 aangemerkt als een voorziening waarmee medische persoonsgegevens met doorbreking van het doelbindingsvereiste kunnen worden verwerkt.

14.1.  In artikel 21, eerste lid, aanhef en onder b, sub 2, van de Wbp is uitdrukkelijk voor zorgverzekeraars een uitzondering gemaakt op het verbod om medische persoonsgegevens te verwerken. Zij mogen ter uitvoering van de verzekeringsovereenkomst medische persoonsgegevens verwerken. De AP heeft, anders dan Vrijbit kennelijk meent, geen algemeen onderzoek hoeven doen waarvoor de zorgverzekeraars medische persoonsgegevens gebruiken, omdat de wet hierin al voorziet. Met de rechtbank is de Afdeling van oordeel dat de AP zich - gelet op het handhavingsverzoek en de verwijzing naar de Gedragscode en de daarmee verband houdende uitspraak van de rechtbank Amsterdam van 13 november 2013 - op grond van de tussenuitspraak in het onderzoek op dit punt heeft mogen richten op de mogelijke doorbreking van de doelbinding voor marketingdoeleinden en voor de opsporing en het tegengaan van fraude. De AP heeft zich in het besluit van 15 februari 2018 gemotiveerd op het standpunt gesteld dat de zorgverzekeraars geen persoonsgegevens over de gezondheid verwerken voor marketingdoeleinden. De enige uitzondering hierop bij één verzekeraar, is voor een specifiek gezondheidsprogramma dat uitsluitend met uitdrukkelijke toestemming van deelnemers gebeurt. Deze situatie valt onder de uitzondering van artikel 23, eerste lid, aanhef en onder a, van de Wbp, dat bepaalt dat mensen toestemming kunnen geven voor het gebruik van hun gegevens. De verwerking van medische persoonsgegevens met doorbreking van het doelbindingsvereiste, vindt volgens het onderzoek van de AP alleen plaats in bijzondere gevallen, zoals naar aanleiding van verzoeken van politie en justitie, dan wel informatieverzoeken van een wettelijke toezichthouder of de Belastingdienst. De verzekeraars werken met protocollen en artikel 8, aanhef en onder c, van de Wbp biedt voor nakoming van wettelijke verplichtingen een wettelijke grondslag. Uit het onderzoek is naar voren gekomen dat alle verzekeraars Uniforme Maatregel 8 gebruiken in het geval van een dergelijke verstrekking, naast interne beleidsdocumenten. Het komt er kortom op neer dat de doelbinding alleen wordt doorbroken voor controle en toezicht met toepassing van Uniforme Maatregel 8 en alleen als daartoe een wettelijke verplichting bestaat. De Afdeling volgt de rechtbank in haar oordeel dat deze werkwijze niet in strijd is met de Wbp. Niet is gebleken dat de zorgverzekeraars op dit punt de Wbp overtreden. De rechtbank heeft terecht geoordeeld dat de AP het in de tussenuitspraak geconstateerde gebrek ook op dit punt heeft hersteld.

14.2.  Deze grond slaagt niet.

-         Ongeautoriseerde toegang tot persoonsgegevens (knelpunt 3)

15.     Vrijbit voert aan dat de rechtbank heeft miskend dat de conclusie van de AP dat zorgverzekeraars met verschillende autorisatieprocedures voldoende maatregelen hebben genomen om de inbreuk op de privacy van verzekerden zo klein mogelijk te maken, niet juist is. Er wordt hierbij voorbijgegaan aan de vereisten die gelden bij de verwerking van bijzondere persoonsgegevens, ook waar daarvoor een wettelijke grondslag gegeven is. Bepalend mag volgens Vrijbit niet zijn of de medewerker de gegevens nodig heeft voor zijn werkzaamheden, maar wat het doel is waarvoor deze medische gegevens worden verkregen.

