Verslag (initiatief)wetsvoorstel (nader) : Verslag
35 044 Wijziging van de Zorgverzekeringswet, de Wet langdurige zorg en enige andere wetten in verband met het controleren van de verzekeringsplicht voor de zorgverzekering en het regelen van de verwerking van gepseudonimiseerde persoonsgegevens door Onze Minister voor Medische Zorg, het Zorginstituut Nederland en het RIVM
Nr. 5
VERSLAG
Vastgesteld 14 november 2018
De vaste commissie voor Volksgezondheid, Welzijn en Sport, belast met het voorbereidend
onderzoek van voorliggend wetsvoorstel, heeft de eer als volgt verslag uit te brengen
van haar bevindingen.
Onder het voorbehoud dat de in het verslag opgenomen vragen en opmerkingen afdoende
door de regering worden beantwoord, acht de commissie de openbare behandeling van
het wetsvoorstel voldoende voorbereid.
Inhoudsopgave
I.
Algemeen
1
1.
Inleiding
1
2.
Hoofdlijnen van het voorstel
2
3.
(Financiële) gevolgen en regeldrukgevolgen
5
4.
Uitvoering
5
5.
Consultatie en advisering
5
I. ALGEMEEN
1. Inleiding
De leden van de CDA-fractie hebben kennisgenomen van het voorliggende wetsvoorstel. Deze leden hebben enkele
vragen hierbij.
De leden van de D66-fractie hebben met interesse kennisgenomen van de Wijziging van de Zorgverzekeringswet, de
Wet langdurige zorg en enige andere wetten in verband met het controleren van de verzekeringsplicht
voor de zorgverzekering en het regelen van de verwerking van gepseudonimiseerde persoonsgegevens
door Onze Minister voor Medische Zorg, het Zorginstituut Nederland en het RIVM. Deze
leden hebben nog enkele vragen over het voorliggende wetsvoorstel.
De leden van de SP-fractie hebben kennisgenomen van de Wijziging van de Zorgverzekeringswet, de Wet langdurige
zorg en enige andere wetten in verband met het controleren van de verzekeringsplicht
voor de zorgverzekering en het regelen van de verwerking van gepseudonimiseerde persoonsgegevens
door Onze Minister voor Medische Zorg, het Zorginstituut Nederland en het RIVM.
2. Hoofdlijnen van het voorstel
2.1. Regeling controle van de verzekeringsplicht voor de zorgverzekering
2.1.1 Aanleiding en doel van de bovenbedoelde regeling
De leden van de CDA-fractie vragen op basis waarvan de schatting is gemaakt dat ongeveer 79.000 personen niet
verzekeringsplichtig zijn en toch een zorgverzekering hebben. Waardoor wordt de afname
sinds 2015 van 92.500 naar 79.000 niet-verzekeringsplichtige verzekerden veroorzaakt?
De leden van de D66-fractie lezen dat verzekeringnemers, hoewel daartoe verplicht, hun zorgverzekeraar niet altijd
volledig en tijdig informeren over feiten en omstandigheden die van belang zijn voor
het voortbestaan van de verzekeringsplicht. Deze leden vragen op welke wijze het voorliggende
voorstel bevordert dat de verzekeringnemers van deze verplichting op de hoogte worden
gesteld. De leden van de D66-fractie vragen of de regering uiteen kan zetten wat tot
dusver is gedaan om het aantal niet-verzekeringsplichtige verzekerden te beperken,
en waarom deze maatregelen onvoldoende effectief zijn gebleken.
De leden van de SP-fractie willen graag weten wat voor extra handelingen de Sociale Verzekeringsbank (SVB) en
de zorgverzekeraars zullen verrichten om de verzekeringsplicht beter te kunnen vaststellen.
2.1.2 Verzekeringsplicht voor de zorgverzekering
De leden van de CDA-fractie vragen of met de voorgestelde wijzigingen de primaire verantwoordelijkheid van de
verzekeringnemer om de zorgverzekeraar op de hoogte te stellen, vervalt. Welke consequenties
heeft het voor de verzekeringnemer als hij of zij de informatie niet (tijdig) verstrekt?
Wat gebeurt er als een niet-verzekeringsplichtige verzekerde bij een zorgverzekeraar
zorg declareert? Mag een zorgverzekeraar deze dan weigeren?
De leden van de SP-fractie vragen wat voor problemen zorgverzekeraars ondervinden bij de toetsing van de verzekeringsplicht.
Daarnaast willen zij graag weten waarom zorgverzekeraars zelf controleren of verzekerden
verzekeringsplichtig zijn onder de Zorgverzekeringswet (Zvw), en of het niet wenselijk
is om deze taak bij de SVB neer te leggen.
