Memorie van toelichting : Memorie van toelichting

Nr. 3
MEMORIE VAN TOELICHTING

1. ALGEMEEN

1.1 Inleiding

Vanuit zowel de politiek, de zorgpraktijk als de maatschappij, wordt fraude in de
zorg gekenschetst als een groot maatschappelijk probleem en een zeer kwalijk fenomeen.
Zorgbehoevenden moeten daadwerkelijk de zorg krijgen die zij nodig hebben en waar
zij recht op hebben. Zij moeten kunnen vertrouwen op bijvoorbeeld hun zorgaanbieder
en mogen niet de dupe worden, noch wat betreft de toegang tot en kwaliteit van zorg
noch financieel, van zorgaanbieders die frauderen. Daar komt bij dat jaarlijks veel
geld omgaat in de zorgsector, dat wordt opgebracht door de premie- en belastingbetaler.
Mensen moeten erop kunnen vertrouwen dat middelen die bestemd zijn voor de zorg ook
daadwerkelijk aan zorg worden besteed. Het is onacceptabel dat misbruik wordt gemaakt
van maatschappelijke voorzieningen voor eigen (financieel) gewin. Fraude tast dus
niet alleen de betaalbaarheid van de zorg aan, maar ondermijnt ook het vertrouwen
in de integriteit van zorgaanbieders en gaat ten koste van solidariteit en de bereidheid
van mensen om bij te dragen aan de kosten van de gezondheidszorg. Zowel zorgbehoevenden
als de maatschappij moeten dan ook worden beschermd tegen fraude en de fraudeurs moeten
worden aangepakt. Er is sprake van een zwaarwegend algemeen belang en dit belang is
een prioriteit van Ministerie van Volksgezondheid, Welzijn en Sport (VWS).1 Daarnaast is ook vanuit de Tweede Kamer bij herhaling aangegeven dat fraude in de
zorg onacceptabel is en effectief dient te worden aangepakt.2

Het zorgdomein bestaat uit diverse domeinen (geografisch, soort zorg, etc.) en binnen
die domeinen worden de zorgwetten uitgevoerd door verschillende instanties. Hierbij
zijn gemeenten en ziektekostenverzekeraars betrokken en daarnaast spelen de IGJ, de
NZa, het CIZ en de SVB een rol. Tot slot is er nog een rol weggelegd voor de Inspectie
SZW, de rijksbelastingdienst en de FIOD.3 Gezamenlijk wordt dit als «de keten» aangeduid. Voor de bestrijding van fraude in
de zorg is het niet alleen van belang dat iedere betrokken instantie zijn eigen verantwoordelijkheid
neemt en rol vervult, maar ook dat zij effectief samenwerken met andere instanties.
De instanties beschikken vanuit hun eigen rol en verantwoordelijkheden en binnen hun
eigen domein over bepaalde informatie ten aanzien van (rechts)personen (hierna ook
aangeduid als «partij(en)») die in dat domein actief zijn, maar geen van allen heeft
een compleet beeld. Deze versnippering van informatie kan ertoe leiden dat fraude
(langer dan nodig) onopgemerkt blijft of dat de omvang ervan wordt onderschat en dat
daar niet, al dan niet preventief, adequaat tegen wordt opgetreden. Door in geval
van vermoeden van fraude samen te werken, de krachten te bundelen en kennis, informatie
en ervaring met elkaar te delen, kunnen instanties over meer en betere informatie
beschikken, hebben zij een beter beeld van wat er speelt en kunnen zij vervolgens
gerichter maatregelen treffen en activiteiten onderling afstemmen. Dat vergroot de
effectiviteit van de aanpak van fraude in de zorg op niveau van de betrokken instanties
en de domeinen waarin zij actief zijn, maar ook op het niveau van het gehele zorgdomein.
Dat maakt samenwerking en het in dat kader uitwisselen van gegevens dan ook noodzakelijk
voor de uitvoering van de taken van de betrokken instanties en het zwaarwegende algemeen
belang dat in het verlengde daarvan daarmee wordt gediend. De samenleving verwacht
ook dat de overheid in geval van misstanden adequaat optreedt als een georganiseerd
geheel. De ontwikkelingen op het terrein van ICT bieden instanties immers steeds vaker
mogelijkheden om tot een uitwisseling van informatie te komen en op grond van deze
informatieanalyses te maken die tot een integraal en effectief optreden leiden.

In het programmaplan Rechtmatige Zorg 2018–2021 werkt VWS met een groot aantal instanties
samen aan het bestrijden, dat wil zeggen tegengaan en voorkomen, van fraude in de
zorg.4 Ten behoeve van dat doel werken instanties daar waar mogelijk overigens ook al bilateraal
en multilateraal met elkaar samen en zijn er grondslagen die enkele mogelijkheden
bieden gegevens uit te wisselen. Zo is in 2016 het samenwerkingsverband Informatieknooppunt
zorgfraude (hierna: «het samenwerkingsverband IKZ») door instanties opgericht.5 De intensivering en verbreding van de samenwerking tussen diverse instanties bij
het bestrijden van fraude in de zorg, hebben de knelpunten waarop instanties stuiten
bij het samenwerken en uitwisselen van gegevens duidelijk gemaakt. Wetgeving is noodzakelijk
teneinde de knelpunten, die bestaan uit het ontbreken van voldoende grondslagen voor
en verplichting tot noodzakelijke uitwisseling van persoonsgegevens, onduidelijkheid
over bevoegdheden en de borging van de rol van het samenwerkingsverband IKZ, weg te
nemen. Dit is nodig voor een efficiënte en zorgvuldige op de praktijkgerichte bestrijding
van fraude in de zorg. Ten aanzien van het samenwerkingsverband IKZ wordt hier in
hoofdstuk 4 nader op ingegaan.

Hoewel veel gegevens rechtspersonen betreffen en uitwisseling van die gegevens kan
plaatsvinden, worden knelpunten ervaren als het gaat om de uitwisseling van persoonsgegevens.6 Het voornaamste knelpunt vloeit onder andere voort uit een ander aspect waar de samenleving
een zorgvuldig en terughoudend optreden van de overheid en het bedrijfsleven verlangt, te
weten de privacy van burgers. Het kader hiervoor wordt met name gevormd door het Europees
Verdrag tot bescherming van de Rechten van de Mens en de fundamentele vrijheden (EVRM),
de Algemene verordening gegevensbescherming (AVG) en het Handvest van de grondrechten van de
Europese Unie (EU-Handvest). De regering hecht grote waarde aan dit fundamentele recht
op privacy. Bij de behartiging van beide belangen, de bestrijding van fraude in de
zorg en borging van privacy van betrokkenen, moet een evenwicht worden gevonden.

In de praktijk ziet het genoemde knelpunt er als volgt uit. Bij de bestrijding van
fraude in de zorg kunnen en worden al veel gegevens uitgewisseld tussen de samenwerkende
instanties. Het gaat dan bijvoorbeeld om informatie over grote(re) zorgaanbieders,
die opereren in de vorm van een B.V. of N.V., waarbij geen persoonsgegevens worden
uitgewisseld en derhalve de privacy van personen niet in het geding is. Er zijn echter
ook gevallen waarin wel persoonsgegevens (moeten) worden verwerkt en waarop het privacy
kader van toepassing is.7 Dit kan bijvoorbeeld het geval zijn als het gaat om gegevens van een partij die geen
rechtspersoon is, maar die actief is als een eenmanszaak of maatschap. In de meer
uitzonderlijke gevallen worden persoonsgegevens over een zorgbehoevende uitgewisseld.
Bijvoorbeeld als sprake is van samenspanning van een zorgbehoevende met een zorgaanbieder.
Gebleken is dat de huidige (sectorale) wet- en regelgeving daar waar het de verwerking
van persoonsgegevens betreft, onvoldoende is toegerust om binnen de kaders van privacyregelgeving
een efficiënte en zorgvuldige samenwerking tussen instanties in het kader van bestrijding
van fraude in de zorg mogelijk te maken. Er ontbreken noodzakelijke grondslagen voor
integrale samenwerking en het uitwisselen van persoonsgegevens en de huidige situatie
leidt ook tot onduidelijkheid over het antwoord op de vraag op welke (mogelijke) grondslag,
welke persoonsgegevens door wie en aan wie kunnen worden verstrekt. Het ontbreken
van een grondslag of onduidelijkheid over (het bestaan van) een grondslag voor een
verwerking, zoals het uitwisselen van persoonsgegevens, staat aan een onderlinge verstrekking
van persoonsgegevens in de weg of leidt tot gebreken in die verwerking.

Bij de uitwisseling van gegevens, niet zijnde persoonsgegevens, wordt daarnaast in
zijn algemeenheid als knelpunt ervaren dat binnen de huidige wettelijke kaders niet
altijd duidelijk is wat van elke instantie in de keten wordt dan wel kan worden verwacht.
In de huidige situatie is er onduidelijkheid over de vraag welke instantie in een
bepaald geval gegevens kan of moet verstrekken aan een andere instantie, dan wel is
niet geregeld dat of tot welke gegevensuitwisseling instanties gehouden zijn. Als
gevolg daarvan houden instanties gegevens onnodig (lang) voor zichzelf, hetgeen in
de weg staat aan een effectieve samenwerking en aanpak van fraude in de zorg.

1.2 Doelen wet

Met deze wet worden ten aanzien van de genoemde knelpunten de mogelijkheden tot samenwerking
en de daarvoor benodigde gegevensuitwisseling ten behoeve van bestrijding van fraude
in de zorg verbeterd. Binnen de kaders van privacyregelgeving, met oog voor de gevoeligheid
van de gegevens en met zorg voor de privacy van betrokkenen, draagt deze wet bij aan
een efficiënte doch zorgvuldige samenwerking tussen instanties. De wet bestaat uit
drie onderdelen die hieronder worden geïntroduceerd en in hoofdstuk 3 respectievelijk
hoofdstuk 4 nader worden toegelicht. Met deze wet is niet beoogd te veranderen wat
op basis van geldende wet- en regelgeving reeds mogelijk is om samen te werken en
fraude te voorkomen of anderszins te bestrijden. De wet brengt dan ook geen verandering
met zich mee ten aanzien van de reeds bestaande grondslagen voor en mogelijkheden
tot het bilateraal dan wel multilateraal uitwisselen van gegevens. Handhavend en toezichthoudend
optreden is per rechtsgebied gebonden aan eigen kaders en daarover wordt in de onderhavige
wet niets geregeld.

1.3 Onderdelen van de wet

Het eerste onderdeel van de wet biedt een wettelijke grondslag voor de in artikel
2.1 genoemde instanties, te weten gemeenten en ziektekostenverzekeraars, onderling
(persoons)gegevens te verstrekken over partijen ten aanzien van wie de gerechtvaardigde
overtuiging bestaat dat zij fraude in de zorg hebben gepleegd. De voorwaarde daarvoor
is dat deze gegevens noodzakelijk zijn voor de bestrijding van die fraude. De gerechtvaardigde
overtuiging komt tot stand op basis van voorwaarden die worden opgenomen in een protocol.
Daarmee zijn tevens de mogelijkheid en kaders gecreëerd voor een gezamenlijk systeem
voor onderlinge uitwisseling van gegevens. De vorm van dat systeem wordt niet voorgeschreven
en is aan de betrokken instanties, genoemd in artikel 2.1 van deze wet, maar gedacht
wordt aan een centraal registratiesysteem. Er is beoogd de uitwisseling van gegevens
zo techniek-onafhankelijk mogelijk te regelen, daargelaten de passende waarborgen
bij de verwerking van persoonsgegevens. Dit registratiesysteem wordt door betrokken
instanties momenteel aangeduid als het Waarschuwingsregister zorgfraude (hierna: «het
Waarschuwingsregister») en wordt in deze toelichting als uitgangspunt genomen. Het
Waarschuwingsregister is bedoeld om zowel natuurlijke personen als rechtspersonen
te registreren waarvan de gerechtvaardigde overtuiging bestaat dat zij fraude hebben
gepleegd, teneinde andere instanties voor deze partijen te waarschuwen. In een bestaande
relatie dan wel bij het aangaan van een nieuwe relatie met een dergelijke partij,
kunnen dan risico beperkende maatregelen worden getroffen.

Het tweede onderdeel van de wet betreft de wettelijke grondslag voor de in 2.3, eerste
lid, genoemde instanties voor het verstrekken van (persoons)gegevens in het geval
die voor de bestrijding van fraude in de zorg noodzakelijk zijn voor een of meerdere
van de in dit lid genoemde instanties.8 De hiervoor genoemde betrokken instanties verstrekken de gegevens aan het Informatieknooppunt
zorgfraude (hierna: «het IKZ»). Er is niet langer een samenwerkingsverband, maar het
IKZ wordt een instelling als zodanig aangewezen door Onze Minister. Het krijgt in
artikel 2.3, derde lid, een wettelijke taak en moet op grond daarvan de hiervoor bedoelde
gegevens verrijken. Dat betekent dat de gegevens worden aangevuld met andere noodzakelijke
gegevens van betrokken instanties en gegevens uit de daartoe in artikel 2.3, tweede
lid, aangewezen bronnen. Het resultaat hiervan moet het IKZ vervolgens aan de daartoe
geëigende instantie(s) te verstrekken. Het gaat dan om een of meer in artikel 2.3
van deze wet genoemde instanties, die gelet op hun wettelijke taak en rol zijn aangewezen
de betreffende fraude in de zorg aan te pakken en voor wie deze gegevens noodzakelijk
zijn in het kader van bestrijding van die fraude. Het stelt deze instanties in de
gelegenheid efficiënter en, mede met het oog op privacy, zorgvuldig te beoordelen
of sprake is van fraude in de zorg.

Het verstrekken van gegevens tussen betrokken instanties en het IKZ maakt onderdeel
uit van hetgeen in de praktijk het uitwisselen van signalen van fraude in de zorg
(hierna ook: «signalen») wordt genoemd. Het gaat om signalen, waar ook (persoons)gegevens
onderdeel van uitmaken, die aanleiding geven tot een vermoeden van fraude in de zorg.
In deze memorie van toelichting wordt bij de terminologie uit de praktijk aangesloten.
Daarom wordt bijvoorbeeld het verstrekken van gegevens door betrokken instanties aan
het IKZ en andersom aangeduid als «het uitwisselen van signalen», gaat het om «het
verrijken van signalen door het IKZ» en wordt het resultaat van de verwerking van
gegevens door het IKZ «het verrijkte signaal» genoemd.

In artikel 2.4 van deze wet krijgt het IKZ ook de taak ten behoeve van Onze Minister
en de betrokken instanties trends en ontwikkelingen met betrekking tot fraude in de
zorg te signaleren en daarover beleidsinformatie en statistische gegevens te ontwikkelen.
Zoals in paragraaf 4.3 nader is toegelicht, is de mogelijkheid in dit kader persoonsgegevens
te verwerken beperkt.

Het in een centraal registratiesysteem zoals het Waarschuwingsregister onderling uitwisselen
van (persoons)gegevens enerzijds en de uitwisseling van (persoons)gegevens met tussenkomst
van het IKZ anderzijds, zijn twee verschillende en apart van elkaar functionerende
instrumenten. Zij hebben elk eigen kenmerken en functies en dienen elk een eigen doel.
De mogelijkheden tot het gebruik van de instrumenten en de daarin opgenomen gegevens
zijn, mede gelet op de te onderscheiden doelen, afzonderlijk van elkaar geregeld en
voorzien van eigen voorwaarden en waarborgen. Er is geen directe relatie tussen (het
gebruik van) de twee instrumenten.

Het derde onderdeel van deze wet betreft de wettelijke grondslag en verplichting voor
het Inlichtingenbureau (IB). Het IB wordt verwerkingsverantwoordelijke en krijgt een
rol in de gegevensuitwisseling tussen gemeenten en het IKZ. Een en ander wordt nader
toegelicht in paragraaf 4.8.

1.4 Geen doorbreking medisch beroepsgeheim

Vooraf wordt voorts opgemerkt dat in het wetsvoorstel aanvankelijk de mogelijkheid
was opengelaten om het medisch beroepsgeheim wettelijk te doorbreken. Dit heeft veel
reacties opgeroepen en zowel vanuit het zorgdomein als vanuit de samenleving zijn
hierover zorgen geuit. De regering deelt deze zorgen en mede gelet op de voornoemde
reacties, is het in deze wet uitgesloten om gegevens uit te wisselen waarop het medisch
beroepsgeheim rust. Dit wordt nader toegelicht in hoofdstuk 5 en in de artikelsgewijze
toelichting.

1.5 Leeswijzer

Deze memorie van toelichting is als volgt opgebouwd. In hoofdstuk 2 wordt ingegaan
op het begrip fraude in de zorg. Ook wordt aandacht besteed aan de noodzaak van wetgeving
gelet op de problematiek die deze fraude met zich brengt en de knelpunten in de aanpak
van deze vorm van fraude. Tot slot wordt inzicht gegeven in de wijze waarom deze wet
bijdraagt aan de oplossing van de problematiek. Hoofdstuk 3 gaat over gegevensverstrekking
bij gerechtvaardigde overtuiging van fraude in de zorg en het in dat kader op te stellen
protocol. Hoofdstuk 4 gaat over het IKZ en het IB. Aansluitend wordt ingegaan op privacyaspecten,
het EVRM, de AVG, het EU-Handvest en het medisch beroepsgeheim (hoofdstuk 5), de gegevensbeschermingseffectbeoordeling
(hoofdstuk 6), de regeldruk (hoofdstuk 7), consultatie en advies (hoofdstuk 8) en
de financiële gevolgen van dit wetsvoorstel (hoofdstuk 9).

2. Achtergrond

2.1 Fraude in de zorg

In onderhavige wettekst en deze toelichting wordt de terminologie «fraude in de zorg»
gehanteerd. Voor een goed begrip behoeven de twee elementen, zorg en fraude, een nadere
duiding.

Zorg is geen eenduidig begrip. Zo zijn er meerdere VWS-wetten die elk een andere reikwijdte
hebben gegeven aan dit begrip. Voor de ene toezichthouder of opsporingsdienst zal
het begrip zorg een ruimere betekenis hebben dan voor de ander. Gezien het overkoepelende
karakter van dit wetsvoorstel moet het begrip zorg worden gelezen in de context van
de domeinen waarop dit wetsvoorstel betrekking heeft en waarbinnen de toezichthouders
en opsporingsdiensten in het kader van de diverse zorgwetten opereren. Onder zorg
wordt in deze wet ook maatschappelijke ondersteuning en jeugdhulp verstaan, maar in
deze toelichting zal kortweg het begrip zorg worden gebruikt. In het verlengde van
het begrip zorg, ligt het begrip zorgaanbieder. Dat begrip heeft eveneens een gevarieerde
reikwijdte in diverse wetten. In deze toelichting wordt met de term zorgaanbieder
ook de verlener van maatschappelijke ondersteuning en jeugdhulp bedoeld. Voorts wordt
in deze toelichting daar waar mogelijk gesproken over zorgbehoevende(n), aangezien
door de brede reikwijdte van dit wetsvoorstel sprake kan zijn van verzekerden, cliënten
en patiënten. Alleen in specifieke gevallen of beschrijving van casuïstiek zullen
laatstgenoemde termen worden gebruikt.