15.1.  De toegang tot systemen waarin persoonsgegevens zijn opgeslagen, wordt bij de zorgverzekeraars geregeld op basis van autorisaties. De AP heeft in het kader van het onderzoek vastgesteld, dat hoewel de zorgverzekeraars ieder een eigen beleid hebben op dit punt, bij allen een medewerker alleen die autorisaties krijgt toebedeeld die noodzakelijk zijn voor zijn werkzaamheden. De AP heeft verder bij het onderzoek naar de wijze waarop het autorisatiebeleid feitelijk wordt uitgevoerd, geconstateerd dat bij een van de zorgverzekeraars niet controleerbaar was of personen ongeautoriseerd toegang hadden tot persoonsgegevens, waaronder persoonsgegevens over de gezondheid. Ook bleek hierbij dat marketingmedewerkers toegang hadden tot persoonsgegevens over de gezondheid, terwijl dit niet mogelijk zou moeten zijn. Hoewel niet is vastgesteld dat deze gegevens daadwerkelijk voor marketingdoeleinden zijn gebruikt, heeft de AP wel opgetreden tegen deze zorgverzekeraar, omdat de organisatie dient te voorzien in technologische maatregelen die waarborgen dat deze persoonsgegevens niet kunnen worden ingezien of verwerkt door personen die hierover niet mogen beschikken. Ook bij een andere zorgverzekeraar heeft de AP vastgesteld dat medewerkers die daarover voor hun werkzaamheden niet hoeven te beschikken, toegang hadden tot persoonsgegevens over de gezondheid. In dit geval waren evenmin aanwijzingen dat deze medewerkers deze gegevens daadwerkelijk hebben verwerkt, maar heeft de AP besloten handhavend op te treden, omdat op toereikende wijze moet zijn gewaarborgd dat medewerkers niet over meer (bijzondere) persoonsgegevens beschikken dan noodzakelijk is voor hun werkzaamheden. Zoals de rechtbank terecht heeft overwogen, gaat het hier om het verwerken van medische persoonsgegevens ter uitvoering van de zorgovereenkomst. Dat is de doelbinding die de wet bepaalt. Door middel van autorisaties hebben de zorgverzekeraars hun werkproces intern ingericht, om er voor te zorgen dat zo min mogelijk medewerkers toegang hebben tot de medische persoonsgegevens. In beroep bij de rechtbank heeft de AP toegelicht dat de zorgverzekeraars daarom werken met Functionele Eenheden. Dat zijn eenheden van deskundige medewerkers binnen de organisatie van een zorgverzekeraar, die voor specifieke doeleinden en onder verantwoordelijkheid van de medisch adviseur betrokken zijn bij de verwerking van de persoonsgegevens over iemands gezondheid. Met de rechtbank is de Afdeling van oordeel dat bij de twee zorgverzekeraars waartegen niet handhavend is opgetreden binnen deze Functionele Eenheden niet over méér informatie wordt beschikt dan nodig voor de uitvoering van de specifieke taak van de eenheid. De zorgverzekeraars hebben voldoende maatregelen genomen om het risico op inbreuk op de privacy zo klein mogelijk te maken, zoals voorgeschreven in artikel 13 van de Wbp. Wat Vrijbit heeft aangevoerd, biedt geen aanknopingspunten voor het oordeel dat de AP gehouden was verdergaand onderzoek te doen naar de specifieke doelstellingen waarvoor de gegevens worden verwerkt, omdat deze doelstelling al in de wet is gegeven. Niet is gebleken dat de zorgverzekeraars op dit punt de Wbp overtreden. De rechtbank heeft terecht geoordeeld dat de AP het in de tussenuitspraak geconstateerde gebrek op dit punt heeft hersteld.

15.2.  Deze grond slaagt ook niet.

-         Bewerkers (knelpunt 4)

16.     Vrijbit voert aan dat de rechtbank te gemakkelijk is voorbijgegaan aan de vraag of buitenlandse bewerkers kunnen worden gehouden aan de AVG. Niet duidelijk is of bij de inschakeling van bewerkers door de zorgverzekeraars wordt voorzien in een bepaling over toepasselijk recht.

16.1.  Uit het onderzoek van de AP is naar voren gekomen dat bij de  zorgverzekeraars door middel van modelcontracten wordt geregeld dat bewerkers zich houden aan de wettelijke kaders die voor de verantwoordelijke gelden. De zorgverzekeraars verplichten bewerkers om technologische en organisatorische maatregelen te treffen ter beveiliging van persoonsgegevens over de gezondheid en zich overigens aan de Wbp te houden. Bij het onderzoek zijn geen buitenlandse bewerkers aangetroffen.  Met de rechtbank is de Afdeling van oordeel dat de AP het geconstateerde gebrek ook op het punt van de bewerkers heeft hersteld. Met de overeenkomsten die met bewerkers worden afgesloten, wordt voldaan aan de verplichtingen op grond van de Wbp. Het tegendeel heeft Vrijbit niet aannemelijk gemaakt. Ook op dit punt is niet gebleken dat de zorgverzekeraars de Wbp overtreden.