Welke verklaring heeft de regering voor de astronomische groei in het aantal verzoeken
aan de SVB om na te gaan of iemand ingevolge de Wet langdurige zorg (Wlz) van rechtswege
verzekerd is? Wat is het verschil tussen verzoeken van zorgverzekeraars en spontane
verzoeken, en wat is de verklaring voor de stijging van die laatste categorie?
2.1.3 Gerede twijfel zorgverzekeraars
De leden van de CDA-fractie vragen of een zorgverzekeraar alleen bij het sluiten van een nieuwe zorgverzekering
het vermelde adres van de aspirant-verzekerde mag checken in de basisregistratie,
of dat de zorgverzekeraar dit jaarlijks mag doen. Als zorgverzekeraars dit nu al jaarlijks
mogen doen, wat zijn dan redenen dat zij dat in de praktijk niet doen?
De leden van de SP-fractie willen graag weten wat voor regels met dit wetsvoorstel bij ministeriële regeling
gesteld kunnen worden over de vaststelling van de verzekeringsplicht door de zorgverzekeraar.
Zal de Richtlijn toepassing gerede twijfel verzekeringsplicht Zorgverzekeraars Nederland
(Richtlijn gerede twijfel) afdwingbaar worden en zo ja, waarom is dit wenselijk? Komt
het vaak voor dat zorgverzekeraars niet actief optreden als het gaat om hun taak om
vast te stellen of verzekerden verzekeringsplichtig zijn?
2.1.4 Bestandvergelijking SVB
De SVB kan een bestandsvergelijking uitvoeren tussen de Basisadministratie Volksverzekeringen
(BAV) en het Referentiebestand verzekerden Zorgverzekeringswet (RBVZ) van de gezamenlijke
zorgverzekeraars. Op basis van die vergelijking kan het aantal niet-verzekeringsplichtige
verzekerden worden teruggedrongen. De leden van de CDA-fractie vragen waarom dit niet nu al standaard gebeurt.
De regering schrijft tegelijk dat het niet uit te sluiten is dat de gegevens waar
de SVB over beschikt niet compleet of actueel zijn. Dat betekent dat bij een bestandsvergelijking
iemand ook als een niet-verzekeringsplichtige verzekerde geïdentificeerd wordt, terwijl
die persoon wel degelijk verzekeringsplichtig is. De leden van de CDA-fractie vragen
hoe de verzekerde beschermd wordt tegen onterechte uitschrijving in een dergelijk
geval. Moet de verzekerde in eerste instantie door de zorgverzekeraar geïnformeerd
worden? Zijn er mogelijkheden om in beroep te gaan?
De leden van de D66-fractie lezen dat de SVB een registratie bijhoudt van degenen die verzekerd zijn ingevolge
de Wet langdurige zorg door middel van de BAV. Door deze BAV periodiek te vergelijken
met het gezamenlijke bestand van de zorgverzekeraars waarin hun verzekerden zijn opgenomen,
het RBVZ, kunnen de personen gezocht en gevonden worden die ten onrechte een zorgverzekering
hebben omdat een verzekeringsplicht ontbreekt, zo lezen deze leden. De SVB zal er
melding van doen bij de zorgverzekeraar over de uitkomsten van de bestandsvergelijking.
Het is dan aan de zorgverzekeraar om hieraan gepaste consequenties te verbinden. Er
kunnen echter verschillende oorzaken zijn voor verschillen tussen de BAV en de RBVZ.
Kan de regering deze verschillende oorzaken uiteenzetten? Het is vervolgens aan de
zorgverzekeraar om te bepalen welke gevolgen worden verbonden aan de uitkomst van
de bestandsvergelijking en de zorgverzekeraar zal dit doen aan de hand van de in de
Richtlijn gerede twijfel opgenomen criteria. Echter, genoemde leden lazen ook dat
naleving van de Richtlijn gerede twijfel door zorgverzekeraars niet kan worden afgedwongen.
Zorgverzekeraars zijn niet gehouden de in die richtlijn opgenomen handelingen uit
te voeren. Hoe kan dan worden gegarandeerd dat zorgverzekeraars, aan de hand van de
in de Richtlijn gerede twijfel opgenomen criteria, zullen bepalen welke consequenties
er verbonden zullen worden aan de uitkomsten van de bestandsvergelijking? Zullen deze
criteria worden opgenomen in de ministeriële regeling? Deze leden merken ook op de
bestandsvergelijking periodiek zal plaatsvinden. Hoe vaak zal dit zijn? En kan de
zorgverzekeraar nog steeds een verzoek blijven doen aan de SVB om na te gaan of iemand
ingevolge de Wet langdurige zorg van rechtswege is verzekerd?