Onder fraude wordt in de Van Dale verstaan bedrog, gepleegd door vervalsing van administratie.
Bedrog betekent hierbij het opzettelijk wekken van onjuiste voorstellingen en met
vervalsing is het opzettelijk veranderen met boze bedoelingen bedoeld. In andere (taalkundige)
begripsomschrijvingen komen ook misleiden en het schenden van vertrouwen naar voren
als aspecten van het begrip fraude. Als uitgangspunt wordt aanvaard dat de gedraging,
om te kunnen spreken van fraude, moet zijn gericht op het opzettelijk behalen van
(financieel) voordeel. In het algemeen spraakgebruik roept het begrip fraude geen
vragen op.

In een meer juridische benadering moet worden vastgesteld dat het bij fraude niet
om één, maar om meerdere strafbare gedragingen gaat. Dat bemoeilijkt een juridische
afbakening van het begrip fraude. Er is geen specifieke, definiërende bepaling betreffende
fraude in het Wetboek van Strafrecht of in een andere wet. Het moet als verzamelbegrip
worden opgevat. Het begrip bestrijkt verschillende verschijningsvormen van gedragingen
waarbij met het oog op financieel gewin opzettelijk misleidend wordt gehandeld en waardoor burgers, bedrijven, organisaties en overheden financieel
worden benadeeld. Het kan gaan om (meer) algemene of (meer) specifieke vormen van
fraude. In het strafrecht zijn er kapstokbepalingen zoals valsheid in geschrifte,
bedrog en witwassen.

Gelet op wat er in het spraakgebruik en diverse wettelijke bepalingen (impliciet)
onder fraude wordt verstaan, wordt in deze wet uitgegaan van een algemene benadering
van het begrip fraude. Onder het begrip fraude in de zorg wordt in deze wet verstaan
het opzettelijk misleidend handelen binnen het zorgdomein, met het oog op eigen of
andermans gewin, voor zover het in de wet strafbaar gestelde feiten betreft. Zo is
het ook opgenomen in de begripsomschrijving van artikel 1.1. Zoals hiervoor in paragraaf
1.2 reeds aan de orde kwam, moet per geval worden beoordeeld wat op basis van geldende
wet- en regelgeving mogelijk is om fraude te voorkomen of anderszins te bestrijden.
Daarbij moet gedacht worden aan opsporing en vervolging, terugvorderingen en herziening
van beschikkingen. Handhavend optreden is per rechtsgebied gebonden aan eigen normatieve
kaders. Met deze wet is niet beoogd daartussen te komen, verandering in aan te brengen
of nieuwe kaders dan wel grondslagen voor te vormen. De volgende voorbeelden geven
een illustratie van wat in de praktijk onder fraude in de zorg wordt verstaan.

Het gaat bijvoorbeeld om spookzorg, waarbij zorg wordt gedeclareerd terwijl deze niet
is geleverd, of pakketfraude, waarbij onverzekerde zorg als verzekerde zorg wordt
gedeclareerd. Met declaraties worden diverse vormen van fraude geconstateerd, zoals
het in aparte delen declareren van een bundel zorgactiviteiten, het declareren van
duurdere behandelingen dan die zijn geleverd en onterechte bijbetalingen voor zorg
die bij de geleverde prestatie hoort. Daarnaast wordt er gefraudeerd met persoonsgebonden
budget (pgb), waarbij het budget aan iets anders dan zorg wordt besteed, de hoogte
van de declaratie niet overeenkomt met de ingekochte of geleverde zorg en het onnodig
of te hoog indiceren van een zorgbehoevende.

2.2 Noodzaak wetgeving

In de inleiding van de memorie van toelichting is reeds de problematiek geschetst
die aanleiding geeft tot deze wet. In deze paragraaf zal mede aan de hand van enkele
voorbeelden de noodzaak tot deze wet nader worden toegelicht. Daarbij wordt ingegaan
op enerzijds de persoonlijke, financiële en maatschappelijke gevolgen die het zwaarwegende
algemeen belang bij bestrijding van fraude in de zorg vormen en anderzijds komen de
praktische elementen aan bod, zoals de knelpunten in het bestaande instrumentarium
die aan aanpak van fraude in de zorg in de weg staan.

Persoonlijke, financiële en maatschappelijke gevolgen: noodzaak tot bestrijden fraude
in de zorg

De persoonlijke, financiële en maatschappelijke gevolgen van fraude in de zorg hangen
nauw met elkaar samen.

Neem bijvoorbeeld een casus uit de Wet maatschappelijke ondersteuning 2015 (Wmo 2015). Een jonge vrouw die haar ouders is verloren en geen sociaal vangnet heeft,
ontvangt een pgb uit de Wmo 2015. Een zorgaanbieder biedt haar zogenaamd «bescherming».
Ze krijgt een indicatie voor beschermd wonen, maar alle zorg die geleverd wordt is
beperkt tot een uurtje per week koffie drinken met een begeleider. Haar volledige
pgb van € 3.300,– per maand gaat naar haar zorgaanbieder, die dit doorsluist naar
het buitenland en er daar dure auto’s van aanschaft. De vrouw heeft bovendien een
kopie van haar zorgpas en haar DigiD inloggegevens aan de zorgaanbieder verstrekt.
En deze vrouw is niet het enige slachtoffer van deze aanbieder. De aanbieder is in
meerdere gemeenten actief en maakt misbruik van meerdere kwetsbare zorgbehoevenden.

Het voorbeeld maakt duidelijk dat fraude in de zorg veelal direct (een negatieve)
invloed heeft op de persoonlijke situatie van zorgbehoevenden. Zo krijgen zij niet
de zorg die nodig is en waar zij recht op hebben. Ook worden zorgbehoevenden in hun
vertrouwen geschaad. Daarbij is het van belang te benadrukken dat in veel gevallen
een afhankelijkheidsrelatie bestaat tussen zorgverlener en zorgbehoevende, zoals in
het hiervoor genoemde voorbeeld, waardoor de zorgbehoevende (nog) minder weerbaar
is tegen misbruik. In het geval van een persoonsgebonden budget, is de zorgbehoevende
tot slot ook nog eens financieel verantwoordelijk. De gevolgen van fraude voor een
zorgbehoevende zijn groot. Een medische situatie kan verslechteren of er kunnen zich
financiële problemen voordoen, met alle gevolgen van dien voor de zorgbehoevende en
zijn of haar omgeving.

Maar niet alleen voor de zorgbehoevende zijn er nadelige (financiële) gevolgen. Fraude
in de zorg heeft bijvoorbeeld ook grote financiële gevolgen. Uit cijfers van zorgverzekeraars
blijkt dat in 2016 voor € 18,9 miljoen aan fraude in de zorg is vastgesteld. Dit is
een stijging van € 7,8 miljoen ten opzichte van 2015.9 In 2017 is er een verdere stijging. In dat jaar is er voor € 27 miljoen aan fraude
vastgesteld door zorgverzekeraars.10 In 2018 is er ruim € 20 miljoen aan fraude vastgesteld.11

Het goed in beeld krijgen en hebben van de totale omvang van fraude in de zorg wordt
bemoeilijkt door een instrumentarium dat tekort schiet en een gebrek aan informatie.
Zoals hiervoor aan de orde kwam, komt er in de politiek en in de keten echter steeds
meer aandacht voor fraude in de zorg. Door de intensivering en verbreding van de samenwerking
in de keten kan steeds meer fraude worden gesignaleerd en komt er beter zicht op.
Gelet op de ervaring die is opgedaan bij de nauwere samenwerking in de keten en gelet
op de ervaringscijfers van onder meer verzekeringsfraude, is de verwachting dat de
fraude die nu in beeld is nog maar het topje van de ijsberg is. Een voorzichtige schatting
op basis van ervaringscijfers uit het veld is dat de schade van fraude in de zorg
jaarlijks 1% tot 5% van de zorguitgaven, in 2019 ongeveer € 85 miljard, bedraagt.
Dat zou betekenen dat de schade in 2019 tussen de € 800 miljoen en € 4.3 miljard zal
bedragen. Dit ligt in de lijn van de cijfers van de Algemene Rekenkamer, die stelde
in 2013 dat de totale zorgfraude een omvang heeft van € 2 tot € 3 miljard.12 PricewaterhouseCoopers schatte de totale zorgfraude in Nederland op een bedrag van € 2,8 miljard.13 Uit het Rapport Signalen zorgfraude 2018 van het samenwerkingsverband IKZ blijkt
dat in 2016 447 signalen over fraude in de zorg zijn binnengekomen bij het samenwerkingsverband.
In 2017 zijn mede door incidentele factoren ruim 50% meer signalen ontvangen, namelijk
675. In 2018 ontving het samenwerkingsverband IKZ 558 signalen over fraude in de zorg.
Dit betreft enkel de signalen die aan het samenwerkingsverband zijn verstrekt. De
signalen van fraude in de zorg die door instanties zelf al kunnen worden afgehandeld
en die niet aan het samenwerkingsverband IKZ worden verstrekt, zijn hierbij niet meegenomen.

De vorenstaande persoonlijke en financiële gevolgen hebben gezamenlijk en ook, in
groter geheel bezien, maatschappelijke gevolgen. De gevolgen van fraude in de zorg
zijn nog lang niet volledig in beeld, maar vast staat dat de persoonlijke gevolgen
voor zorgbehoevenden ontoelaatbaar zijn en dat elke euro die verloren gaat aan fraude
in de zorg, er één te veel is. De toegenomen aandacht voor het probleem en de intensievere
samenwerking heeft ertoe geleid, dat de noodzaak tot aanpak van fraude in de zorg
en hetgeen nodig is voor een effectieve bestrijding ervan stap voor stap beter in
beeld zijn en dat de aanpak verbetert. Met onderhavige wet wordt een grote volgende
stap in die verbetering gezet.

Praktische elementen: knelpunten in instrumentarium

Het zorgdomein is groot, zowel wat betreft het aantal betrokken instanties als de
uiteenlopende domeinen (geografisch, soort zorg, etc.) en wet- en regelgeving. De
verschillende betrokken instanties hebben elk eigen functies, taken, doelen en instrumenten.
Zo beschikken de toezichthouders bijvoorbeeld over toezichtinformatie, de rijksbelastingdienst
over belastinggegevens, het CIZ over gegevens betreffende de indicatiestelling en
zorgverzekeraars over informatie over de zorginkoop en declaratiegegevens.

Daar staat tegenover dat partijen die actief zijn in de domeinen, zoals zorgaanbieders,
juist vaak domeinoverschrijdend actief zijn of relatief eenvoudig van domein waarin
zij actief zijn wisselen. Hoewel er goede redenen zijn voor de taak- en bevoegdheidsverdeling
van instanties en deze verdeling in beginsel toereikend is voor hetgeen daarmee beoogd
is, kunnen instanties mede als gevolg van deze verdeeldheid niet het gehele zorgdomein
tot in alle details overzien. Instanties hebben uiteenlopende perspectieven en die
perspectieven zijn vaak gefragmenteerd. Ze beschikken daardoor niet (tijdig) over
de elders al wel beschikbare informatie die noodzakelijk is om te beoordelen of sprake
is van fraude. Het gaat dan zowel om signalen van fraude, als over fraude waarvan
andere instanties, al dan niet in andere domeinen, de gerechtvaardigde overtuiging
hebben dat het heeft plaatsgevonden.

Partij A pleegt fraude in domein X. Nadat instantie B daar in dat domein tegen is
opgetreden, start partij A activiteiten in domein Y. De in dat domein actieve instantie
C kent partij A niet en weet niet dat A in domein X fraude heeft gepleegd. Bij het
aangaan van een contract tot het aanbieden van zorg, wordt de informatie over de gepleegde
fraude ten onrechte en met alle (mogelijke) gevolgen van dien niet meegenomen.

Ten opzichte van fraude plegende partijen, die domein overschrijdend actief zijn,
hebben instanties derhalve steevast een (informatie)achterstand. Bij de uitvoering
van hun taak in het kader van bestrijding van fraude in de zorg is samenwerking en
informatie-uitwisseling tussen de verschillende instanties dan ook noodzakelijk, maar
daarbij wordt een aantal knelpunten ervaren.

Efficiënte en zorgvuldige samenwerking tussen instanties wordt in de eerste plaats
bemoeilijkt doordat de huidige sectorale wetgeving onvoldoende wettelijke grondslagen
biedt om persoonsgegevens uit te wisselen. Die wettelijke grondslag is vereist op
grond van de AVG, die het kader voor verwerking van persoonsgegevens vormt en een
zorgvuldige omgang met persoonsgegevens moet borgen. (Sectorale) wetgeving bevat doorgaans
echter enkel grondslagen voor verwerking van persoonsgegevens door de instantie die
in die specifieke wet is aangewezen. Deze wetten bieden derhalve geen toereikende
grondslagen voor het verstrekken van persoonsgegevens aan andere instanties. Ook bieden die wetten geen grondslagen
om de aan hen verstrekte persoonsgegevens verder te verwerken. De lacunes in wetgeving
staan aan onderlinge verstrekking van deze gegevens in de weg of leiden tot onduidelijkheid
over het antwoord op de vraag op welke grondslag, welke gegevens door wie en aan wie
kunnen worden verstrekt. Ook zijn er gevallen waarin onduidelijkheid bestaat over
de vraag welke instantie welke rol en verantwoordelijkheid heeft. Het vorenstaande
leidt ertoe dat instanties moeite hebben effectief samen te werken, terwijl slagvaardigheid
en snelheid in het bijzonder van belang zijn bij de bestrijding van fraude. De uitwisseling
van gegevens die noodzakelijk is om fraude in de zorg te bestrijden, blijft achter
waar het persoonsgegevens betreft. Voor zover wel persoonsgegevens worden verstrekt
aan andere instanties, heeft het verstrekken van die gegevens vaak een gebrekkige
grondslag. Daarna blijft dat gebrek bestaan bij de verdere verwerking van de gegevens
en derhalve kleeft het ook aan de resultaten van die verdere verwerking. De (informatie)achterstand
op frauderende partijen blijft zo in stand.

Het vorenstaande geldt eveneens voor de situatie waarin meerdere instanties in een
georganiseerde vorm met elkaar samenwerken en persoonsgegevens centraal verwerken,
zoals in het samenwerkingsverband IKZ voorafgaand aan de inwerkingtreding van deze
wet.

In het samenwerkingsverband worden persoonsgegevens uitgewisseld op grond van bestaande
bilaterale en multilaterale wettelijke grondslagen. Dit maakt de verwerking van persoonsgegevens
binnen de samenwerking complex vanwege de uiteenlopende bevoegdheden van betrokkenen
tot toegang tot de persoonsgegevens. Per signaal dat in het samenwerkingsverband is
verrijkt, dient daarnaast aan de hand van een in het Convenant IKZ opgenomen informatiematrix
te worden bekeken of er een wettelijke grondslag is voor gegevensuitwisseling tussen
de instantie waarvan de persoonsgegevens afkomstig zijn en de instantie die het meest
geëigend is om het verrijkte signaal te ontvangen via het samenwerkingsverband. Als
een signaal bijvoorbeeld is verrijkt met gegevens van de Inspectie SZW, dient het
samenwerkingsverband IKZ te kijken of er in andere wetgeving een grondslag is om het
verrijkte signaal te delen met bijvoorbeeld de NZa. Ook in het geval van een (groter)
samenwerkingsverband, zijn er steeds de vragen over welke gegevens wel of niet mogen
worden gedeeld, op grond waarvan en door wie aan wie. Ook in deze gevallen kan er
een gebrekkige grondslag zijn, die blijft kleven aan de resultaten van de verwerking.

Vastgesteld moet worden dat dezelfde knelpunten worden ervaren in bilaterale samenwerking
als in multilaterale samenwerking. Als instanties multilateraal samenwerken teneinde
fraude in de zorg te bestrijden en verstrekking en verwerking van persoonsgegevens
nodig is, moet per instantie en per verwerking worden beoordeeld of er een grondslag
is tot verwerking. Dit kost niet alleen veel werk en tijd, maar hierdoor kunnen verrijkte
signalen ook niet of niet volledig met bepaalde instanties gedeeld worden en kan fraude
onnodig lang(er) doorgaan. Ook maakt het de uitwisseling van persoonsgegevens foutgevoelig
en risicovol. Daarnaast is voor verwerking van persoonsgegevens door een samenwerkingsverband,
zoals het IKZ, een verwerkersovereenkomst met elke betrokken instantie nodig. Het
samenwerkingsverband IKZ heeft in relatie tot de betrokken instanties immers steeds
de rol van verwerker. Dat betekent dat het persoonsgegevens verwerkt voor verwerkingsverantwoordelijken.
Dit is eens te meer een complicerende factor, omdat er documenten moeten worden opgesteld,
afspraken moeten worden gemaakt en onduidelijkheid kan bestaan over bevoegdheden,
rollen en verantwoordelijkheden. De vraag die daarbij speelt is in hoeverre de rol
van een verwerker nog passend is voor dergelijke verwerkingen.

In de huidige situatie is er tot slot ook onduidelijkheid over de vraag welke instantie
in een bepaald geval gegevens, niet zijnde persoonsgegevens, kan of moet verstrekken
aan een andere instantie, dan wel is niet geregeld dat of tot welke gegevensuitwisseling
instanties gehouden zijn. Als gevolg daarvan houden instanties gegevens onnodig (te
lang) voor zichzelf.

2.3 Wetgever aan zet

De wetgever is aan zet de in de vorige paragraaf genoemde knelpunten weg te nemen.
Zonder ingrijpen door middel van wetgeving loopt de samenwerking tussen instanties
op voornoemde aspecten vast, hetgeen negatieve gevolgen heeft voor de aanpak van fraude
in de zorg. Met deze wet worden binnen de grenzen van de AVG en met zorg en oog voor
de privacy van betrokkenen, de mogelijkheden tot samenwerking, het uitwisselen van
de noodzakelijke gegevens en de verwerking van persoonsgegevens ten behoeve van bestrijding
van fraude in de zorg vereenvoudigd, verbeterd en uitgebreid.