16.2.  Deze grond slaagt niet.

-         Medisch beroepsgeheim (knelpunt 5)

17.     Vrijbit voert aan dat de rechtbank ten onrechte niet is ingegaan op ongewenste verspreiding van medische persoonsgegevens. Er is slechts getracht om de noodzaak van de verwerking van medische persoonsgegevens binnen de bestaande structuren en werkprocessen te legitimeren en alle medewerkers die toegang kunnen krijgen tot medische persoonsgegevens geheimhoudingsverplichtingen op te leggen. Het onderzoek van de AP schiet in zoverre ook tekort.

17.1.  In artikel 16 van de Wbp is het verbod op het verwerken van persoonsgegevens over de gezondheid opgenomen. Dit verbod geldt op grond van artikel 21, eerste lid, aanhef en onder b, van de Wbp niet als de verwerking gebeurt door een zorgverzekeraar, voor zover dat noodzakelijk is voor de uitvoering van de overeenkomst van zorgverzekering. Op grond van het tweede lid van artikel 21 van de Wbp geldt ook dat de verwerking van gegevens over de gezondheid door zorgverzekeraars voor de uitvoering van de zorgverzekering plaatsvindt door personen die tot geheimhouding zijn  verplicht uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel op grond van een overeenkomst. In artikel 87, eerste lid, van de Zorgverzekeringswet is bepaald dat zorgaanbieders persoonsgegevens over de gezondheid verstrekken aan zorgverzekeraars voor de declaratie van zorg. Artikel 87, vijfde lid, van die wet bepaalt dat de personen werkzaam bij een zorgverzekeraar verplicht zijn tot geheimhouding van de gegevens, voor zover zij hier niet reeds uit hoofde van ambt of beroep toe zijn gehouden. Artikel 12 van de Wbp bevat ook een geheimhoudingsplicht voor personen op wie die plicht niet reeds rust uit hoofde van ambt, beroep of wettelijk voorschrift. Uit de desbetreffende memorie van toelichting volgt bovendien dat de geheimhoudingsplicht van artikel 87, vijfde lid, van de Zorgverzekeringswet is bedoeld om uit te sluiten dat "gezondheidspersoonsgegevens die met het oog op de uitvoering van de zorgverzekering zijn binnengekomen, voor andere privaatrechtelijke werkzaamheden van de verzekeraar (bijvoorbeeld het beoordelen van het verzekerd risico voor aanvullende verzekeringen) worden gebruikt." (Kamerstukken II, 2003/2004, 29763, nr. 3, blz. 179). Deze geheimhoudingsbepaling is bedoeld als extra waarborg om te voorkomen dat zorgverzekeraars de gegevens over de gezondheid die zij voor de uitvoering van deze wet verkrijgen tevens kunnen gebruiken voor overige producten. Deze bepaling verplicht er evenwel niet toe dat persoonsgegevens over de gezondheid alleen worden verwerkt door personen met een medisch beroepsgeheim.