De leden van de SP-fractie constateren dat louter een bestandsvergelijking niet genoeg is om te concluderen
of iemand verzekeringsplichtig is. Zij vragen dan ook wat voor extra maatregelen zullen
worden getroffen om wel zeker te zijn. De zorgverzekeraar bepaalt vervolgens welke
gevolgen worden verbonden aan de uitkomst van de bestandsvergelijking. Hoe groot acht
de regering de kans dat er abusievelijk zorgverzekeringen worden stop- /of voortgezet?
2.2 Regeling verwerking gepseudonimiseerde persoonsgegevens door de Minister voor
Medische Zorg, het Zorginstituut en het RIVM
2.2.1 Aanleiding en doel van de bovenbedoelde regeling
De Artikel 29-werkgroep heeft het standpunt ingenomen dat pseudonimisering geen definitief
onomkeerbare bewerking van persoonsgegevens is en dat deze gegevens daardoor het karakter
van persoonsgegevens behoudt. De leden van de CDA-fractie vragen de regering hoe andere Europese landen met dit standpunt omgaan.
De leden van de SP-fractie willen graag weten welke gegevens gepseudonimiseerd worden en welke niet. Welke gegevens
zijn er nodig om de verzekeringsplicht vast te stellen? Welke niet? Welke gegevens
zullen niet gepseudonomiseerd worden? En welke gegevens worden altijd gepseudonimiseerd?
Er worden veel verschillende partijen genoemd die gebruik maken van gepseudonimiseerde
gegevens (RIVM, SVB, de Minister voor Medische Zorg, het Zorginstituut). Hoe meer
partijen persoonlijke (gezondheids-)gegevens tot hun beschikking hebben (om welke
reden/wet dan ook), hoe groter de kans op bijvoorbeeld fouten of datalekken. Wat is
de stand van zaken als het gaat om meldingen van datalekken van persoonlijke (gezondheids-)gegevens?
Hoe vaak is dit de afgelopen twee jaar voorgekomen? Welke acties worden er ondernomen
om (de herhaling van) dergelijke situaties te voorkomen?
2.2.2 Regeling voor verwerking van gepseudonimiseerde persoonsgegevens door de Minister
voor Medische Zorg, het Zorginstituut en het RIVM
Deze leden van de D66-fractie lezen dat het wetsvoorstel de verwerking van gepseudonimiseerde persoonsgegevens
regelt voor de Minister voor Medische Zorg, het Zorginstituut en het met infectieziektebestrijding
belaste onderdeel van het RIVM voor verschillende, afgebakende doeleinden. Deze leden
vragen of, en op welke wijze de mogelijkheden die hiermee wettelijk worden vastgelegd,
afwijken van de mogelijkheden die de Minister voor Medische Zorg, het Zorginstituut
en het RIVM momenteel hebben voor het uitvoeren van hun taken.
De leden van de D66-fractie lezen dat de persoonsgegevens tweemaal worden gepseudonimiseerd
door een ingeschakelde vertrouwde derde partij, de trusted third party (TTP). De TTP beschikt als enige over de sleutels voor de pseudonimisering. De ingeschakelde
TTP zendt echter de persoonsgegevens alleen door en slaat ze niet op. De ingeschakelde
TTP kan gezien de daarmee gemoeide onevenredige grote inspanningen, technische uitdagingen
en de grote risico’s voor de integriteit van de gegevensbestanden, de pseudonimisering
feitelijk niet ongedaan maken. De combinatie van pseudonimisering en andere technische
en organisatorische maatregelen vormt een passende waarborg voor de bescherming van
de persoonsgegevens van de betrokkenen. Kan de regering nog nader ingaan op de «andere»
technische en organisatorische maatregelen, die voor een passende waarborg zorgen?
Kan de regering nader ingaan op de aanwijzing van de TTP? Klopt het dat alleen met
behulp van de TTP-gegevens weer tot de persoon herleidbaar kunnen worden? Deze leden
lezen dat de TTP de persoonsgegevens niet op slaat, maar alleen doorzendt. Hoe lang
blijven de gegevens in bezit van de TTP, om deze te kunnen pseudonimiseren? Op welke
wijze zou de pseudonimisering ongedaan gemaakt kunnen worden, wat als een van de risico’s
wordt genoemd? Op welke wijze zou er sprake kunnen zijn van indirecte herleidbaarheid;
een ander risico dat wordt benoemd? Kan hiervan een voorbeeld worden gegeven?