De wet voorziet in een daarop gerichte wettelijke grondslag voor het verplicht aan
elkaar verstrekken van de bij algemene maatregel van bestuur (amvb) aangewezen (persoons)gegevens,
in het geval een gemeente of ziektekostenverzekeraar conform een protocol de gerechtvaardigde
overtuiging heeft dat sprake is van fraude in de zorg en de voornoemde gegevens noodzakelijk
zijn voor de bestrijding van die fraude. De betreffende instantie die de overtuiging
heeft, registreert de fraude. Er wordt, zoals in hoofdstuk 1 al is aangegeven, gedacht
aan een centrale registratie die door partijen kan worden geraadpleegd. De grondslag
voor verwerking van (persoons)gegevens biedt hiertoe de ruimte en is techniekonafhankelijk
beschreven, maar stelt conform de AVG wel vereisten aan deze verwerking van gegevens.
Het beoogde registratiesysteem wordt door partijen geduid als het Waarschuwingsregister
zorgfraude.

In het geval er signalen van fraude in de zorg zijn, is een rol weggelegd voor het
IKZ. Betrokken instanties zijn verplicht tot het verstrekken van de bij amvb aangewezen
(persoons)gegevens aan het IKZ, indien die gegevens noodzakelijk zijn voor bestrijding
van fraude in de zorg in het kader van de aan die instanties opgedragen wettelijke
taken. Daarbij geldt ten aanzien van de verstrekking van politiegegevens, door de
FIOD en Inspectie SZW, een afwijkend regime en die verstrekking geschiedt op grond
van en met inachtneming van de Wet politiegegevens (Wpg).14 Het IKZ moet vervolgens op grond van de wet de signalen verrijken en het resultaat
daarvan indien en voor zover noodzakelijk aan de daartoe geëigende instantie(s) verstrekken.
Ook zal het IKZ ten behoeve van Onze Minister en betrokken instanties gegevens, waaronder
persoonsgegevens, verwerken teneinde trends en ontwikkelingen met betrekking tot fraude
in de zorg te signaleren en daarover beleidsinformatie en statistische informatie
te ontwikkelen.

Het in een centraal registratiesysteem zoals het Waarschuwingsregister onderling uitwisselen
van (persoons)gegevens enerzijds en de uitwisseling van (persoons)gegevens met tussenkomst
van het IKZ anderzijds, zijn twee verschillende en apart van elkaar functionerende
instrumenten. Er is geen directe relatie tussen (het gebruik van) de twee instrumenten.
Zij hebben elk eigen kenmerken en functies, dienen elk een eigen doel en worden elk
op een ander moment in de bestrijding van fraude in de zorg ingezet. De mogelijkheden
tot het gebruik van de instrumenten en de daarin opgenomen gegevens zijn, mede gelet
op de te onderscheiden doelen, afzonderlijk van elkaar geregeld en voorzien van eigen
voorwaarden en waarborgen.

Mede gelet daarop is er een verschil in instanties die al dan niet van de instrumenten
gebruik kunnen maken. Bij de gegevensuitwisseling met het IKZ zijn meer instanties
betrokken (artikel 2.3, eerste lid) dan bij de uitwisseling van gegevens in het Waarschuwingsregister,
dat enkel door gemeenten en ziektekostenverzekeraars wordt gebruikt (artikel 2.1,
eerste lid). Andere bij het IKZ betrokken instanties dan gemeenten en ziektekostenverzekeraars,
kunnen geen gebruik maken van het Waarschuwingsregister en de daarin opgenomen gegevens.

De in het Waarschuwingsregister opgenomen gegevens zijn, indien noodzakelijk voor
de bestrijding van fraude in de zorg, te raadplegen door gemeenten en ziektekostenverzekeraars.
Zij kunnen de gegevens bijvoorbeeld raadplegen voorafgaand aan het sluiten van een
overeenkomst met een zorgaanbieder. De inhoud van het register maakt inzichtelijk
of ten aanzien van die partij de gerechtvaardigde overtuiging bestaat dat deze fraude
in de zorg pleegt en zo wordt de raadplegende instantie dan voor deze partij gewaarschuwd.
In het geval van gegevensuitwisseling met het IKZ, is nog slechts sprake van een aanleiding
tot vermoeden van fraude in de zorg en zijn de gegevens die het IKZ verwerkt niet
te raadplegen door de betrokken instanties. Het IKZ ontvangt de signalen van fraude
van de betrokken instanties. Het IKZ verrijkt deze gegevens en verstrekt het resultaat
daarvan, indien noodzakelijk, vervolgens enkel aan de geëigende instantie die daar
vervolg aan kan geven door middel van nader onderzoek of handhavend optreden tegen
de fraude.

Hoewel geen directe relatie bestaat tussen de twee instrumenten, kan het gebruik van
het ene instrument indirect een gevolg hebben voor het gebruik van het andere instrument.
Zo kan het voorkomen dat een gemeente of ziektekostenverzekeraar (mede) op basis van
een door het IKZ verrijkt signaal tot de gerechtvaardigde overtuiging komt dat sprake
is van fraude in de zorg. Indien noodzakelijk, moet die gemeente of ziektekostenverzekeraar
de (persoons)gegevens betreffende die frauderende partij dan door middel van het Waarschuwingsregister
aan andere gemeenten en ziektekostenverzekeraars verstrekken. Dit indirecte gevolg
kan zich nooit voordoen bij een van de andere bij het IKZ betrokken instanties, omdat
die geen gebruik maken van het Waarschuwingsregister.

Beoogd is dat informatie uit het Waarschuwingsregister geen onderdeel uitmaakt van
de gegevensuitwisseling met het IKZ. Dat is gewaarborgd door de geheimhoudingsplicht,
de bij amvb voor elk instrument limitatief aangewezen gegevens die verstrekt moeten
worden en de nadere regels die bij of krachtens amvb worden gesteld aan de inrichting
van en processen voor het gebruik van beide instrumenten. Dat betekent dat een gemeente
of ziektekostenverzekeraar geen gegevens uit het register als signaal verstrekt aan
het IKZ of aan het IKZ verstrekt in het kader van verrijking. Bij amvb wordt namelijk
aangewezen welke gegevens kunnen worden verstrekt en het gegeven dat een partij in
het Waarschuwingsregister staat, maakt daarvan geen onderdeel en betreft dan ook geen
gegeven dat aan het IKZ wordt verstrekt.

Het IB tot slot wordt verwerkingsverantwoordelijke en krijgt een rol in de gegevensuitwisseling
tussen gemeenten en het IKZ.

Onder meer de achtergrond, toegevoegde waarde en werking van de drie hiervoor genoemde
onderdelen van de wet, zijn nader toegelicht in respectievelijk hoofdstuk 3 en 4.
Ook komen de waarborgen en rechtsbescherming in die hoofdstukken aan de orde, waarna
in hoofdstuk 5 de waarborgen bij gegevensverwerking nog nader worden toegelicht.

3. Gegevensverstrekking bij gerechtvaardigde overtuiging van fraude in de zorg

3.1 Inleiding

Gemeenten en ziektekostenverzekeraars zijn verantwoordelijk voor de uitvoering van
respectievelijk de Zorgverzekeringswet (Zvw), de Wet langdurige zorg (Wlz), Wmo 2015
en de Jeugdwet (Jw). Zo kopen zij zorg in en zien zij toe op de naleving van hetgeen
in de genoemde wetten is bepaald. In de huidige situatie hebben deze instanties geen
grondslag en effectief middel om (persoons)gegevens, betreffende natuurlijke personen
of rechtspersonen waarvan de gerechtvaardigde overtuiging bestaat dat zij frauderen,
met elkaar te delen. Als gevolg daarvan komt het voor dat hoewel binnen een bepaald
domein en bij de daarin actieve instantie(s) bekend is dat een zorgaanbieder, verzekerde
of cliënt fraudeert, dit onbekend is in een ander domein en/of bij de daarin actieve
instantie(s). Dit maakt het voor frauderende partijen eenvoudiger fraude te plegen
in meerdere domeinen tegelijk of in een voor hen nieuw domein, nadat zij eerder in
een ander domein hebben gefraudeerd, met alle persoonlijke, financiële en maatschappelijke
gevolgen van dien.

De knelpunten die betrokken instanties bij hun rol in de inkoop van zorg en taken
in de uitvoering van diverse wetten in de zorg ondervinden, zien op de uitwisseling
van de voor de uitvoering van die taken noodzakelijke (persoons)gegevens betreffende
natuurlijke personen of rechtspersonen ten aanzien waarvan de gerechtvaardigde overtuiging
bestaat dat zij frauderen in de zorg. Zoals uit de hiervoor genoemde gevolgen van
deze knelpunten eens te meer blijkt, is samenwerking en uitwisseling van gegevens
noodzakelijk voor de uitvoering van genoemde taken van instanties en, in het verlengde
daarvan, voor het zwaarwegend algemeen belang van bestrijding van fraude in de zorg.
De betrokken instanties, opgenomen in artikel 2.1 van deze wet, hebben kenbaar gemaakt
een centraal systeem te willen ontwikkelen om deze (persoons)gegevens in uit te kunnen
wisselen.15 Door deze instanties wordt dit systeem aangeduid als het Waarschuwingsregister zorgfraude.
Met deze wet wordt uitwisseling van voornoemde (persoons)gegevens in een dergelijk
systeem mogelijk gemaakt.

Op basis van deze wet zijn de hiervoor genoemde instanties gehouden gegevens van natuurlijke
personen of rechtspersonen, van wie zij conform een protocol de gerechtvaardigde overtuiging
hebben dat zij fraude in de zorg hebben gepleegd, aan elkaar te verstrekken indien
dat noodzakelijk is voor de bestrijding van voornoemde fraude. Met de wet is tevens
de grondslag gecreëerd hierbij persoonsgegevens betreffende deze partijen uit te wisselen.
Het is aan instanties binnen de kaders van wet- en regelgeving invulling te geven
aan het systeem dat voor het onderling verstrekken van de (persoons)gegevens zal worden
gebruikt. Door voornoemde (persoons)gegevens aan elkaar te verstrekken, waarschuwen
instanties elkaar voor de betreffende partijen en gewaarschuwde instanties kunnen
dan maatregelen treffen bij het aangaan van een nieuwe relatie dan wel het voortzetten
van een relatie met de betreffende partij. Daarnaast kan er ook een preventieve werking
van uitgaan. Zo kan met dit instrument fraude in de zorg beter worden bestreden en
worden de negatieve persoonlijke, financiële en maatschappelijke gevolgen ervan beperkt.
Gelet op de mogelijke gevolgen van een «waarschuwing» voor een betrokken partij, is
wat betreft waarborgen en maatregelen ten behoeve van een zorgvuldige verwerking van
gegevens eenzelfde uitgangspunt genomen ten aanzien van zowel persoonsgegevens als
niet-persoonsgegevens.

Vanaf het moment dat sprake is van een gerechtvaardigde overtuiging van fraude, moeten
de persoonsgegevens die in dit kader worden verwerkt gelet op hun aard worden geschaard
onder persoonsgegevens van strafrechtelijke aard, zoals bedoel in artikel 10 AVG.
In paragraaf 3.3 wordt de aard van deze gegevens geduid en in 3.5 wordt toegelicht
dat wordt voldaan aan de voorwaarden waaronder deze persoonsgegevens mogen worden
verwerkt.

Het voornemen tot het ontwikkelen en het mogelijk maken van een Waarschuwingsregister,
komt tegemoet aan de wens van de Tweede Kamer om extra maatregelen te treffen tegen
fraude in de zorg. In juli 2015 verzocht de Tweede Kamer de toenmalige Staatssecretaris
van Volksgezondheid, Welzijn en Sport via de motie Potters (VVD) en (Otwin) Van Dijk
(PvdA) om samen met de sector een zwarte lijst van frauderende (persoonsgebonden budget-)
zorgaanbieders en bemiddelingsbureaus te ontwikkelen, om daarmee beter zicht te krijgen
op malafide organisaties die actief zijn in de zorg.16 Met het mogelijk maken en de ontwikkeling van het Waarschuwingsregister wordt invulling
gegeven aan deze motie.

3.2 Werking

Het in dit kader verstreken van (persoons)gegevens door een in art. 2.1, eerste lid,
van deze wet opgenomen instantie, moet worden gezien als een waarschuwing aan andere
in dat artikellid opgenomen instantie(s). Als ten aanzien van een natuurlijk persoon
of rechtspersoon conform een protocol de gerechtvaardigde overtuiging bestaat dat
zij fraude in de zorg heeft gepleegd, dan zorgt de instantie met die overtuiging ervoor
dat de andere instanties daar kennis van (kunnen) nemen.

In een centraal systeem, zoals het Waarschuwingsregister, werkt dat als volgt. Indien
een (rechts)persoon in het register staat, krijgt de raadplegende instanties na een
gerichte raadpleging alleen te zien dát ten aanzien van die (rechts)persoon een gerechtvaardigde
overtuiging van fraude in de zorg bestaat. Voor de raadplegende instanties is er dan
een indicatie dat zij alert moeten zijn als zij zakendoen met die partij. Als zij
zelf ook een relatie met de betreffende (rechts)persoon hebben, kan het aanleiding
zijn om overeenkomstig bestaande bevoegdheden te onderzoeken of ook in deze relatie
sprake is van fraude. Instanties die nog geen relatie met de betreffende (rechts)persoon
hebben, maar wel overwegen om die aan te gaan, kunnen naar aanleiding van de waarschuwing
een (betere) risicobeoordeling maken, bepalen hoe zij met de risico’s omgaan en welke
maatregelen zij treffen. Instanties dienen altijd zelf (nader) onderzoek naar een
geregistreerde partij te doen en zorgvuldig bepalen welke beheersmaatregelen worden
getroffen. Gedacht kan worden aan het doen van vervolgonderzoek naar fraude en op
basis van dat onderzoek besluiten tot het doen van extra controles, het stellen van
scherpere voorwaarden of eventueel het niet aangaan dan wel beëindigen van een overeenkomst
betreffende zorgverlening.

Bij amvb wordt bepaald welke (persoons)gegevens van de partij, ten aanzien van wie
er een gerechtvaardigde overtuiging van fraude bestaat, worden verwerkt bij verstrekking
aan andere instanties. Ook wordt bepaald welke gegevens van de verstrekkende instantie
daarbij moeten zijn opgenomen. Conform artikel 5, eerste lid, onderdeel c, van de
AVG betreft het de minimale set aan gegevens die noodzakelijk is teneinde de andere
betrokken instanties te waarschuwen voor mogelijke fraudeurs en op die manier fraude
in de zorg te bestrijden. Daarmee is een onderdeel van het kader gevormd voor de in
een centraal systeem, zoals het Waarschuwingsregister, op te nemen (persoons)gegevens.
Een dergelijk register zal geen informatie bevatten over de aard en omvang van de
fraude of de geconstateerde feiten en de omstandigheden waaronder de fraude zich heeft
voorgedaan. Die gegevens zijn niet noodzakelijk voor het met het systeem beoogde doel.
Gegevens die wel geregistreerd worden betreffen de (rechts)persoon. Als meerdere instanties
over dezelfde natuurlijke persoon of rechtspersoon een gerechtvaardigde overtuiging
hebben dat sprake is van fraude in de zorg, dan kunnen zij afzonderlijk van elkaar
(persoons)gegevens over dezelfde (rechts)persoon aan elkaar verstrekken. Het kan daardoor
voorkomen dat van een en dezelfde (rechts)persoon meerdere verstrekkingen plaatsvinden.
Zo kunnen bijvoorbeeld meerdere registraties betreffende deze (rechts)persoon in het
Waarschuwingsregister staan.

Wat betreft bijzondere persoonsgegevens, zoals gegevens over gezondheid als bedoeld
in artikel 9, eerste lid, AVG, geldt dat geen medisch inhoudelijke gegevens aan elkaar
worden verstrekt. In het naar verwachting uitzonderlijke geval van verstrekking van
gegevens van een zorgbehoevende is het wel mogelijk dat, min of meer indirect, gegevens
over gezondheid worden verstrekt. Dat kan bijvoorbeeld in het geval van verstrekking
door het zorgkantoor, waaruit blijkt dat de betrokkene Wlz-zorg ontvangt. De gegevens
over gezondheid die in dit kader mogelijk verwerkt worden, betreffen dan ook slechts
de gegevens die duidelijk maken in welk domein de zorg aan desbetreffend zorgbehoevende
wordt geleverd.

Persoonsgegevens die in het kader van dit onderdeel van de wet worden verwerkt, moeten
vanaf het moment dat sprake is van een gerechtvaardigde overtuiging van fraude als
persoonsgegevens van strafrechtelijke aard (artikel 10 AVG) worden aangemerkt. Gelet
op de in artikel 2.1 opgenomen betrokken instanties, zullen geen (persoons)gegevens
als bedoeld in de Wpg worden verwerkt. Wat betreft beide categorieën persoonsgegevens
geldt dat de verstrekking ervan in elk geval moet passen binnen de in de amvb opgenomen
gegevenssets.

In paragraaf 3.5 wordt ingegaan op voorwaarden waaronder gegevens van strafrechtelijke
aard mogen worden verwerkt en op het verbod op het verwerken van gegevens over gezondheid
en de uitzondering daarop in het geval van een zwaarwegend algemeen belang.

3.3 Voorwaarde voor verstrekking

Ten behoeve van het formuleren van voorwaarden voor verstrekking van (persoons)gegevens
in het kader van dit onderdeel van de wet, heeft een zorgvuldige afweging van (zwaarwegende)
belangen plaatsgevonden. Gelet op het doel en de werking van het verstrekken van (persoons)gegevens
in dit kader en gelet op de (mogelijke) gevolgen ervan voor betrokkenen, allereerst
persoonlijk maar ook zakelijk, moeten hoge eisen worden gesteld aan de grond(en) voor
het verstrekken van de betreffende gegevens aan andere betrokken instanties. Enerzijds
is een signaal van fraude of zelfs een vermoeden van fraude niet voldoende om de gegevensuitwisseling
in dit kader te rechtvaardigen. Anderzijds is het ook niet mogelijk bijvoorbeeld strafrechtelijke
veroordeling als voorwaarde te gebruiken, gelet op de tijd die het kost voordat die
fase in een dossier wordt bereikt. Dan zou het instrument niet doeltreffend zijn.

Bij het formuleren van de voorwaarde is onder andere gekeken naar vergelijkbare systemen
en de jurisprudentie daarover. Er is inspiratie gevonden in de werkwijze van het Externe
Verwijzingsregister (EVR) en de in dat kader gevormde de jurisprudentie en de daarin
geaccepteerde voorwaarde voor registratie in dat register. 17

Het EVR is een waarschuwingssysteem waarmee financiële instellingen (banken, hypotheekverstrekkers
en verzekeraars) elkaar waarschuwen voor bij hen bekende mogelijke fraudeurs. In de
jurisprudentie daarover is registratie in dat register geaccepteerd, indien er voldoende
bewijs van betrokkenheid bij fraude voorhanden is en sprake is van een vastgestelde
gedraging die een zwaardere verdenking dan een redelijk vermoeden oplevert. De term
die daarvoor wordt gebruikt in jurisprudentie is «gerechtvaardigde overtuiging». Om
tot registratie te komen, wordt een protocol (Protocol Incidenten Waarschuwingssysteem
Financiële Instellingen) gevolgd. Gelet daarop is in deze wet de voorwaarde geformuleerd
dat verstrekking van (persoons)gegevens van vermoedelijke fraudeurs aan de andere
betrokken instanties moet worden verstrekt, indien er conform een door hen op te stellen
protocol de gerechtvaardigde overtuiging van fraude in de zorg bestaat ten aanzien
van een partij. Zoals in paragraaf 3.5 nader is toegelicht, betekent dat overigens
niet dat alle betrokken instanties alle (persoons)gegevens van alle vermoedelijke
fraudeurs (kunnen) zien.