17.2.  De Afdeling is met de rechtbank van oordeel dat de AP zich terecht op het standpunt heeft gesteld dat er geen wettelijke bepaling is aan te wijzen op basis waarvan moet worden geconcludeerd dat alleen personen met een medisch beroepsgeheim toegang zouden mogen hebben tot de individuele medische persoonsgegevens. De rechtbank heeft terecht overwogen dat de AP zich op het standpunt mocht stellen dat de zorgverzekeraars met hun geheimhoudingscontracten waarborgen dat medische persoonsgegevens niet met anderen worden gedeeld. Daarbij zijn de medewerkers van de zorgverzekeraars ook gebonden aan de geheimhoudingsbepaling van artikel 87, vijfde lid, van de Zorgverzekeringswet. De Afdeling acht bij de beoordeling op dit punt voorts van belang dat de zorgverzekeraars Functionele Eenheden, zoals hiervoor omschreven, hebben ingericht conform Uniforme Maatregel 1- Functionele Eenheid van ZN. De werkzaamheden voor  persoonsgegevens over gezondheid die verder gaan dan louter administratieve werkzaamheden, vinden in ieder geval in een Functionele Eenheid plaats. Het gaat dan bijvoorbeeld om de interpretatie, taxatie en het eventueel opvragen van nadere medische gegevens. De medisch adviseurs die bij de zorgverzekeraars werkzaam zijn, zijn allen arts, dan wel tandarts of paramedici en geregistreerd volgens de Wet op de beroepen in de individuele gezondheidszorg. Daarmee rust op hen een geheimhoudingsplicht uit hoofde van beroep. Voorts is van belang dat op alle medewerkers van de zorgverzekeraars een geheimhoudingsplicht rust op grond van een arbeidsovereenkomst en/of geheimhoudingsovereenkomst. Daarnaast geldt voor drie zorgverzekeraars dat de medewerkers die werkzaam zijn binnen een Functionele Eenheid een aanvullende geheimhoudingsverklaring moeten tekenen. Bij een vierde zorgverzekeraar moeten de medewerkers die werkzaam zijn binnen een Functionele Eenheid een bewustzijnsverklaring tekenen, die aanvullend werkt op de geheimhoudingsverklaring. Ook geldt voor medewerkers van zorgverzekeraars een wettelijke geheimhoudingsplicht op grond van artikel 87, vijfde lid, van de Zorgverzekeringswet. Verder acht de Afdeling van belang dat uit het onderzoek van de AP is gebleken dat bij alle zorgverzekeraars medisch adviseurs betrokken zijn bij het opstellen van werkprotocollen die zien op het verwerken van persoonsgegevens over de gezondheid. Het gaat dan bijvoorbeeld om instructies op het gebied van machtigingsaanvragen of op het gebied van een detailcontrole, waarbij ook patiëntgegevens worden vergeleken met de ingediende declaraties. Ook volgt uit het onderzoek van de AP dat de zorgverzekeraars inzichtelijk hebben gemaakt dat zodra een medewerker die binnen een Functionele Eenheid valt, constateert dat een concreet dossier afwijkt van de werkprotocollen, advies moet worden ingewonnen bij de medisch adviseur. De medisch adviseurs kunnen verder eisen formuleren met betrekking tot de benodigde kennis van de medewerkers die onder een Functionele Eenheid vallen. Hieronder valt bijvoorbeeld het volgen van een scholingstraject op het gebied van privacy.

Wat Vrijbit heeft aangevoerd biedt geen aanknopingspunten voor het oordeel dat bij de zorgverzekeraars sprake is van ongeoorloofde verspreiding van medische persoonsgegevens. Niet is gebleken dat de zorgverzekeraars op dit punt de Wbp overtreden. De rechtbank heeft ook op dit punt terecht geoordeeld dat de AP het in de tussenuitspraak geconstateerde gebrek heeft hersteld.

17.3.  Deze grond slaagt evenmin.

Conclusie

18.     De rechtbank heeft terecht geconcludeerd dat het onderzoek van de AP volledig en zorgvuldig was en dat de AP zich terecht op het standpunt heeft gesteld dat de zorgverzekeraars feitelijk niet in strijd handelen met de Wbp. Er zijn geen verdere overtredingen vastgesteld, waartegen handhavend kan worden opgetreden. De rechtbank heeft derhalve terecht overwogen dat de AP zich op het standpunt heeft mogen stellen dat er voor verdere handhaving dan zij heeft gedaan geen aanleiding bestond.

Slotsom

19.     Het hoger beroep is ongegrond. Zowel de tussenuitspraak als de einduitspraak dient, voor zover aangevallen, te worden bevestigd.

20.     AP hoeft geen proceskosten te vergoeden.

Beslissing

De Afdeling bestuursrechtspraak van de Raad van State:

bevestigt de aangevallen uitspraken, voor zover aangevallen.

Aldus vastgesteld door mr. E.J. Daalder, voorzitter, en mr. A.W.M. Bijloos en mr. M. Soffers, leden, in tegenwoordigheid van mr. B. Ley-Nell, griffier.

De voorzitter is verhinderd de uitspraak te ondertekenen.

w.g. Ley-Nell
griffier

Uitgesproken in het openbaar op 24 november 2021

BIJLAGE

AVG

Artikel 40

1. De lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie bevorderen de opstelling van gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen, moeten bijdragen tot de juiste toepassing van deze verordening.

Wbp

Artikel 7

Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.

Artikel 8

Persoonsgegevens mogen slechts worden verwerkt indien:

a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;

b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;

c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;

d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;

e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of

f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Artikel 12

1. Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

2. De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. Artikel 272, tweede lid, van het Wetboek van Strafrecht is niet van toepassing.

Artikel 13

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Artikel 16

De verwerking van persoonsgegevens betreffende iemands (…) gezondheid, (…) is verboden behoudens het bepaalde in deze paragraaf. (…)

Artikel 21

1. Het verbod om persoonsgegevens betreffende iemands gezondheid te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt door:

(…)

b. verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht en financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voorzover dat noodzakelijk is voor:

(…)

2°.de uitvoering van de overeenkomst van verzekering;

(…)

2. In de gevallen als bedoeld in het eerste lid worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verantwoordelijke gegevens persoonlijk verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die krachtens het eerste lid bevoegd zijn tot verwerking daarvan.