Het mag bekend geacht worden dat de leden van de SP-fractie een groot belang hechten aan een veilige informatiedeling van persoonlijke (gezondheids-)gegevens
en tegelijkertijd aan een goede bescherming van de privacy van de betrokkenen. Zij
vinden het dan ook goed dat hier binnen verschillende wetten aandacht aan wordt besteed
en dat de Algemene Verordening Gegevensbescherming (AVG) een duidelijke plaats krijgt.
Op dit onderdeel hebben de leden van de SP-fractie echter nog wel een aantal vragen.
In de memorie van toelichting wordt aangegeven dat «pseudonimisering van persoonsgegevens
een methode vormt voor de bescherming van die gegevens teneinde de inbreuk op de bescherming
van persoonsgegevens zoveel mogelijk te beperken». Graag ontvangen de leden van de
SP-fractie een nadere toelichting op de zinssnede «zoveel mogelijk». Wat wordt gezien
als zoveel mogelijk? In hoeverre is de regering van mening dat middels de nu voorgestelde
wijzigingen de privacy en gezondheidsgegevensbescherming voldoende/goed is geregeld
binnen de desbetreffende wetten? Genoemde leden zijn benieuwd of er andere wijzigingsvoorstellen
op dit gebied op korte termijn te verwachten zijn.
3. (Financiële) gevolgen en regeldrukgevolgen
3.1 Effecten
De leden van de SP-fractie constateren dat de wijzigingen niet op verzoek maar periodiek gegevens uitwisselen
en vragen waarom hiervoor is gekozen en wat voor verbeteringen dit met zich mee zal
brengen.
3.2 Regeldrukgevolgen
De leden van de SP-fractie vragen welke wettelijke grondslag er bestaat voor de uitwisseling van gegevens tussen
de SVB en zorgverzekeraars die reeds plaatsvindt. In wat voor gevallen komt dit voor
en hoe verschillen deze van de casussen waarvoor deze wijzigingen worden doorgevoerd?
Op basis waarvan is vastgesteld dat deze processen niet optimaal zijn en wat zijn
de meest voorkomende foute afwegingen die zorgverzekeraars maken in dit verband?
4. Uitvoering
4.1 Privacy Impact Assessment
De leden van de SP-fractie begrijpen dat uit zowel de Privacy Impact Assessment (PIA) van de SVB, de zorgverzekeraars, het Ministerie van Volksgezondheid, Welzijn
en Sport als het Zorginstituut en het RIVM blijkt dat de risico’s afwezig of zeer
klein zijn. Deze leden vinden dit een belangrijk gegeven. Zij vragen wel of het mogelijk
is om een jaar na invoering van de wetswijziging nogmaals een dergelijke privacy impact
assessment uit te voeren, omdat tegen die tijd wellicht nieuwe relevante situaties
bestaan/informatie beschikbaar is. Door de bescherming van de privacy en de persoonlijke
gegevens regelmatig te beoordelen kunnen wellicht problemen in een vroeg stadium worden
gesignaleerd, dan wel voorkomen.
5. Consultatie en advisering
5.1 AP
De leden van de SP-fractie lezen de reactie van de Autoriteit Persoonsgegevens (AP) op het concept-wetswijzigingsvoorstel
en de reactie van de regering op de door de AP gemaakte opmerkingen en suggesties.
Genoemde leden vinden het positief dat de opmerkingen en adviezen van de AP serieus
genomen worden en dat bijvoorbeeld is besloten dat de SVB geen gebruik zal maken van
een bestand met gemoedsbezwaren en dat besloten is het voornemen tot het gebruik van
het Burgerservicenummer (BSN) op polisbladen en in correspondentie met verzekerden
te schrappen. Immers, gegevensdeling is van belang, maar deze moet volgens de leden
van de SP-fractie wel beperkt blijven tot enkel de noodzakelijke gegevens. Het gebruik
van zulke op de persoon herleidbare informatie moet met grote voorzichtigheid plaatsvinden.
Genoemde leden zijn benieuwd naar het oordeel van de AP als het gaat om de wijze van
verwerking van hun opmerkingen/aanvullingen in het uiteindelijke wetswijzigingsvoorstel.
Zij vragen dan ook of het mogelijk is om een reactie van de AP te ontvangen hierop.
Zou de AP bij het nu voorliggende voorstel wel over kunnen gaan tot het adviseren
van het indienen van het voorstel? Oftewel wijzigt het Dictum van de AP?
De voorzitter van de commissie, Lodders
Adjunct-griffier van de commissie, Bakker
Ondertekenaars
-
Eerste ondertekenaar
W.J.H. Lodders, voorzitter van de vaste commissie voor Volksgezondheid, Welzijn en Sport -
Mede ondertekenaar
J. Bakker, adjunct-griffier
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.