De gerechtvaardigde overtuiging en het bewijs dat daaraan ten grondslag ligt, moeten
er zijn op het moment van verstrekking aan andere instanties. Dat is bijvoorbeeld
op het moment van registratie in een centraal registratiesysteem zoals het Waarschuwingsregister.
Teneinde rechtsgelijkheid, rechtszekerheid en een zorgvuldige verwerking van gegevens
voor betrokken partijen te waarborgen, is het van belang dat betrokken instanties
heldere, objectieve en uniforme criteria hanteren bij de beoordeling of sprake is
van een gerechtvaardigde overtuiging en een noodzaak tot verstrekking van de gegevens.
Gelet daarop moet door betrokken instanties een protocol worden opgesteld, dat gevolgd
moet worden bij voornoemde beoordeling. De waarborgen die het protocol moet bevatten,
worden nader bepaald bij of krachtens amvb. Gedacht kan worden aan de voorwaarden
om tot gerechtvaardigde overtuiging te komen en om de noodzaak tot verstrekking van
de gegevens te beoordelen, bepalingen over de beveiliging van de gegevens, de toegang
tot de gegevens en de wijze van vastleggen en verwijderen van de (persoons)gegevens.
Ten aanzien van dat laatstgenoemde aspect gaat het dan om de situatie dat niet of
niet langer aan de voorwaarde voor het verstrekken van (persoons)gegevens is of wordt
voldaan en de termijn van verstrekken of de bewaartermijn.

Het door de betrokken instanties op te stellen protocol wordt door hen ter goedkeuring
voorgelegd aan Onze Minister. Voorafgaand daaraan dient de Autoriteit persoonsgegevens
(AP) over het protocol te zijn gehoord. Samen met de randvoorwaarden die in deze wet
en onderliggende regelgeving worden gesteld, is beoogd dat voldoende wordt geborgd
dat de in het protocol voorgestelde werkwijze en verwerking van gegevens overeenstemt
met eisen gesteld in de AVG.

Het EVR is overigens voorbehouden aan financiële instellingen en dus niet beschikbaar
of raadpleegbaar voor gemeenten en Wlz-uitvoerders. Gelet op onder meer het verschil
in sector en betrokken instanties, zal met het voorgenomen Waarschuwingsregister zorgfraude
vooralsnog niet worden aangesloten bij het EVR.

Zoals eerder aan de orde kwam, is handhavend optreden per rechtsgebied gebonden aan
eigen normatieve kaders. Met deze wet is niet beoogd daartussen te komen, verandering
in aan te brengen of nieuwe kaders dan wel grondslagen voor te vormen. Ook over het
al dan niet (moeten) doen van aangifte wordt in deze wet niets geregeld. Het kader
daarvoor wordt gevormd door het Wetboek van Strafvordering, onder andere de artikelen
161 en 162. Het is ook niet beoogd met deze wet invloed uit te oefenen op bijvoorbeeld
de uitvoeringspraktijk en daarvoor geformuleerd beleid.

3.4. Rechtsbescherming en informatieplicht

Zoals hiervoor aan de orde kwam, vormt de AVG het kader voor de verwerking van persoonsgegevens
die onderdeel uitmaken van de gegevens die in dit kader worden verwerkt. In die verordening
zijn onder andere de verplichtingen van de verwerkende instantie (zoals de informatieplicht
in artikel 14) en de rechten van betrokkenen (zoals recht op inzage (artikel 15),
correctie (artikel 16) en verwijdering (artikel 17) van gegevens) geregeld. In Hoofdstuk
8 van de AVG zijn bepalingen over beroep, aansprakelijkheid en sancties opgenomen.
Er is de mogelijkheid een klacht in te dienen bij de toezichthoudende instantie, de
AP, en daarop wordt in beginsel een appellabel besluit genomen. Overigens geldt dat
de betrokken instanties zelf eveneens verantwoordelijk zijn voor intern toezicht op
de juistheid van de gegevens(verwerking). Hierin wordt voorzien in de regels die bij
of krachtens amvb worden gesteld. Ook heeft een betrokkene het recht een doeltreffende
voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke, een verwerker
of de toezichthoudende instantie (artikelen 77 tot en met 79). Het recht op schadevergoeding
en aansprakelijkheid bij inbreuk op de AVG is geregeld in artikel 82. Nationaalrechtelijk
zijn de rechtsbeschermingsbepalingen uit de AVG nader uitgewerkt en ingevuld in paragraaf
3.3 van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Zo is in
artikelen 34 en 35 van de UAVG de toepasselijkheid van de Algemene wet bestuursrecht
(Awb) en het burgerlijk recht geregeld ten aanzien van de uitoefening de rechten in
artikel 15 tot en met 22 AVG. Rechtsbescherming in het geval van verwerking van persoonsgegevens
is langs deze lijn derhalve geborgd.

Een verstrekking van (persoons)gegevens die betrekking hebben op fraude in de zorg,
zoals registratie in het Waarschuwingsregister, moet worden beschouwd als een (feitelijke)
handeling. Omdat deze handeling niet is gericht op rechtsgevolgen die ontstaan in
de verhouding tot een of meer anderen, er ontstaan bijvoorbeeld geen rechten of plichten
voor betrokkenen, is geen sprake van een besluit als bedoeld in de Awb. Het bestuursrecht
biedt dan ook geen mogelijkheid hiertegen op te komen in bijvoorbeeld een bezwaar-
en beroepsprocedure. Volledigheidshalve en meer ten overvloede wordt opgemerkt dat
indien (mede) op basis van een gegevensverstrekking in dit kader een besluit wordt
genomen, tegen dat besluit binnen de bestuursrechtelijke kaders rechtsmiddelen open
staan. Tot slot biedt het civielrecht ook mogelijkheden om tegen (onrechtmatige) verwerking
van (persoons)gegevens of de gevolgen van die verwerking (de waarschuwing) op te komen.
Te denken valt aan een vordering op grond van onrechtmatige daad als bedoeld in artikel
6:162 van het Burgerlijk Wetboek (BW). In de bij of krachtens amvb te stellen regels
ten aanzien van aan het door instanties op te stellen protocol, wordt voorzien dat
deze elementen aan de orde komen. Voor betrokkenen moet duidelijk zijn wat er verwacht
kan worden en wat ze daar dan tegen kunnen doen. Gedacht kan worden aan het voorschrift
dat instanties inzichtelijk maken wanneer welke (rechts)handeling wordt verricht en
welke (juridische) procedures mogelijk zijn om daartegen op te komen.

De instantie die gegevens in een centraal registratiesysteem aan andere instanties
verstrekt, zoals een registratie in het Waarschuwingsregister, is verantwoordelijk
voor die verwerking van gegevens. Als het persoonsgegevens betreft, is de verwerkende
instanties de verwerkingsverantwoordelijke als bedoeld in artikel 26 van de AVG en
informeert die instantie conform artikel 14 AVG de betreffende natuurlijke persoon
of rechtspersoon, als sprake is van verwerking van persoonsgegevens, over de verwerking.
Van het informeren kan worden afgezien indien sprake is van een situatie als bedoeld
in artikel 14, vijfde lid, AVG. Het gaat dan onder andere om de situatie dat bedoelde
verplichting de verwezenlijking van de doeleinden van die verwerking, te weten bestrijding
van fraude in de zorg, onmogelijk dreigt te maken of ernstig in het gedrang dreigt
te brengen. Hier ligt redelijkerwijs een afweging en dus verantwoordelijkheid bij
de verwerkingsverantwoordelijke. Voor het geval dat van voornoemde uitzondering op
de informatieplicht gebruik wordt gemaakt, moet door de betrokken instantie zijn voorzien
in passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen
van de betrokkene te beschermen. Dit geldt temeer omdat ook sprake is van de verwerking
van persoonsgegevens van strafrechtelijke aard. Bij amvb worden hier nadere regels
voor gesteld. Met het geheel van maatregelen en waarborgen, waarmee de inbreuk op
privacy en de mogelijke gevolgen daarvan voor betrokken steeds tot een minimum wordt
beperkt, is voorzien in passende maatregelen. Het gaat dan onder andere om de in het
algemeen geldende strikte voorwaarden voor de gegevensverwerking, procedurele voorschriften en vereisten (zie ook paragraaf 3.3 en 3.5). Specifiek wat betreft het afzien
van de informatieplicht, ligt het in de rede in het protocol richtlijnen op te nemen
ten aanzien van in welke gevallen van het afzien van informeren gebruik wordt gemaakt
en het treffen van maatregelen ten behoeve van het zo spoedig mogelijk alsnog informeren
van betrokkene(n).

Een raadplegende instantie is verantwoordelijk voor die verwerking (de «raadpleging»).
Voor de verwerking van persoonsgegevens in een centraal registratiesysteem waarvoor
instanties gezamenlijk de verantwoordelijkheid dragen, is sprake van gezamenlijke
verwerkingsverantwoordelijkheid als bedoeld in artikel 26 AVG.

3.5 Waarborgen bij de gegevensuitwisseling

Het verwerken van gegevens over gezondheid is ingevolge artikel 9, eerste lid, van
de AVG, verboden, tenzij er een uitzondering is als bedoeld in het tweede lid van
dat artikel. Op grond van dat tweede lid, kan het verwerken van voornoemde bijzondere
categorie van persoonsgegevens worden toegestaan bij nationale wet of Unierecht, mits
dit noodzakelijk is om redenen van zwaarwegend algemeen belang. Dat daar sprake van
is, is onder meer onderbouwd in paragraaf 2.2 en 3.2 en hoofdstuk 5 van deze memorie
van toelichting. Door persoonsgegevens, waaronder de in paragraaf 3.2 genoemde gegevens
over gezondheid, aan elkaar te verstrekken, kunnen instanties maatregelen treffen
bij het aangaan dan wel het voortzetten van een relatie met de partij waarvoor zij
zijn gewaarschuwd. Zo kan fraude in de zorg beter worden bestreden en worden de negatieve
persoonlijke, financiële en maatschappelijke gevolgen ervan beperkt. Persoonsgegevens
van strafrechtelijke aard mogen, voor zover hier van belang, alleen worden verwerkt
indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen,
aldus artikel 10 van de AVG. Ook aan die voorwaarde is met deze wet voldaan. Met betrekking
tot de verwerking van beide categorieën gegevens geldt daarbij ingevolge voornoemde
artikelen ook dat specifieke en passende maatregelen dan wel passende waarborgen moeten
worden geboden ter bescherming van de rechten en vrijheden van betrokkenen. Hierna
is toegelicht dat daarin wordt voorzien.

Zoals in de voorgaande paragrafen is beschreven, worden bij verwerking van (persoons)gegevens
in dit kader alleen die gegevens verwerkt die noodzakelijk zijn voor het bereiken
van het doel. Bij amvb zal specifiek worden bepaald welke gegevens het betreft. Daarbij
wordt het beginsel van minimale gegevensverwerking gehanteerd. Zo wordt het kader
gevormd met welke (persoons)gegevens een centraal registratiesysteem, zoals het Waarschuwingsregister,
kan worden gevuld. Bij amvb zullen voorts de termijn voor het verstrekken van gegevens,
de bewaartermijn voor gegevens en de beveiliging van gegevens(verwerking) (artikel
32 AVG), zoals beveiligingsnormen en mogelijkheden tot het loggen van gebruikershandelingen,
worden bepaald. Wat betreft de termijn voor het verstrekken van gegevens en de bewaartermijn,
zal bij de nadere regels als uitgangspunt moeten gelden het zoveel mogelijk rechtsgelijkheid,
rechtszekerheid en uniformiteit bereiken voor betrokken partijen. Daarbij kan ook
gedacht worden aan het bieden van de mogelijkheid tot differentiatie in de te hanteren
termijn, mits dit met voorwaarden en waarborgen is omkleed. Het systeem waarin de
gegevensverstrekking plaatsvindt, is een gesloten systeem dat enkel is te gebruiken
door de in artikel 2.1, eerste lid, genoemde instanties. Daarnaast worden mede in
het protocol en vanuit het oogpunt van privacy by design en privacy by default, gegevensbescherming
door ontwerp en standaardinstellingen, de mogelijkheden tot toegang tot de persoonsgegevens
tot een minimum beperkt, zodat betrokken instanties alleen die informatie van die
frauderende partijen zien die voor hen noodzakelijk zijn in het kader van bestrijding
van fraude in de zorg. Een en ander past binnen hetgeen is voorgeschreven in artikel
25 van de AVG. Iedere betrokken instantie bepaalt zelf wie binnen de eigen organisatie
de bevoegdheid krijgt om in het te gebruiken systeem te werken en wat diens niveau
van autorisatie is. Gedacht kan worden aan onderscheid tussen medewerkers die kunnen
verstrekken en verstrekkingen kunnen toetsen en medewerkers die de verstrekte (persoons)gegevens
kunnen raadplegen. Dergelijke aspecten komen aan de orde in het protocol en de bij
of krachtens amvb op te stellen regels ten aanzien van de waarborgen en beveiliging
van de (persoons)gegevens.

In hoofdstuk 5 worden de waarborgen bij gegevensverwerking nader toegelicht en daarbij
zal ook aandacht worden besteed aan de verwerking van bijzondere persoonsgegevens
en persoonsgegevens van strafrechtelijke aard.

4. Het Informatieknooppunt zorgfraude en het Inlichtingenbureau

4.1 Inleiding

Het Bestuurlijk Overleg Taskforce Integriteit Zorgsector (BO TIZ) beoogt de integriteit
van de zorgsector te versterken door de samenwerking tussen de betrokken instanties
te stimuleren, te coördineren en te vergroten door het uitwisselen van informatie
en het uitwisselen van kennis, inzicht en vaardigheden.18 Om deze samenwerking te intensiveren is in opdracht van het BO TIZ op 1 november
2016 het samenwerkingsverband IKZ opgericht. Daartoe is het Convenant IKZ opgesteld,
waarin afspraken zijn opgenomen over de samenwerking in het kader van de verbetering
van de bestrijding van fraude in de zorg.

De bij het convenant betrokken instanties kunnen signalen van fraude in de zorg die
aanleiding zijn tot het vermoeden van fraude, en derhalve nog niet voldoende concreet
of onderbouwd zijn om van een gerechtvaardigde overtuiging van fraude te kunnen spreken,
aan het samenwerkingsverband IKZ verstrekken. De signalen, waar persoonsgegevens onderdeel
van uit kunnen maken, worden door medewerkers van het samenwerkingsverband IKZ aangevuld
met informatie uit open en gesloten bronnen. Informatie uit gesloten bronnen is informatie
afkomstig van de andere instanties die zijn aangesloten bij het samenwerkingsverband
IKZ. Open bronnen zijn voor iedereen raadpleegbare bronnen, waarbij kan worden gedacht
openbare informatie in het handelsregister of het kadaster. Zoals in de inleiding
reeds aan de orde kwam, wordt dit aanvullen van de signalen aangeduid als verrijken.
Een signaal dat is verrijkt met informatie van een of meerdere instanties, wordt vervolgens
verstrekt aan één of meer geëigende instanties die onderdeel uitmaken van het samenwerkingsverband
IKZ en voor wie dit verrijkte signaal van noodzakelijk belang is om fraude in de zorg
te bestrijden, door verder onderzoek doen naar of op te treden tegen de fraude. Ook
verricht het samenwerkingsverband IKZ onderzoek en analyse. Het gaat daarbij om het
verwerken van gegevens, waaronder persoonsgegevens, teneinde trends en ontwikkelingen
te signaleren en statistische gegevens en beleidsinformatie te genereren. Die informatie
wordt vervolgens aan betrokken instanties en aan BO TIZ ter beschikking gesteld.

Zoals onder andere in de inleiding van deze memorie van toelichting aan de orde kwam,
is samenwerking en uitwisseling van (persoons)gegevens voor betrokken instanties noodzakelijk
voor de uitvoering van en het toezicht op naleving van onder andere Zvw, Wlz, Wmo
2015 en Jw. De in hoofdstuk 2 beschreven knelpunten, het ontbreken van een wettelijke
grondslag voor de uitwisseling van persoonsgegevens die onderdeel uitmaken van het
signaal, het ontbreken van een verplichting tot het verstrekken van gegevens en het
ontbreken van een wettelijke taak en verwerkingsverantwoordelijkheid voor het huidige
samenwerkingsverband IKZ, staan in de weg aan het effectief functioneren van deze
samenwerking en het effectief en zorgvuldig bestrijden van fraude in de zorg. Teneinde
de genoemde knelpunten weg te nemen, voorziet deze wet binnen de kaders van privacyregelgeving
in een wettelijke plicht tot het verstrekken van gegevens door instanties, een wettelijk
grondslag voor de uitwisseling van persoonsgegevens tussen de betrokken instanties
en het IKZ en in een wettelijke taak voor die laatstgenoemde organisatie in dit kader.
Zoals eerder aan de orde kwam, zal er niet langer een samenwerkingsverband IKZ zijn,
maar wordt het IKZ een instelling als zodanig aangewezen door Onze Minister.

Met de in de wet geregelde opzet wordt de samenwerking door instanties efficiënter
en kan met het oog op privacygevoelige gegevens ook zorgvuldig worden samengewerkt.
Daardoor kan fraude in de zorg beter worden bestreden en worden de negatieve persoonlijke,
financiële en maatschappelijke gevolgen ervan beperkt. Het IKZ, zijnde een door Onze
Minister aan te wijzen instelling, wordt belast met deze taak en dit wordt geregeld
in dit wetsvoorstel.

Zoals in paragraaf 2.3 aan de orde kwam, bestaat de in deze wet gecreëerde wettelijke
grondslag naast de reeds bestaande grondslagen voor het verstrekken van persoonsgegevens
in andere (specifieke) wetgeving en verandert het die grondslagen ook niet. Deze wet
doet niet af aan de bestaande grondslagen voor bilaterale of multilaterale uitwisseling
van (persoons)gegevens tussen betrokken instanties. Die onderlinge uitwisseling van
gegevens blijft mogelijk. Hierbij wordt ook benadrukt dat de met deze wet gecreëerde
grondslag voor uitwisseling van (persoons)gegevens alleen de gegevensuitwisseling
tussen het IKZ en de in artikel 2.3, eerste lid, genoemde instanties betreft.