Artikel 23

1. Onverminderd de artikelen 17 tot en met 22 is het verbod om persoonsgegevens als bedoeld in artikel 16, te verwerken niet van toepassing voor zover:

a. dit geschiedt met uitdrukkelijke toestemming van de betrokkene;

(…)

Artikel 43

De verantwoordelijke kan de artikelen 9, eerste lid, 30, derde lid, 33, 34, 34a, tweede lid, en 35 buiten toepassing laten voor zover dit noodzakelijk is in het belang van:

a. de veiligheid van de staat;

b. de voorkoming, opsporing en vervolging van strafbare feiten;

c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen;

d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of

e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

Zorgverzekeringswet

Artikel 87

1. Een zorgaanbieder die aan een verzekerde zorg of andere diensten, bedoeld in artikel 11, heeft verleend, en die de kosten daarvan krachtens een door hem met de zorgverzekeraar gesloten overeenkomst rechtstreeks bij die zorgverzekeraar in rekening brengt, verstrekt die zorgverzekeraar of een door die zorgverzekeraar aangewezen persoon de persoonsgegevens van de verzekerde, waaronder gegevens over gezondheid als bedoeld in artikel 4, onderdeel 15 van de Algemene verordening gegevensbescherming, die noodzakelijk zijn voor de uitvoering van de zorgverzekering of van deze wet, dan wel stelt hem deze gegevens voor dit doel voor inzage of het nemen van afschrift ter beschikking.

(…)

5. Personen werkzaam bij de zorgverzekeraar, bij een door de zorgverzekeraar aangewezen persoon als bedoeld in het eerste lid, of bij de door Onze Minister aangewezen persoon als bedoeld in het derde lid, voor wie niet reeds uit hoofde van ambt of beroep een geheimhoudingplicht geldt, zijn verplicht tot geheimhouding van de gegevens als bedoeld in het eerste, tweede of derde lid, behoudens voor zover enig wettelijk voorschrift hen mededeling toestaat.

Regeling zorgverzekering

Artikel 7.2

De zorgverzekeraar beschikt ten behoeve van de in het voorgaande artikel aangegeven doelen en van de uitvoering van artikel 7.4a, over de volgende gegevens van de verzekerde:

a. naam, adres, postcode en woonplaats;

b. polisnummer, burgerservicenummer, geslacht en geboortedatum;

c. de prestatiebeschrijving van de aan de verzekerde geleverde prestatie;

d. wanneer en in voorkomend geval ten gevolge van welke catastrofe als bedoeld in artikel 33, eerste lid, onderdeel a, van de Zorgverzekeringswet, de prestatie is geleverd;

e. het voor de geleverde prestatie in rekening gebrachte tarief;

f. de gegevens die op grond van een declaratieregeling moeten worden verstrekt;

g. de gegevens die noodzakelijk zijn om vast te stellen of de prestatie behoort tot het verzekerde pakket van die verzekerde en

h. het bank- of girorekeningnummer;

i. overige gegevens die noodzakelijk zijn voor het verrichten van materiële controle dan wel fraudeonderzoek.

Artikel 7.3

1. De zorgaanbieder is verplicht tenzij bij of krachtens deze regeling anders wordt bepaald de in artikel 7.2, onderdeel a tot en met g, bedoelde gegevens te verstrekken aan:

a. de zorgverzekeraar, of een door die zorgverzekeraar daartoe aangewezen persoon, indien die zorgaanbieder het tarief voor de geleverde prestatie krachtens een door hem met de zorgverzekeraar gesloten overeenkomst rechtstreeks bij die zorgverzekeraar in rekening brengt;

b. de verzekerde, indien de zorgaanbieder het tarief voor de geleverde prestatie bij de verzekerde in rekening brengt.

2. De zorgaanbieder is verplicht de in artikel 7.2, onderdeel i, bedoelde gegevens desgevraagd te verstrekken aan de zorgverzekeraar of aan een door die zorgverzekeraar daartoe aangewezen persoon.

3. Voor de door de zorgverzekeraar of de verwerker aangewezen persoon gelden dezelfde wettelijke voorschriften inzake de geheimhouding van de verwerkte gegevens als voor de zorgverzekeraar of de verwerker die hem heeft aangewezen.