De veranderingen ten aanzien van de organisatie en inrichting van het IKZ zijn nader
uitgewerkt in paragraaf 4.2. Vervolgens wordt in paragraaf 4.3 het takenpakket en
de werkwijze van het IKZ uiteengezet en wordt in paragraaf 4.4 toegelicht op grond
waarvan welke instanties bij het IKZ zijn betrokken.

4.2 Wettelijke taak en rechtsvorm en wettelijke grondslag verwerking persoonsgegevens

Bij de keuze voor het maken van een expliciete wettelijke grondslag voor de verwerking
van persoonsgegevens, ontstond ook de noodzaak om het Informatieknooppunt zorgfraude
een juridische status toe te kennen, zodat taken en bevoegdheden kunnen worden toegekend.
Ten behoeve van bijvoorbeeld het aantrekken van eigen personeel, het inrichten en
beheren van een ICT-voorziening en het kunnen aangaan van andere rechten en verplichtingen
dient het IKZ rechtspersoonlijkheid te krijgen. Daarom is gekozen voor het oprichten
van een stichting die belast wordt met de uitvoering van een wettelijke taak. Bij
regeling wijst Onze Minister de Stichting IKZ als instelling aan die de in artikel
2.3 en 2.4 van deze wet opgenomen wettelijke taken van het IKZ gaat uitvoeren. Aan
de keuze voor de rechtsvorm stichting ligt een aantal nadere overwegingen ten grondslag.
Bij of krachtens amvb worden nadere regels gesteld ten aanzien van de aanwijzing van
het Informatieknooppunt zorgfraude en de daaraan verbonden voorschriften. Onder andere
de hierna toegelichte overwegingen zullen daarin moeten worden meegenomen, maar ook
moet zijn geregeld aan welke vereisten een als zodanig aan te wijzen instelling moet
voldoen en hoe een en ander in (oprichtings)statuten zijn weerslag moet vinden.

Omdat een brede schakering van instanties, zowel publiek als privaat en zowel centraal
als decentraal, deelneemt aan het samenwerkingsverband, is overwogen hoe de samenwerking
en het IKZ zoveel mogelijk recht doen aan de positie van betrokken instanties. Daarbij
was de wens van alle betrokkenen om een vorm te kiezen die, net als het samenwerkingsverband,
recht doet aan de gelijkwaardigheid van de betrokken instanties. De optie waarvoor
is gekozen, is die van de rechtspersoon met een wettelijke taak in de vorm van een
stichting. Met deze optie wordt het IKZ een onafhankelijke instantie, die vanuit haar
taak een bijdrage (ondersteuning) levert aan de bestrijding van fraude in de zorg.

Er is niet gekozen voor het beleggen van de taken bij een bestaand zelfstandig bestuursorgaan
(zbo), omdat de verantwoordelijkheid over het IKZ dan slechts bij één betrokken partij
in het zorgdomein zou komen te liggen. Dit past niet in de beoogde gelijkwaardige
samenwerking. Ook is niet gekozen voor een (nieuwe) zbo, omdat een dergelijke vorm
te zwaar zou zijn voor de taken die de nieuwe stichting krijgt. Het IKZ zal geen publiekrechtelijke
rechtshandelingen verrichten en heeft geen openbaar gezag. Het is derhalve geen bestuursorgaan
als bedoeld in artikel 1.1 van de Algemene wet bestuursrecht, hetgeen ook in het kader
van rechtsbescherming (paragraaf 4.5) relevant is. Het IKZ zal alleen feitelijke handelingen
verrichten die enkel ten dienste staan van de bestaande taken van betrokken instanties.
Het IKZ heeft een ondersteunende rol in de bestrijding van fraude in de zorg, hetgeen
nader wordt toegelicht in paragraaf 4.3.

Gezien het overkoepelende belang dat de stichting zal dienen, te weten het bestrijden
van fraude in de zorg, is besloten dat regie vanuit het departement wenselijk is.
Dit is echter geen reden om het een taak van de centrale overheid (VWS) te maken.
De beoogde regie van de centrale overheid krijgt reeds gestalte in de taken die op
grond van dit wetsvoorstel aan het IKZ worden toebedeeld. Daarnaast worden, ten behoeve van een zorgvuldige
en proportionele gegevensuitwisseling en uitoefening van taken, bij of krachtens amvb
nadere regels gesteld. Ook zal de stichting worden opgericht door VWS, waarbij in
acht zal worden genomen de onafhankelijke positie van de stichting. Gelet op het vorenstaande
is ook afgezien van de mogelijkheid het IKZ de vorm van een agentschap, een verzelfstandigd
dienstonderdeel van een ministerie, te geven. Daardoor zou Onze Minister zelf verantwoordelijk
worden voor de uitvoering, terwijl de wettelijke taken worden verricht voor andere
instanties die op afstand van het ministerie staan of zelfs helemaal los staan van
het ministerie, zoals de zorgverzekeraars en gemeenten.

De eerste verantwoordelijkheid voor het IKZ, waaronder de dagelijkse gang van zaken,
zal bij het bestuur van de stichting liggen. Onze Minister is in het algemeen verantwoordelijk
voor het zorgdomein en de inrichting en het functioneren van het zorgstelsel. Gelet
op het doel van het IKZ, het bestrijden van fraude in de zorg, valt het IKZ beleidsmatig
onder zijn verantwoordelijkheid. Het IKZ moet verantwoording afleggen over de door
Onze Minister verstrekte financiële middelen en is gehouden aan de wettelijke kaders.
Er zullen bij of krachtens amvb regels worden gesteld ten aanzien van de inrichting
en het beheer van en verantwoording door het IKZ. Daarbij worden ook regels opgenomen
over de bevoegdheid van Onze Minister vooraf aanwijzingen over het jaarplan van het
IKZ te geven, zowel ten aanzien van de verrijkingstaak als de taak onderzoek en analyse.
Voor een uitgebreidere toelichting wordt hiervoor verwezen naar de artikelsgewijze
toelichting. Dergelijke aspecten zullen ook in de statuten van het IKZ aan de orde
komen.

Met dit wetsvoorstel wordt ten behoeve van de uitvoering van de taak van het IKZ ook
een wettelijke grondslag gecreëerd voor het verwerken van persoonsgegevens. Hierdoor
kunnen persoonsgegevens die noodzakelijk zijn voor het bestrijden van fraude in de
zorg efficiënter en zorgvuldig bij elkaar worden gebracht en worden verstrekt aan
de meest geëigende instantie(s). Door het IKZ een wettelijk een taak te geven, is
er geen onduidelijkheid meer over rol en verantwoordelijkheidsverdeling en hoeft het
IKZ wat betreft deze taak niet meer op basis van een verwerkersovereenkomst met de
andere betrokken instanties te werken. Het IKZ wordt verwerkersverantwoordelijke in
de zin van artikel 4, onderdeel 7, van de AVG. Het is voor het IKZ niet meer nodig
om de bevoegdheid tot verwerken van informatie uitsluitend te ontlenen aan de afzonderlijke
bevoegdheden van de instanties. Het IKZ heeft nu zelf de bevoegdheid en, gelet op
de wettelijke taak, ook de verplichting de noodzakelijke verwerkingshandelingen te
verrichten. Het IKZ is gelet op het vorenstaande ook verantwoordelijk voor de rechtmatige
en zorgvuldige omgang met persoonsgegevens en moet in dat kader de plichten uit de
AVG naleven. De goede naleving van deze plichten moeten door het IKZ kunnen worden
aangetoond. Ook ten aanzien van de verwerking van andere gegevens dan persoonsgegevens
geldt overigens dat het IKZ daarvoor verantwoordelijk is en dat daarbij zorgvuldigheid
moet worden betracht.

4.3 Taken van het IKZ

Het IKZ heeft twee ondersteunende taken in het kader van bestrijding van fraude in
de zorg. De eerste taak van het IKZ is het verrijken van signalen die betrokken instanties
aan het IKZ hebben verstrekt en het resultaat daarvan, het verrijkte signaal, te verstrekken
aan de daartoe geëigende instantie(s). Deze instanties worden zo in de gelegenheid
gesteld maatregelen te treffen teneinde de betreffende fraude te bestrijden. De tweede
taak is het signaleren van trends en ontwikkelingen en het ontwikkelen van beleidsinformatie
en statistische informatie met betrekking tot fraude in de zorg, ten behoeve van de
in artikel 2.3, eerste lid, genoemde instanties en Onze Minister. Dit onderdeel wordt
aangeduid als «onderzoek en analyse».

Ter verduidelijking en afbakening van de taken van het IKZ, verdient het aandacht
dat het IKZ geen loket is waar burgers of organisaties, anders dan de betrokken instanties,
rechtstreeks terecht kunnen met signalen over fraude in de zorg. Het IKZ heeft zelf
geen handhavende, toezichthoudende of opsporende functie, taken of bevoegdheden. Zorgbehoevenden,
zorgprofessionals, (in)direct betrokkenen en anderen, melding van fraude in de zorg
doen bij het Meldpunt van de NZa.

Bij of krachtens amvb worden ingevolge artikel 2.7 met nadere regels waarborgen geboden
voor een zorgvuldige en rechtmatige verwerking van gegevens door het IKZ in het kader
van voornoemde ondersteunende taken. Die regels betreffen onder andere de verstrekking
van gegevens aan en door het IKZ alsmede de wijze waarop verwerking van gegevens door
het IKZ geschiedt.

Verstrekking van een signaal aan het IKZ

Signalen worden door de in artikel 2.3, eerste lid, genoemde instanties aan het IKZ
verstrekt. Het uitgangspunt is dat instanties verplicht zijn signalen te verstrekken
aan het IKZ, maar die verplichting geldt binnen het kader van de AVG. Dat betekent
dat als persoonsgegevens onderdeel uitmaken van het signaal, deze gegevens alleen
mogen worden verstrekt als het voor een of meer betrokken instanties noodzakelijk
is voor de bestrijding van fraude in de zorg. De beoordeling en afweging daartoe is
aan de betrokken instanties. Over de benodigde aanleiding tot en de gevallen waarin
en de voorwaarden waaronder verstrekking van gegevens aan het IKZ plaatsvindt alsmede
over de wijze waarop die verstrekking plaatsvindt, worden bij of krachtens amvb nadere
regels gesteld. Daarbij zal ook worden ingegaan op de aard van de gegevens.

De verplichting tot verstrekken aan het IKZ geldt niet voor de FIOD en de Inspectie
SZW, die slechts gegevens verstrekken op grond van en met inachtneming van de Wpg.
Dit heeft te maken met het gesloten regime van verstrekking dat op grond van de Wpg
geldt voor politiegegevens.

Hierna wordt in algemene zin de werkwijze van het IKZ beschreven. In paragraaf 4.6
wordt aan de hand van de waarborgen wat betreft privacy nader ingegaan op het uitwisselen
van signalen waar persoonsgegevens onderdeel van uitmaken. In hoofdstuk 5 wordt nader
toegelicht hoe noodzakelijkheid in dit kader moet worden gezien en wordt aan de hand
van voorbeelden geïllustreerd welke afweging door betrokken instanties moet worden
gemaakt voorafgaand aan de verstrekking van gegevens, waarvan persoonsgegevens onderdeel
uitmaken, aan het IKZ.

Verrijking en verstrekking van gegevens door het IKZ

Nadat een signaal is ontvangen en geregistreerd door het IKZ, worden de verstrekte
gegevens beoordeeld op volledigheid en juistheid. Indien noodzakelijk ter bestrijding
van fraude in de zorg, worden nadere gegevens, waaronder mogelijk persoonsgegevens,
bij de in artikel 2.3, eerste lid, genoemde instanties opgevraagd met betrekking tot
het signaal. Een signaal wordt vervolgens met de noodzakelijke gegevens verrijkt.
Dat houdt in dat de gegevens worden aangevuld met andere noodzakelijke gegevens van
betrokken instanties en gegevens uit de daartoe in artikel 2.3, tweede lid, aangewezen
bronnen. Dit zijn openbare bronnen die het IKZ mag raadplegen in het kader van de
verrijking van signalen. Het gaat om het Handelsregister en het Jaardocument Maatschappelijke
Verantwoording (JMV). De gegevens uit het Handelsregister zijn in de eerste plaats
van belang bij het beoordelen van de juistheid van de ontvangen gegevens. Andere openbare
gegevens uit het Handelsregister en de gegevens uit het JMV, dragen bij aan een zorgvuldig
en rechtmatig vervolg van het verrijkingsproces. Met de beschikking over de betreffende
openbare gegevens, kan het IKZ een betere beoordeling en afweging maken van de noodzakelijkheid
tot het verwerken van gegevens (uit de gegevensset) gedurende het proces van verrijking.
Daarmee is de mogelijkheid tot verrijking van signalen met gegevens uit openbare bronnen
beperkt.

Daar waar de beoordeling en afweging tot het verstrekken van een signaal aan het IKZ
aan de betrokken instantie is, is deze beoordelings- en afwegingsruimte er niet als
het IKZ gegevens opvraagt in het kader van verrijking. Betrokken instanties zijn verplicht
de gevraagde gegevens te verstrekken. Deze verplichting geldt echter niet voor de
FIOD en de Inspectie SZW, die ook in deze fase slechts gegevens verstrekken op grond
van en met inachtneming van de Wpg. De gegevens waarmee een signaal door het IKZ kan
worden verrijkt, worden eveneens nader bepaald bij amvb.

Bij het opvragen van nadere gegevens met betrekking tot het signaal, kan het IKZ bij
de in artikel 2.3, eerste lid, genoemde instanties geanonimiseerde en geaggregeerde
gegevens opvragen over andere zorgaanbieders, vergelijkbaar met de aanbieder waarover
het signaal is geregistreerd. Deze gegevens, waar geen persoonsgegevens onderdeel
van uitmaken, kunnen bijdragen aan het bekrachtigen dan wel ontkrachten van de informatie
behorend tot een (verrijkt) signaal ten aanzien van specifieke die betrokkene waarover
het signaal gaat. Volledigheidshalve wordt opgemerkt dat hiermee geen (andere) mogelijke
frauderende (rechts)personen mee in beeld worden gebracht en dat hier geen profilering
door het IKZ plaatsvindt. Ten overvloede wordt hierbij ook opgemerkt dat het, zoals
altijd bij een onderlinge uitwisseling, in de rede ligt dat bij de uitvoering van
deze taak bij de uitvraag door het IKZ enige gegevens aan de instanties wordt verstrekt
ten einde een gerichte uitvraag te doen. Het streven is en blijft om deze verwerking
zoveel mogelijk geautomatiseerd te doen plaatsvinden, waardoor het slechts om een
enkel gegeven zal gaan.

Bij of krachtens amvb worden nadere regels gesteld over de inrichting en de vormgeving
van de werkprocessen van het IKZ, waarbij aandacht wordt besteed aan de aard en herkomst
van de te verwerken gegevens, de wijze van verwerking van die gegevens en de beoordelingscriteria
voor de verschillende fasen van de verwerking. Daarbij kan gedacht kan worden aan
regels met betrekking tot trapsgewijze verrijking, zodat nader is gewaarborgd dat
gegevens niet of niet verder worden verwerkt indien dat niet noodzakelijk is.

Indien en voor zover noodzakelijk, verstrekt het IKZ het verrijkte signaal vervolgens
aan een of meerdere in het hiervoor genoemde artikellid opgenomen instanties, die
gelet op hun wettelijke taak en rol aangewezen zijn de betreffende fraude aan te pakken
en voor wie dit signaal noodzakelijk is in het kader van bestrijding van die fraude.
Zoals hiervoor aan de orde kwam in paragraaf 1.3, betreft dit de zogenaamde geëigende
instantie(s). Bij of krachtens amvb worden nadere regels gesteld over de wijze waarop,
de gevallen waarin en de voorwaarden waaronder de verstrekking van het verrijkte signaal
door het IKZ aan de geëigende instantie(s) plaatsvindt. Voor zover gegevens van de
rijksbelastingdienst of de FIOD, voor zover het fiscaal opsporingsonderzoek betreft,
onderdeel uitmaken van het verrijkte signaal, kan verstrekking van dat deel van de
gegevens door het IKZ aan ziektekostenverzekeraars in beginsel niet plaatsvinden.
Gelet op de fiscale geheimhoudingsplicht in artikel 67 Algemene wet inzake rijksbelasting,
die worden doorbroken met deze wet, moet grote terughoudendheid worden betracht bij
die doorverstrekking van gegevens. Verstrekking van specifiek deze gegevens door het
IKZ aan een ziektekostenverzekeraar, als meest geëigende instantie, kan slechts in
specifieke gevallen. Ook hierover worden nadere regels gesteld bij of krachtens amvb
en die regels zullen in ieder geval betrekking hebben op de gevallen waarin en de
voorwaarden waaronder de eventuele verstrekking van fiscale gegevens als onderdeel
van een verrijkt signaal aan een ziektekostenverzekeraar plaatsvindt alsmede op de
aard van de daarbij te verstrekken gegevens. Het gaat dan bijvoorbeeld om de randvoorwaarde
dat alleen verstrekking van fiscale gegevens aan ziektekostenverzekeraars plaatsvindt
na toestemming door de rijksbelastingdienst dan wel FIOD.

In artikel 2.3, vierde lid, is de mogelijkheid tot gerichte verstrekking van gegevens
geregeld. In het geval er meerdere geëigende instanties zijn, kan het IKZ op grond
van voornoemde bepaling met specifiek deze instanties in overleg treden, indien dit
noodzakelijk is om te bepalen wat er met het betreffende signaal wordt gedaan. Het
gaat dan om de afweging aan welke instantie(s) het verrijkte signaal al dan niet wordt
verstrekt.

Hoewel deze verstrekking aan de geëigende instantie(s) in gestandaardiseerde vorm
gebeurt, worden niet altijd alle persoonsgegevens van het verrijkte signaal verstrekt.
Het verrijkte signaal bevat alleen de voor de specifieke ontvangende instantie(s)
noodzakelijke persoonsgegevens. Het IKZ is binnen de kaders van de AVG verplicht tot
het verstrekken van een verrijkt signaal aan de geëigende instantie(s). Ook over de
wijze waarop en voorwaarden waaronder gegevens door het IKZ aan de geëigende instantie(s)
wordt verstrekt, worden bij of krachtens amvb nadere regels gesteld.

Na ontvangst van een door het IKZ verrijkt signaal, zijn en blijven in de wet genoemde
betrokken instanties zelf verantwoordelijk voor wat ze met dat signaal doen. De instanties
bepalen zelf, op basis van hun eigen wettelijke taken en bevoegdheden en binnen de
eigen normatieve kaders, of ze verder opvolging geven aan het signaal of niet. Het
ligt in de rede dat instanties alleen verrijkte signalen ontvangen die noodzakelijk
zijn voor de bestrijding van fraude in de zorg.

Onderzoek en analyse

Vaak hebben instanties onvoldoende overzicht in ontwikkelingen die domeinoverstijgend
plaatsvinden. Door het signaleren van trends en fenomenen met betrekking tot fraude
in de zorg, worden de instanties in staat gesteld hun toezichthoudende, handhavende
en opsporende taken beter uit te voeren. Op het moment dat ontwikkelingen zichtbaar
worden kunnen de instanties zelf doelgerichter onderzoek doen of maatregelen treffen.
Bovendien verstevigt deze kennis de mogelijkheden voor instanties om te anticiperen
op de gesignaleerde ontwikkelingen. Het niet signaleren van dergelijke ontwikkelingen
zou kunnen betekenen dat instanties reactief (blijven) werken en in het ergste geval
achter de feiten aanlopen. De beleidsmatige en statistische gegevens zijn bovendien
essentieel om het overkoepelende beleid te toetsen en te optimaliseren. Als er een
bepaalde beleidsmaatregel is genomen, kan het onderdeel onderzoek en analyse door
middel van rapportages laten zien wat het effect is van die maatregel bij een instantie.
Dit kan bijvoorbeeld zijn dat het toezicht in een bepaald domein wordt versterkt door
de instantie, waarna via een beleidsrapportage in beeld kan worden gebracht of dit
ook tot minder signalen van fraude in dat domein heeft geleid. Onze Minister kan deze
informatie in het kader van zijn stelselverantwoordelijkheid en zijn verantwoordelijkheid
ten aanzien van het IKZ, bijvoorbeeld ontvangen in het kader van beleidsvorming en
wet- en regelgeving.

Bij de uitvoering van de taak onderzoek en analyse heeft het IKZ in de eerste plaats
de bevoegdheid de in het kader van de eerste taak (verrijking) verkregen gegevens
te verwerken. Deze wet voorziet in een wettelijke grondslag om daarbij, indien noodzakelijk,
ook de daartoe behorende persoonsgegevens te verwerken. De noodzaak tot het verwerken
van persoonsgegevens in het kader van deze tweede taak, is daarin gelegen dat het
IKZ voor deze taak de gegevens uit de eerste taak (verrijking van signalen) gebruikt.
Deze gegevens bevatten persoonsgegevens, waardoor het noodzakelijk is dat in het kader
van deze taak die specifieke persoonsgegevens verwerkt kunnen worden. Daar komt bij
dat (nieuwe) fenomenen beter in beeld kunnen worden gebracht als bijvoorbeeld duidelijk
is om welke zorgaanbieder(s) het gaat en in welke regio en welk domein deze zorgaanbieder
actief is en persoonsgegevens kunnen onderdeel uitmaken van deze informatie. Ten aanzien
van het gebruik van gegevens anders dan (persoons)gegevens verkregen in het kader
van verrijking, bepaalt de wet niets. Het algemene uitgangspunt is dat het raadplegen
van bronnen en gebruik van informatie moet passen binnen de taak en rol van het IKZ
op grond van de wet (doelbinding).

De door het IKZ gegenereerde informatie die vervolgens aan de betrokken instanties
en Onze Minister wordt verstrekt, bevat geen persoonsgegevens. Deze gegevens zijn
geaggregeerd. Dit betekent dat de gesignaleerde trends en fenomenen, beleidsinformatie
en statistische informatie niet herleidbaar zijn tot individuele personen en de AVG
derhalve niet van toepassing is.

Om onduidelijkheid en verwarring te voorkomen rondom het gebruik van de termen «onderzoek
en analyse», «trends» en «fenomenen» is in artikel 2.5 uitgesloten dat het IKZ profileert
zoals bedoeld in artikel 4, onder 4, van de AVG. Geen enkele vorm van geautomatiseerde
verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde
persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met
de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke
voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren
of te voorspellen, mag plaatsvinden. Er worden door het IKZ geen individuele personen
in categorieën (profielen) ingedeeld op basis van hun persoonsgegevens en er is geen
sprake van het in kaart brengen van personen met een verhoogd risico (op betrokkenheid
bij fraude in de zorg). Tot slot vindt door het IKZ ook geen (geautomatiseerde individuele)
besluitvorming plaats zoals bedoeld in artikel 22 van de AVG. Hoewel gegevens over
(individuele) rechtspersonen mogelijk geen persoonsgegevens bevatten, mogen uitkomsten
van onderzoek en analyse nooit terug te herleiden zijn tot (individuele) rechtspersonen.
Dat is immers niet het doel van de verwerking

Bij of krachtens amvb worden nadere regels gesteld ten aanzien van de uitvoering van
deze tweede taak van het IKZ.

4.4 De instanties waarmee het IKZ (persoons)gegevens uitwisselt

De in artikel 2.3, eerste lid opgenomen instanties waarmee het IKZ op grond van dit
wetsvoorstel (persoons)gegevens moet en mag uitwisselen, zijn grotendeels dezelfde
als de instanties die voorheen het samenwerkingsverband IKZ vormden. Het gaat om het
CIZ, gemeenten, de FIOD, de IGJ, de Inspectie SZW, de rijksbelastingdienst, de SVB,
de NZa en ziektekostenverzekeraars. Ten opzichte van het samenwerkingsverband IKZ
is er een aantal veranderingen. Zo is het Openbaar Ministerie (OM) niet langer een
betrokken instantie. Een andere wijziging is dat de SVB als betrokken instantie in
artikel 2.3, eerste lid, is opgenomen. Deze instantie nam niet deel aan het samenwerkingsverband
IKZ. De SVB is opgenomen omdat zij vanuit haar taak beschikt over informatie betreffende
pgb’s, waar ook persoonsgegevens onderdeel van uit kunnen maken, die noodzakelijk
is voor bestrijding van fraude in de zorg. Tot slot traden de Vereniging van Nederlandse
Gemeenten (VNG) en ZN in het kader van gegevensuitwisseling met het samenwerkingsverband
IKZ op als verwerker voor de gemeenten respectievelijk de ziektekostenverzekeraars.
In het wetsvoorstel zijn gemeenten en ziektekostenverzekeraars direct aangewezen als
betrokken instanties die met het IKZ gegevens uitwisselen.

De betreffende instanties hebben elk een taak in de uitvoering van specifieke wetgeving
in het zorgdomein en zijn in bepaalde gevallen verantwoordelijk voor het toezicht
op de naleving van die wetgeving en belast met handhaving en opsporing. Voor al deze
instanties kan het voor de bestrijding van fraude in de zorg noodzakelijk zijn met
gegevens van andere betrokken instanties verrijkte signalen (terug) te ontvangen van
het IKZ. Het stelt de betreffende geëigende instantie(s) in staat adequaat tegen de
fraude op te treden, hetgeen op basis van het oorspronkelijke signaal of de oorspronkelijke
signalen op zichzelf niet mogelijk was.

4.5 Rechtsbescherming en informatieplicht

Zoals hiervoor aan de orde kwam, vormt de AVG het kader voor de verwerking van persoonsgegevens
die onderdeel uitmaken van de gegevens die op grond van deze wet worden verwerkt.
In die verordening zijn onder andere de verplichtingen van de verwerkende partij (zoals
de informatieplicht in artikel 14) en de rechten van betrokkenen (zoals recht op inzage
(artikel 15), correctie (artikel 16) en verwijdering (artikel 17) van gegevens) geregeld.
In Hoofdstuk 8 van de AVG zijn bepalingen over beroep, aansprakelijkheid en sancties
opgenomen. Er is de mogelijkheid een klacht in te dienen bij de toezichthoudende instantie,
de AP, en daarop wordt in beginsel een appellabel besluit genomen. Overigens geldt
dat de betrokken instanties en het IKZ zelf eveneens verantwoordelijk zijn voor intern
toezicht op de juistheid van de gegevens(verwerking). Dit komt terug in de regels
die bij of krachtens amvb worden gesteld.

Ook heeft een betrokkene het recht een doeltreffende voorziening in rechte in te stellen
tegen een verwerkingsverantwoordelijke, een verwerker of de toezichthoudende instantie
(artikelen 77 tot en met 79). Het recht op schadevergoeding en aansprakelijkheid bij
inbreuk op de AVG is geregeld in artikel 82. Nationaal rechtelijk zijn de rechtsbeschermingsbepalingen
uit de AVG nader uitgewerkt en ingevuld in paragraaf 3.3 van de UAVG. Zo is in artikelen
34 en 35 van de UAVG de toepasselijkheid van de Algemene wet bestuursrecht en het
burgerlijk recht geregeld ten aanzien van de uitoefening de rechten in artikel 15
tot en met 22 AVG. Rechtsbescherming in het geval van verwerking van persoonsgegevens
is langs deze lijn derhalve geborgd.

Het verstrekken of verrijken van een signaal moet worden beschouwd als een (feitelijke)
handeling. Omdat deze handeling niet is gericht op rechtsgevolgen die ontstaan in
de verhouding tot een of meer anderen, er ontstaan bijvoorbeeld geen rechten of plichten
voor betrokkenen, is geen sprake van een besluit als bedoeld in de Awb. Het bestuursrecht
biedt dan ook geen mogelijkheid hiertegen op te komen in bijvoorbeeld een bezwaar-
en beroepsprocedure. Volledigheidshalve en meer ten overvloede wordt opgemerkt dat indien (mede) op basis van een gegevensverstrekking in dit
kader een besluit wordt genomen, tegen dat besluit binnen de bestuursrechtelijke kaders
rechtsmiddelen open staan. Tot slot biedt het civielrecht ook mogelijkheden om tegen
(onrechtmatige) verwerking van (persoons)gegevens en de mogelijke gevolgen daarvan
op te komen. Te denken valt aan een vordering op grond van onrechtmatige daad als
bedoeld in artikel 6:162 van het BW.

De (verwerkings)verantwoordelijke instantie die een signaal met (persoons)gegevens
verstrekt, is en blijft verantwoordelijk voor die verwerking van persoonsgegevens.
Het IKZ is verantwoordelijk voor de verwerking van de (persoons)gegevens die het op
grond van deze wet doet, zoals het bijeenbrengen en verrijken van signalen en de verstrekking
ervan aan geëigende instanties. De verwerkingsverantwoordelijke instantie informeert
conform artikel 14 AVG de betreffende natuurlijke persoon of rechtspersoon, als sprake
is van verwerking van persoonsgegevens, over de verwerking. Van het informeren kan
worden afgezien indien sprake is van een situatie als bedoeld in artikel 14, vijfde
lid, AVG. Het gaat dan onder andere om de situatie dat bedoelde verplichting de verwezenlijking
van de doeleinden van die verwerking, te weten bestrijding van fraude in de zorg,
onmogelijk dreigt te maken. Hier ligt redelijkerwijs een afweging en dus verantwoordelijkheid
bij de verwerkingsverantwoordelijke.

Voor het geval dat van voornoemde uitzondering op de informatieplicht gebruik wordt
gemaakt, moet door de betrokken instantie zijn voorzien in passende maatregelen om
de om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te
beschermen. Bij amvb worden hier nadere regels voor gesteld. Met het geheel van maatregelen
en waarborgen, waarmee de inbreuk op privacy en de mogelijke gevolgen daarvan voor
betrokken steeds tot een minimum wordt beperkt, is voorzien in passende maatregelen.
Het gaat dan onder andere om de in het algemeen geldende strikte voorwaarden voor
de gegevensverwerking, procedurele voorschriften en vereisten (zie ook paragraaf 4.6).
Specifiek ten aanzien van het afzien van de informatieplicht kan gedacht worden aan
maatregelen ten aanzien van het zo spoedig mogelijk toch mogelijk maken van het informeren
van betrokkene.

Voor zover de FIOD en Inspectie SZW persoonsgegevens verwerken, zijn dit politiegegevens
waarop niet de AVG maar de Wpg van toepassing is. Voor die verwerkingen door die instanties
gelden derhalve ook andere rechten en plichten, opgenomen in de Wpg en onderliggende
regelgeving.

4.6 Waarborgen bij de gegevensuitwisseling

Het verwerken van gegevens over gezondheid is ingevolge artikel 9 eerste en tweede
lid, onderdeel g, van de AVG, in beginsel verboden en is alleen toegestaan als dit
noodzakelijk is om redenen van zwaarwegend algemeen belang. Dat daar in zijn algemeenheid
sprake van is, is onder meer onderbouwd in paragraaf 2.2, paragraaf 4.1 en hoofdstuk
5 van deze memorie van toelichting. Persoonsgegevens van (mogelijk) strafrechtelijke
aard mogen, voor zover hier van belang, alleen worden verwerkt indien de verwerking
is toegestaan bij lidstaatrechtelijke bepalingen, aldus artikel 10 van de AVG. Aan
die voorwaarde is met deze wet voldaan. Met betrekking tot de verwerking van beide
categorieën gegevens geldt daarbij ingevolge voornoemde artikelen ook dat specifieke
en passende maatregelen dan wel passende waarborgen moeten worden geboden ter bescherming
van de rechten en vrijheden van betrokkenen. Hierna is toegelicht dat daarin wordt
voorzien.

Zoals in de voorgaande paragrafen is beschreven worden alleen die persoonsgegevens
die noodzakelijk zijn voor het bereiken van het doel van de wet verstrekt en zal bij
amvb specifiek worden bepaald welke gegevens het betreft. Daarbij wordt het beginsel
van minimale gegevensverwerking gehanteerd. In de amvb zullen voorts de bewaartermijn
en de beveiliging van gegevens(verwerking) (artikel 32 AVG), zoals beveiligingsnormen
en mogelijkheden tot het loggen van gebruikershandelingen, worden bepaald. Ook wordt
in de amvb geborgd dat achterhaald kan worden hoe een verrijkt signaal is opgebouwd
en van welke bron of instantie de (persoons)gegevens in het verrijkte signaal afkomstig
zijn, hetgeen onder andere noodzakelijk is in het kader van eventuele verdere (strafrechtelijke)
juridische procedures.

Het uitwisselen van (verrijkte) signalen op grond van deze wet vindt plaats in een
gesloten elektronische voorziening, enkel te gebruiken door de in artikel 2.3, eerste
lid, genoemde betrokken instanties. Daarnaast worden vanuit het oogpunt van privacy
by design en privacy by default, gegevensbescherming door ontwerp en standaardinstellingen,
de mogelijkheden tot toegang tot de persoonsgegevens tot een minimum beperkt, zodat
instanties ook alleen die informatie van die frauderende partijen zien die voor hen
noodzakelijk zijn in het kader van bestrijding van fraude in de zorg. Een en ander
past binnen hetgeen is voorgeschreven in artikel 25 van de AVG. Het IKZ en de betrokken
instanties bepalen elk zelf wie binnen de eigen organisatie de bevoegdheid krijgt
om in de te gebruiken voorziening te werken en wat diens niveau van autorisatie is.
Er zal onderscheid in autorisaties zijn tussen medewerkers. Zo kan er onderscheid
zijn tussen medewerkers die signalen kunnen verstrekken aan het IKZ of die de verrijkte
signalen na ontvangst in kunnen zien. Ook binnen het IKZ zal er onderscheid zijn,
bijvoorbeeld afhankelijk van een rol in het verrijken of het werken aan onderzoek
en analyse. Deze aspecten komen aan de orde in de bij of krachtens amvb op te stellen
regels ten aanzien van de waarborgen en beveiliging van de (persoons)gegevens.

In hoofdstuk 5 worden de waarborgen bij gegevensverwerking nader toegelicht en daarbij
zal ook aandacht worden besteed aan de verwerking van bijzondere persoonsgegevens
en persoonsgegevens van strafrechtelijke aard.

Voor zover de FIOD en Inspectie SZW persoonsgegevens verwerken, zijn dit politiegegevens
waarop niet de AVG maar de Wpg van toepassing is. Voor die verwerkingen door die instanties
gelden derhalve ook andere waarborgen, opgenomen in de Wpg en onderliggende regelgeving.

4.7 Gegevens over gezondheid en gegevens van strafrechtelijke aard

Wat betreft gegevens over gezondheid geldt dat geen gegevens waarop een medisch beroepsgeheim
rust worden uitgewisseld tussen betrokken instanties en het IKZ. Gegevens over gezondheid
waarop een medisch beroepsgeheim rust, zouden enkel kunnen worden verstrekt met toestemming van de betrokkene. Dat kan in geval van verstrekking van (persoons)gegevens
door een zorgbehoevende in het kader van een melding bij een betrokken instantie.
Het kan bijvoorbeeld gaan om declaratiegegevens die bij een melding worden meegestuurd
en waaruit blijkt om welke specifieke behandeling het gaat. Naar verwachting zal deze
situatie zich echter niet vaak voor doen.

In het geval van verstrekking van gegevens van een zorgbehoevende, is het mogelijk
dat gegevens over gezondheid worden verstrekt waarop geen medisch beroepsgeheim rust.
Dit kan zich voordoen indien ten aanzien van een specifieke zorgbehoevende aanleiding
bestaat tot een vermoeden van fraude in de zorg, bijvoorbeeld in het geval van samenspanning.
De gegevens over gezondheid die in een dergelijk geval mogelijk verwerkt worden, betreffen
dan gegevens die duidelijk maken in welk domein de zorg aan die zorgbehoevende wordt
geleverd en welke soort zorg dit betreft. Bijvoorbeeld een voorziening in beschermd
wonen op grond van de Wmo 2015.

Wat betreft persoonsgegevens van strafrechtelijke aard, betreft het doorgaans de politiegegevens
die in het kader van de uitvoering van de dagelijkse politietaak (meldingen en signalen)
en onderzoek in verband met de handhaving van de rechtsorde in een bepaald geval (fraudeonderzoek)
door de Inspectie SZW en de FIOD worden verwerkt op grond van artikel 8 respectievelijk
artikel 9 van de Wpg. Overigens kan tijdens de verrijkingsprocedure op enig moment
ook anderszins sprake zijn van een persoonsgegeven van strafrechtelijke aard.

De noodzaak tot verstrekking van de gegevens die worden verwerkt op grond van artikel
8 van de Wpg, volgt uit een efficiënte en effectieve inzet van (de beperkt beschikbare
capaciteit van) de bijzondere opsporingsdiensten. De bijzondere opsporingsdiensten
kunnen slechts over een beperkte capaciteit beschikken en die moet zo effectief mogelijk
worden ingezet. Bij het selecteren van te onderzoeken gevallen, hanteren de bijzondere
opsporingsdiensten de in het Protocol normnaleving zorgsector opgenomen criteria.19 Het gaat om de criteria die zijn vervat onder de noemer «betekenisvolle zaken». Meldingen
en signalen waarover slechts beperkt informatie beschikbaar is of die een beperkte
omvang hebben en die daarom (nog) niet worden opgepakt door de bijzondere opsporingsdiensten,
moeten voor een effectieve aanpak van fraude in de zorg door andere betrokken instanties
kunnen worden opgepakt en afgedaan. Daarover is goede afstemming nodig. Om deze goede
afstemming te kunnen waarmaken is het uitwisselen van de voornoemde gegevens van strafrechtelijke
aard met andere betrokken instanties noodzakelijk en hierin speelt het IKZ een cruciale
rol.

De praktijk heeft uitgewezen dat juist de politiegegevens die op grond van artikel
9 van de Wpg zijn verwerkt, bijvoorbeeld in het kader van fraudeonderzoek, van groot
belang kunnen zijn voor de aanpak van fraude in de zorg. Deze gegevens zijn noodzakelijk
om zicht te krijgen op de verborgen verschijningsvormen van (de georganiseerde) fraude
in de zorgsector en anderszins inzicht te bieden in mogelijke fraude. Gelet daarop
is ook de uitwisseling van deze gegevens met het IKZ en vervolgens met de geëigende
instantie(s) noodzakelijk.

Het verstrekken van voornoemde gegevens is noodzakelijk met het oog op een effectieve
bestrijding van fraude in de zorg. De beperkte capaciteit voor toezicht en handhaving
moet zo effectief, efficiënt en slagvaardig mogelijk worden ingezet. Een voorbeeld
daarvan is dat door middel van deze gegevensdeling kan worden voorkomen dat een betrokken
instantie intervenieert in een lopend onderzoek. Daarnaast kan het feit dat een onderzoek
is afgerond, noodzakelijk zijn bij het bepalen van de geëigende instantie(s) om het
verrijkte signaal aan te verstrekken. Bijvoorbeeld omdat uit het verrijkte signaal
nieuwe feiten en omstandigheden blijken die aanleiding geven tot een vervolgonderzoek
door de betreffende instantie(s).

Door de FIOD en Inspectie SZW wordt per geval een afweging gemaakt welke gegevens
aan het IKZ worden verstrekt.

Tot slot geldt ook voor deze beide categorieën persoonsgegevens dat de te verstrekken
gegevens in elk geval moeten passen binnen de in de amvb opgenomen gegevenssets.

4.8 Het Inlichtingenbureau

Het IB is een reeds bestaande stichting, die in 2000 is opgericht door het Ministerie
van Sociale Zaken en Werkgelegenheid en de VNG. Het is onder meer opgericht voor de
coördinatie en dienstverlening ten behoeve van gemeenten bij de verwerking van (persoons)gegevens,
voor zover noodzakelijk voor de uitvoering van gemeentelijke taken in de sociale zekerheid.
Het IB vervult in dat domein sinds 2000 een knooppuntfunctie voor de gegevensuitwisseling
tussen gemeenten onderling. In 2015 realiseerde het IB het Gemeentelijk Gegevensknooppunt
(GGK). Het GGK verzorgt ten behoeve van declaraties van zorgkosten voortvloeiend uit
de Wmo 2015 en de Jeugdwet berichtenverkeer tussen gemeenten en zorgaanbieders.

Bij de inwerkingtreding van de Wmo 2015 en de Jw is voor de uitvoering van de gegevensuitwisseling
besloten het IB bij de uitwisseling van (persoons)gegevens tussen gemeenten onderling
en tussen gemeenten en zorgaanbieders, eenzelfde taak te kunnen laten vervullen als
zij reeds langere tijd heeft ten aanzien van de sociale zekerheid. Daarbij gaat het
om de in de Wmo 2015 en Jw reeds bepaalde gegevensuitwisseling, als het gebruik van
i-standaarden verplicht of noodzakelijk is, die het IB ten behoeve van gemeenten faciliteert.
Deze taakuitoefening in het kader van de Wmo 2015 en de Jw is tot op heden niet verankerd
in wet- en regelgeving, maar geschiedt op grond van verwerkersovereenkomsten tussen
de individuele gemeenten en het IB. Daarbij opereert de VNG als opdrachtgever. Ten
aanzien van de aansluiting van gemeenten op het IKZ (voor Wmo 2015- en Jw-gegevens),
komt daar nu bij dat het IB eveneens een knooppuntfunctie bekleedt tussen gemeenten
enerzijds en het IKZ anderzijds. Gelet op de sturingsmogelijkheden voor de gemeenten
ten aanzien van het IB en het gemeente-overstijgende karakter van de taakuitoefening
van het IB, is het voor een aantal in Wmo 2015, Jw en onderhavige wet genoemde verwerkingen
niet mogelijk gebleken dat het IB die verricht op basis van een verwerkersconstructie.
Het gaat bij voornoemde verwerkingen voornamelijk om het uitwisselen van gegevens
ten behoeve van gemeenten. Los van onderhavig wetsvoorstel heeft de AP, naar aanleiding
van een briefwisseling tussen de AP en VWS over de positie en taakuitoefening van
het IB, geadviseerd het IB te voorzien van een wettelijke grondslag voor de verwerking
van persoonsgegevens. Met onderhavig wetsvoorstel wordt hier uitvoering aan gegeven
en de stichting IB, die reeds deze taken uitvoert voor gemeenten, wordt bij ministeriële
regeling aangewezen. Daarbij wordt aangehaakt bij de structuur zoals deze reeds vorm
heeft gekregen binnen de Suwi-regelgeving.

Concreet voorziet het IB in (een voorziening voor) het Wmo 2015- en Jw-berichtenverkeer
(via de iWmo- en iJw-standaarden). Het gaat daarbij om het transporteren van berichten
die betrekking hebben op het financieel-administratief verkeer tussen gemeenten en
zorgaanbieders (bijvoorbeeld toewijzing, declaratie en verantwoording). Daarnaast
verleent het IB voor de Wmo 2015 en Jw aanvullende diensten binnen de bestaande wettelijke
kaders, waarbij gedacht kan worden aan de zogenoemde Wlz-registertoets waarbij eventuele
samenloop tussen Wlz-zorg en maatschappelijke ondersteuning wordt gesignaleerd of
de technische voorziening in het kader van het woonplaatsbeginsel in de Jw. Voor de
dienstverleningen voor gemeenten in het kader van de Wmo 2015 en de Jw dient het IB,
in navolging van gemeenten zelf, gebruik te maken van het burgerservicenummer (BSN).
Gemeenten zijn bevoegd om het BSN te gebruiken en doen dit ook in het kader van hun
werkzaamheden. Om vervolgens bijvoorbeeld de juiste, geautomatiseerde koppelingen
te maken tussen gemeenten onderling moet het BSN door het IB worden verwerkt wil het
IB als dienstverlener aansluiten op de gegevensverwerking door gemeenten.

Het IB verwerkt niet meer gegevens dan op grond van vigerende wet- en regelgeving
reeds is toebedeeld aan gemeenten. Er is geen uitbreiding van grondslagen voor de
uitwisseling van gegevens ten opzichte van de bestaande gronden voor gemeenten, maar
mogelijk is gemaakt dat in de bestaande uitwisselingen het IB formeel taken kan vervullen
ten behoeve van gemeenten. Als het IB een of meerdere taken vervult bij de uitwisseling
van persoonsgegevens, dan is het voor die verwerking verwerkingsverantwoordelijke.
Dit wordt verderop in deze paragraaf nader toegelicht.

Ten aanzien van de uitwisseling met het IKZ betekent het dat het IB vanuit haar bestaande
knooppuntfunctie in de Wmo 2015 en Jw, ook de aansluiting van gemeenten op het IKZ
verschaft. De voorziene verstrekking van Wmo 2015- en Jw-gegevens door gemeenten aan het IKZ betreft gegevens die
het IB reeds vanuit de hiervoor bedoelde taakuitoefening in de Wmo 2015 en Jw ten
behoeve van gemeenten verwerkt. Daarom ligt het in de rede dat het IB ook een taak
krijgt in de uitwisseling tussen gemeenten en het IKZ. Op die manier wordt voorkomen
dat alle gemeenten een directe aansluiting op het IKZ dienen te realiseren. Met de
aan het IB toebedeelde taak wordt voorzien in een koppeling tussen de gemeenten en
het IKZ via het IB, zodat de bij amvb aangewezen noodzakelijke gegevens van gemeenten
uit het hiervoor genoemde berichtenverkeer worden verstrekt aan het IKZ. Bij de uitvoering
van hun taken in het kader van de Wmo 2015 en Jw, waaronder het houden van toezicht,
krijgen gemeenten signalen van fraude in de zorg. Het is aan elke afzonderlijke gemeente
om in een specifiek geval te beoordelen of dit signaal via het IB aan het IKZ moet
worden verstrekt. In de situatie dat een signaal is verstrekt aan het IKZ en het IKZ
het signaal verrijkt en daarvoor gegevens opvraagt bij de betrokken instanties, is
dat anders. Het IB stelt ten aanzien van de bevraagde gemeente(n) dan zelf de noodzakelijke
gegevens beschikbaar. Dit kan worden beschouwd als een zelfstandige afwegingsbevoegdheid
die past bij de rol van een verwerkingsverantwoordelijke, hoewel deze rol volledig
is ingekaderd en afgebakend binnen deze wet- en regelgeving. Bovendien hebben gemeenten
bij die verwerking geen zicht op wat er bij die verwerking gebeurt, uitgaande van de nagestreefde
automatisering van dit proces. In de koppeling tussen het IKZ en gemeenten houdt de
verwerking door het IB niets anders in dan dat het door het IKZ verrijkte signaal
via het IB aan de geëigende gemeente wordt verstrekt ter uitvoering van diens wettelijke
taak. In tegenstelling tot wat via deze wet wordt geregeld ten aanzien van de taken
van het IB in het kader van de Wmo 2015 en Jw, waarbij het IB taken kán krijgen, moét
gegevensuitwisseling tussen gemeenten en het IKZ plaatsvinden via het IB. Zoals in
de volgende alinea nader is toegelicht, is het IB onder andere gelet op de beperkte
sturingsmogelijkheden van individuele gemeenten ook verwerkingsverantwoordelijke voor
verwerkingen in het kader van deze wet. Tot slot en meer ten overvloede wordt opgemerkt
dat het IB niet voorziet in enige koppeling ten behoeve van de andere in dit wetsvoorstel
genoemde instanties.

De constructie waarin het IB verwerker is ten behoeve van gemeenten in de Wmo 2015
en de Jw in bovengenoemde werkwijzen levert diverse complicaties op. Allereerst vereist
een verhouding verwerkingsverantwoordelijke (gemeente) versus verwerker (het IB) dat
voldoende sturingsmogelijkheden bestaan voor de verantwoordelijke. Ten tweede dient
de taakuitoefening van de verwerker te passen bij diens rol als verwerker. Ten aanzien
van de sturingsmogelijkheden door gemeenten is gebleken dat de grote hoeveelheid gemeenten
die dezelfde dienstverlening van het IB afnemen, ertoe leidt dat zij nog onvoldoende
in staat zijn individueel en direct te kunnen sturen. Wat betreft de taakuitoefening
van het IB is gebleken dat diverse taken die het IB uitoefent een domeinoverstijgend
(gemeente-overstijgend) karakter hebben en daarom niet passen bij de rol van verwerker
voor een individuele gemeente. Gebleken is dat het aan beide elementen min of meer
schortte en door de AP zijn vraagtekens geplaatst bij de juridische houdbaarheid van
deze verwerkersconstructie. Zowel de AP als de VNG hebben geadviseerd voor deze taakuitoefening
een zelfstandige verwerkingsverantwoordelijkheid te creëren. Dit sluit voor de Wmo
2015 en Jw ook het beste aan bij de taken die gemeenten vervullen, te weten het domeinoverstijgende
transport van berichten en de koppeling tussen gemeenten en het IKZ. Derhalve is besloten
voor het IB, wat betreft voornoemde aan de gemeenten opgedragen gegevensuitwisselingen,
in een wettelijke grondslag te voorzien zodat deze uitwisseling kan (Wmo 2015, Jw)
respectievelijk moet (Wbsrz) geschieden door het IB. Zoals hiervoor al aan de orde
kwam, is het IB voor de verwerking van persoonsgegevens in die gevallen verwerkingsverantwoordelijke.

Er is ten aanzien van de Wmo 2015 en Jw geen sprake van een «nieuwe» gegevensuitwisseling,
maar in de bestaande uitwisselingen en structuur van de wet wordt de rol van het IB
als «nieuwe» partij ingepast. Voor de uitwisseling van gegevens met het IKZ betreft
het ook niet meer dan een voorziening om de beoogde gegevensuitwisseling tussen het
IKZ en gemeenten te realiseren.

5. Het recht op privacy, EVRM, AVG, EU-Handvest en het medisch beroepsgeheim

5.1 Het recht op privacy, EVRM, AVG en EU-Handvest

Artikel 8 van het EVRM bepaalt dat, voor zover hier van belang, een ieder recht heeft
op respect voor zijn privé leven (hierna: »privacy»). Geen inmenging van enig openbaar
gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is
voorzien en in een democratische samenleving noodzakelijk is in het belang van de
nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land,
het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of
de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

De vereiste noodzakelijkheid in een democratische samenleving houdt in dat:

• de inmenging voorziet in een dringende maatschappelijke behoefte;

• de inmenging geschikt is voor (in dit geval) de bestrijding en het tegengaan van fraude
op het gebied van zorg, en

• de inmenging voldoet aan de eisen van proportionaliteit en subsidiariteit.20

Ook artikel 10 van de Grondwet en de artikelen 7 en 8 van het EU-Handvest die het
recht op privacy en gegevensbescherming waarborgen, laten op dit recht beperkingen
toe. De AVG vormt de materiele invulling van de artikelen 10, tweede en derde lid,
van de Grondwet.21 In artikel 6 van de AVG is een aantal voorwaarden voor rechtmatige verwerking van
persoonsgegevens opgenomen. Ingevolge onderdeel c van voornoemd artikel, is een dergelijke
verwerking rechtmatig indien de verwerking noodzakelijk is om te voldoen aan een wettelijke
verplichting die op de verwerkingsverantwoordelijke rust. De voorwaarde dat de inmenging
in de privacy noodzakelijk moet zijn volgt ook uit de AVG. Uit artikel 5, eerste lid
aanhef en onderdeel d, AVG volgt dat de persoonsgegevens toereikend moeten zijn, ter
zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden
verwerkt. Het uitgangspunt is minimale gegevensverwerking.

In hoofdstuk 2 is toegelicht dat de inmenging in privacy in het kader van bestrijding
van fraude in de zorg noodzakelijk is voor het economisch welzijn van het land, het
voorkomen van strafbare feiten en de bescherming van de gezondheid. Meer concreet betreft het de persoonlijke, financiële en maatschappelijke
belangen bij toegankelijkheid van zorg en de bestrijding van fraude in de zorg. Er
is sprake van een zwaarwegend algemeen belang dat deze wetgeving en de inmenging in
de privacy van betrokkenen rechtvaardigt. Zorgbehoevenden moeten de zorg krijgen waar
zij recht op hebben en zij moeten kunnen vertrouwen op de zorgaanbieders. De samenleving
moet erop kunnen vertrouwen dat de financiële bijdrage aan het zorgstelsel ook daadwerkelijk
aan zorg wordt besteed, zodat het stelsel betaalbaar blijft en draagvlak voor het
stelsel bestaat. Teneinde voornoemde belangen te kunnen behartigen en waarborgen,
is samenwerking tussen de instanties in de keten noodzakelijk. Voor een goede samenwerking
tussen die instanties is het noodzakelijk dat die instanties gegevens, waaronder in
het noodzakelijke geval persoonsgegevens, met elkaar kunnen uitwisselen. In artikelen
2.1 en 2.3 van de onderhavige wet, worden de betrokken instanties uit de keten verplicht
tot het uitwisselen van (persoons)gegevens voor zover noodzakelijk voor de bestrijding
van fraude in de zorg en wordt voorzien in de op grond van het EVRM en de AVG vereiste
wettelijke grondslag voor het maken van inbreuk op privacy en voor de verwerking van
persoonsgegevens. Dit geldt zowel voor de verwerking van persoonsgegevens in het geval
van een gerechtvaardigde overtuiging van fraude, bijvoorbeeld in het Waarschuwingsregister,
als in het geval van het uitwisselen van (verrijkte) signalen met het IKZ. Met de
wet worden de knelpunten in de huidige wet- en regelgeving, die in de weg staan aan
een efficiënte en, mede met het oog op privacy, zorgvuldige samenwerking tussen instanties,
weggenomen. Daarmee worden de gevolgen van fraude in de zorg op persoonlijk, financieel
en maatschappelijk vlak teruggedrongen en beperkt.

Hiermee is voldaan aan het vereiste van een wettelijke basis en de eerste twee vereisten
van noodzakelijkheid in een democratische samenleving onder artikel 8 EVRM en de voorwaarden
van de AVG, die hiervoor zijn toegelicht.

In de wet is conform de AVG gewaarborgd dat het verwerken van persoonsgegevens, zoals
het verstrekken, registreren en verrijken ervan, alleen is toegestaan indien die verwerking
noodzakelijk is in het kader van bestrijding van fraude in de zorg. Dat betekent dat
die verwerking nodig is omdat het doel van de verwerking, te weten bestrijding van
fraude in de zorg, anders redelijkerwijs niet kan worden verwezenlijkt. In de vraag
of een verwerking noodzakelijk is, ligt besloten of de verwerking van gegevens proportioneel
is en of de verwerking voldoet aan de eis van subsidiariteit. Of de verwerking proportioneel
is, betreft de vraag naar effectiviteit en evenredigheid. Het legitieme doel dat wordt
nagestreefd moet in verhouding staan tot het feit dat daarvoor persoonsgegevens moeten
worden verwerkt. Dit staat in het onderhavige geval in verhouding, omdat enerzijds de persoonlijke, financiële en maatschappelijke gevolgen van
fraude in de zorg worden beperkt en anderzijds de daarvoor noodzakelijke inmenging
in de privacy van betrokkene tot een minimum wordt beperkt en is voorzien van waarborgen.
Subsidiariteit betreft de vraag of het genoemde doel niet op een andere, minder ingrijpende
wijze kan worden bereikt. Bijvoorbeeld door géén of minder persoonsgegevens te verwerken.
Er heeft een afweging plaatsgevonden of hetzelfde doel zou kunnen worden bereikt op
een andere wijze dan met de uitwisseling van persoonsgegevens, maar dit is niet mogelijk
gebleken. Juist het bijeenbrengen van gegevens en het daarmee versterken van de gegevenspositie
van betrokken instanties, is cruciaal voor de uitoefening van de taken van die instanties
als het gaat om het bestrijden van fraude in de zorg. Het doel kan ook niet op een
minder ingrijpende manier worden bereikt, want met een beperktere grondslag voor het
verwerken van persoonsgegevens of met andere dan de voorgestelde middelen, zou deze
wet niet doeltreffend zijn. De knelpunten in de samenwerking zouden niet dan wel onvoldoende
worden weggenomen en dat zou in de weg hebben gestaan aan een efficiënte en zorgvuldige
bestrijding van fraude in de zorg. Gelet op het beginsel van dataminimalisatie wordt
overigens ook in de lagere regelgeving een zorgvuldige afweging gemaakt met welke
minimale set aan gegevens het beoogde doel kan worden bereikt. Hiermee is dan ook
voldaan aan het derde vereiste van noodzakelijkheid in een democratische samenleving
onder artikel 8 EVRM en de eisen van de AVG.

Ter illustratie wordt hierna geschetst hoe deze beoordeling en afweging er globaal
uitziet in het kader van de uitwisseling van persoonsgegevens met het IKZ. Het ligt
in de rede dat dit, binnen het wettelijk kader, nader vorm moet krijgen in de praktijk.
Het is aan betrokken instanties daar afspraken over te maken en die bijvoorbeeld vast
te leggen in een werkinstructie of handreiking. Eenzelfde soort afweging zal moeten
worden gemaakt bij het verwerken van persoonsgegevens in het geval van een gerechtvaardigde
overtuiging van fraude. Hiervoor zal een en ander nader worden uitgewerkt in een protocol.

Het uitgangspunt is dat signalen waarop door een betrokken instantie zelf actie kan
worden ondernomen en waarbij voor het bereiken van het doel, de bestrijding van fraude
in de zorg, geen gegevensdeling met het IKZ noodzakelijk is, niet aan het IKZ worden
verstrekt.

Hierbij kan gedacht worden aan de situatie met een zorgaanbieder waarvan het bekend
is dat het een kleine partij is, die in alleen een specifieke gemeente actief is in
één specifiek domein, en waarover voldoende informatie beschikbaar is om zelf op te
treden (onderzoek, handhaving, aangifte, etc.). Tegenover dit voorbeeld staat de situatie
van een zorgaanbieder waarvan bekend is dat deze actief is in een groter gebied (in
meerdere gemeenten) en in meerdere domeinen. Er zijn signalen dat er sprake is van
fraude, maar er is samenwerking en samenvoeging van informatie noodzakelijk teneinde
dit hard te kunnen maken en er actie tegen te ondernemen. De verschillende puzzelstukjes
moeten dan (mede) door uitwisseling van persoonsgegevens met het IKZ bij elkaar worden
gebracht.

Het zelf actie kunnen ondernemen op signalen hoeft niet in de weg te staan aan het
delen van deze signalen met het IKZ. In gevallen waarin gegevensuitwisseling voor
de bestrijding van fraude in de zorg voor andere betrokken instanties noodzakelijk
is, moet ook uitwisseling plaatsvinden van gegevens waarop een instantie zelf al actie
heeft ondernomen.

Daarnaast zal in het kader van effectiviteit moeten worden afgewogen of het om al
dan niet geloofwaardige en duidelijke signalen gaat. De betrokken instanties en het
IKZ moeten zorgvuldig omgaan met de persoonsgegevens die worden verstrekt en als het
op voorhand overduidelijk is dat het uitwisselen van de persoonsgegevens geen kans
van slagen heeft of dat het signaal niet plausibel is, dan moet worden afgezien van
het verstrekken van die gegevens (en andersom).

De enkele melding van iemand over «de hele dure auto van zijn PGB ontvangende buurman»
is onvoldoende. De situatie is echter anders als deze melding past in andere al bekende
of na de melding vergaarde informatie die aanleiding geeft tot het vermoeden van fraude.

Tot slot moet ook worden afgewogen of een signaal ook kan worden verstrekt zonder
of met minder gegevensverstrekking. Bijvoorbeeld wanneer het signaal persoonsgegevens
bevat die niet nodig zijn voor de verdere behandeling van het signaal.

Zoals in paragraaf 3.5 en 4.6 van deze toelichting al aan de orde is gekomen, voorzien
de wet en de amvb ook in andere waarborgen ten aanzien van het verwerken van persoonsgegevens.
Bij amvb is geregeld welke (persoons)gegevens door welke instantie in het kader van
bestrijding van fraude in de zorg mogen worden verwerkt indien noodzakelijk voor het
bereiken van dat doel. Voorts zijn in de amvb de bewaartermijn en de wijze van beveiliging
(art. 32 AVG) van de gegevens uitgewerkt. Zowel het verstrekken van persoonsgegevens
in geval van een gerechtvaardigde overtuiging van fraude als het uitwisselen van (verrijkte)
signalen op grond van deze wet vindt plaats binnen gesloten omgevingen, die enkel te gebruiken door de respectievelijk in artikel 2.1 en 2.3 genoemde
instanties. Daarnaast worden vanuit het oogpunt van privacy by design en privacy by
default, gegevensbescherming door ontwerp en standaardinstellingen, de mogelijkheden
tot inzage tot de persoonsgegevens tot een minimum beperkt, zodat instanties ook alleen
die informatie van die partijen verstrekken, ontvangen en zien die voor hen noodzakelijk
zijn in het kader van bestrijding van fraude in de zorg. Een en ander past binnen
hetgeen is voorgeschreven in artikel 25 van de AVG. Tot slot worden de taken van het
IKZ ook wettelijk vastgelegd en is de binding van de organisatie met het doel dat
zij dient geborgd.

Nadere aandacht verdienen de verwerking van bijzondere persoonsgegevens, te weten
gegevens over gezondheid, en persoonsgegevens van strafrechtelijke aard. Gelet op
de gevoeligheid van deze persoonsgegevens, geldt voor de verwerking ervan een zwaarder
regime dan voor andere persoonsgegevens.

Het verwerken van gegevens over gezondheid is in beginsel verboden. Hierop zijn uitzonderingen.
In het kader van deze wet is relevant de uitzondering dat de verwerking van deze bijzondere
persoonsgegevens noodzakelijk is om redenen van een zwaarwegend algemeen belang, zoals
bepaald in artikel 9, tweede lid, aanhef en onder g, AVG. Onder welke voorwaarden
gegevens van strafrechtelijke aard mogen worden verwerkt, is geregeld in artikel 10
AVG. Die gegevens mogen, voor zover hier van belang, alleen worden verwerkt indien
de verwerking is toegestaan bij lidstaatrechtelijke bepalingen. Voor beide categorieën
persoonsgegevens moeten bij nationaal recht ook specifieke en passende maatregelen
respectievelijk passende waarborgen te zijn geboden ter bescherming van de rechten
en vrijheden van betrokkenen.

In hoofdstuk 2 en eerder in de onderhavige paragraaf, is onderbouwd dat sprake is
van een zwaarwegend algemeen belang. De persoonlijke, financiële en maatschappelijke
belangen bij toegankelijkheid van zorg en de bestrijding van fraude in de zorg en
het belang van de met deze wet gecreëerde wettelijke grondslag voor verwerking van
persoonsgegevens in dat kader, rechtvaardigen de inmenging in de privacy van een betrokkene. De uitzondering op het verbod tot verwerken van gegevens over gezondheid is
daarmee gerechtvaardigd. Daarnaast is met deze wet voorzien in lidstaatrechtelijke
bepalingen, op grond waarvan het is toegestaan gegevens van strafrechtelijke aard
te verwerken. Zoals hiervoor al aan de orde is gekomen, voorzien deze wet en de amvb
in de vereiste maatregelen en passende waarborgen voor het verwerken van voornoemde
categorieën persoonsgegevens.

5.2 Gegevensverwerking door het Inlichtingenbureau

In dit wetsvoorstel wordt het IB belast met de coördinatie en dienstverlening ten
behoeve van gemeenten bij de uitwisseling van persoonsgegevens in de Wmo 2015, Jw
en onderhavig wetsvoorstel.

Ten aanzien van de Wmo 2015 en Jw betreft dit geen nieuwe grondslag voor uitwisseling
van persoonsgegevens, in zoverre dat de grondslagen voor de uitwisseling tussen gemeenten
onderling en tussen gemeenten en aanbieders reeds in de Wmo 2015 en Jw zijn geborgd
en onderbouwd. Ook ten aanzien van onderhavig wetsvoorstel, waarin (de grondslag voor)
de uitwisseling tussen gemeenten en het IKZ is geregeld, is reeds onderbouwd waarom die uitwisseling moet plaatsvinden. Hier is aandacht aan besteed in hoofdstuk
4 en paragraaf 5.1 van deze memorie van toelichting.

Artikel 2.3, zesde en zevende lid, van dit wetsvoorstel zorgt slechts voor een grondslag
op grond waarvan ten behoeve van gemeenten de feitelijke gegevensuitwisseling met
het IKZ plaatsvindt via het IB en maakt dat het IB voor deze verwerking van persoonsgegevens
verwerkingsverantwoordelijke is. Hierbij is het IB slechts de koppeling tussen enerzijds
gemeenten en anderzijds het IKZ. Het IB verricht geen inhoudelijke verwerkingen van gegevens
zoals een nadere verrijking.

Tevens is in de Wmo 2015 en Jw geregeld dat de verwerking van persoonsgegevens kan
geschieden door tussenkomst van het IB. Daarbij is aangesloten bij de bestaande systematiek
van deze twee wetten. Het IB is bijvoorbeeld ingepast in de systematiek van de Wmo
2015, waarin veel explicieter reeds een uitwerking is gemaakt rondom de invulling
van rechten van betrokkenen voor de daar bedoelde verwerkingsverantwoordelijken.

In paragraaf 4.8 is nader uitgelegd waarom, gegeven de noodzaak tot uitwisseling van
persoonsgegevens in de Wmo 2015, Jw en onderhavig wetsvoorstel, het IB een rol dient
te hebben in de uitwisseling van gegevens ten behoeve van gemeenten. In de vraag naar
de noodzaak van de rol van het IB, ligt besloten of de verwerking van persoonsgegevens
door het IB proportioneel is en of de verwerking voldoet aan de eis van subsidiariteit.

Of de verwerking proportioneel is, betreft de vraag naar effectiviteit en evenredigheid.
Het legitieme doel dat wordt nagestreefd moet in verhouding staan tot het feit dat
daarvoor persoonsgegevens moeten worden verwerkt. Het IB vervult een knooppuntfunctie
voor gegevensuitwisseling tussen gemeenten onderling en voorziet daarbij in (een voorziening
voor) het Wmo 2015- en Jw-berichtenverkeer. Daarnaast zal het IB in het kader van
uitwisseling met het IKZ een aansluiting tussen gemeenten en het IKZ verschaffen.
Het IB waarborgt een efficiënte en veilige wijze van gegevensuitwisseling tussen gemeenten.
Het gevolg van een aansluiting van individuele gemeenten op het IKZ en zelfstandige
uitvoering van het berichtenverkeer in de Wmo 2015 en Jw, zonder het IB, zou betekenen
dat alle gemeenten deze uitwisseling en uitvoering zelf tot stand moeten brengen.
De reden dat gemeenten dit eerder al hebben belegd bij het IB, is omdat dit zorgt
voor een eenduidige (op elkaar aangesloten) en veilige wijze van gegevensuitwisseling
die moeilijker door de individuele gemeenten is te realiseren. De eventuele inmenging
in de privacy van betrokkenen die wordt veroorzaakt door het IB een rol te geven in
deze gegevensuitwisseling, is voorzien van waarborgen en wordt tot een minimum beperkt.
Het IB verwerkt niet meer gegevens dan op grond van vigerende wet- en regelgeving
alsmede onderhavig wetsvoorstel reeds aan gemeenten is toebedeeld. In het in het kader
van de uitwisseling met het IKZ voorziet het IB slechts in een aansluiting tussen
gemeenten en het IKZ, het IB doet geen nadere inhoudelijke verwerkingen op de signalen.

Subsidiariteit betreft de vraag of het genoemde doel niet op een andere, minder ingrijpende
wijze kan worden bereikt. Bijvoorbeeld door géén of minder persoonsgegevens te verwerken.
Zowel voor wat betreft het berichtenverkeer tussen gemeenten onderling als de aansluiting
tussen gemeenten en het IKZ geldt dat uitwisseling via het IB efficiënt, veilig en
zorgvuldig is. Hetzelfde doel kan niet worden bereikt zonder de uitwisseling van persoonsgegevens,
omdat gemeenten de wettelijke taak hebben deze persoonsgegevens te verwerken. Het
doel kan ook niet op een minder ingrijpende wijze bereikt worden. Dat zou, zoals in
de vorige alinea reeds toegelicht, betekenen dat iedere gemeente rechtstreeks met
alle andere gemeenten berichten zouden moeten uitwisselen en dat iedere gemeente afzonderlijk
een directe aansluiting op het IKZ dient te realiseren. Dat zou tot veel meer verschillende
koppelingen leiden, hetgeen een kwetsbaarder elektronische voorziening in de hand
werkt en daarmee risico’s voor de privacy van betrokkenen met zich mee zou brengen.
Gestandaardiseerd berichtenverkeer via het IB voorziet in een efficiënte en veilige
met waarborgen omklede oplossing.

5.3 Geen doorbreking medisch beroepsgeheim

Het medisch beroepsgeheim, hierna verder toegelicht, is een groot goed. Een zorgbehoevende
moet altijd in vertrouwen informatie kunnen delen met zijn of haar arts. In het wetsvoorstel
is aanvankelijk de mogelijkheid opengelaten het medisch beroepsgeheim te doorbreken.
Dit heeft veel reacties opgeroepen en zowel vanuit het zorgdomein als vanuit de samenleving
zijn hierover zorgen geuit. De regering deelt deze zorgen en mede gelet op de voornoemde
reacties, is het in deze wet uitgesloten gegevens uit te wisselen waar het medisch
beroepsgeheim op rust. Noch bij gegevensverstrekking in het geval van gerechtvaardigde
overtuiging van fraude in de zorg, noch in de gegevensuitwisseling met het IKZ. Volledigheidshalve
wordt opgemerkt dat indien een zorgbehoevende daarvoor toestemming geeft, mogelijk
wel gegevens waarop het medisch beroepsgeheim rust zouden kunnen worden uitgewisseld.

Technisch gezien moet er een onderscheid gemaakt worden tussen gegevens over gezondheid
en gegevens waarop het medisch beroepsgeheim rust. Het enkele feit dat iemand zorgbehoevende
is en een budget uit de Wmo 2015 of Jw ontvangt, is een gegeven over gezondheid als
bedoeld in artikel 9 van de AVG. Op dit gegeven rust echter geen medisch beroepsgeheim.
Een gegeven over gezondheid waar wel een medisch beroepsgeheim rust, en dus buiten
de strekking van dit wetsvoorstel valt, is bijvoorbeeld een declaratie van een beroepsoefenaar
waarop de aard en inhoud van de behandeling van betrokkene wordt vermeld. De AVG vereist
voor het verwerken van gegevens over gezondheid, dat ook het enkele feit kan zijn
dat iemand een budget uit de Wmo 2015 ontvangt, een wettelijke uitzondering op het
verbod deze gegevens te verwerken. Daarom biedt deze wet, zoals eerder in deze paragraaf
is toegelicht, een grondslag voor het verwerken van gegevens over gezondheid.

6 Gegevensbeschermingseffectbeoordeling

Voor dit wetsvoorstel is conform artikel 35 van de AVG een Privacy Impact Assessment
(PIA), ook wel gegevensbeschermingseffectbeoordeling genoemd, uitgevoerd. In de PIA
is toegelicht waar het assessment op ziet en is op hoofdlijnen de context beschreven
waarbinnen deze plaatsvindt. Daarbij is ingegaan op de aanleiding voor deze wet, het
beoogde doel van de wet en de onderdelen waaruit de wet bestaat. Vervolgens is aandacht
besteed aan de mogelijke verwerkingen van persoonsgegevens, de doeleinden van de verwerkingen,
welke instanties bij de verwerkingen betrokken zijn (en wie daarbinnen toegang tot
de persoonsgegevens hebben) en welke categorieën persoonsgegevens worden verwerkt.
Ook zijn de belangen bij de gegevensverwerking uiteengezet. Tevens is uitgeschreven
op welke wijze en met gebruikmaking van welke (technische) middelen en methoden de
persoonsgegevens worden verwerkt. De rechtmatigheid van de gegevensverwerkingen zijn
ook beoordeeld. Daarbij is aandacht besteed aan de rechtsgrond, noodzaak en doelbinding
van de voorgenomen gegevensverwerkingen en rechten van de betrokkene. Tot slot zijn
de risico’s voor betrokkenen beschreven en beoordeeld, waarna de daarop geformuleerde
maatregelen zijn toegelicht.

In de hoofdstukken 1 tot en met 5 van deze memorie van toelichting komen al deze onderdelen
aan de orde. De PIA is voorgelegd aan de functionaris voor de gegevensbescherming
en akkoord bevonden. Bij of krachtens amvb zullen nadere regels worden gesteld over
hetgeen in dit wetsvoorstel wordt geregeld. Voor deze amvb wordt eveneens PIA uitgevoerd.

7. Regeldrukaspecten

Regeldruk is een verzamelnaam voor kosten die samenhangen met administratieve lasten
(kosten om te voldoen aan informatieverplichtingen aan de overheid vanuit regelgeving),
inhoudelijke nalevingkosten (kosten om te voldoen aan inhoudelijke eisen uit wet-
en regelgeving) en toezichtlasten.

Voor burgers, zorgondernemingen en zorgprofessionals heeft het wetsvoorstel geen consequenties
op het gebied van regeldruk. Dit geldt zowel voor het eerste als het tweede onderdeel
van de wet.

In het onderhavige wetsvoorstel worden verplichtingen opgelegd aan betrokken instanties
en wordt een taak wordt toegekend aan het IKZ. Instanties zijn bij de uitvoering van
de verplichtingen en taken gehouden de bestuurlijke zorgvuldigheid te betrachten en
te noodzakelijkheid, proportionaliteit en subsidiariteit mee te nemen in hun afweging.

Het eerste onderdeel van dit wetsvoorstel brengt beperkte regeldrukgevolgen met zich
mee voor de betrokken instanties, opgenomen in artikel 2.1, eerste lid, van deze wet.
Voor het verstrekken van (persoons)gegevens betreffende partijen ten aanzien van wie
de gerechtvaardigde overtuiging bestaat dat zij fraude hebben gepleegd, geldt dat
de betrokken instanties (gemeenten en ziektekostenverzekeraars) bepaalde administratieve
handelingen moeten verrichten. Indien gebruik wordt gemaakt van bijvoorbeeld het Waarschuwingsregister,
zal registratie van de betreffende partij moeten plaatsvinden en moet de betrokkene
daar schriftelijk over geïnformeerd worden. Ook het raadplegen van de verstrekte (persoons)gegevens
en het desgewenst toetsen ervan, vraagt een bepaalde inzet van instanties. Gelet op
het beperkte aantal (persoons)gegevens dat wordt verwerkt, is de administratieve lastenverzwaring
voor betrokken instanties beperkt.

Het belang bij het beter in beeld krijgen van partijen ten aanzien van wie de gerechtvaardigde
overtuiging van het plegen van fraude bestaat, weegt voor betrokken instanties overigens
ook op tegen de regeldrukgevolgen die voortvloeien uit de verplichting tot het verstrekken
van (persoons)gegevens en het gebruik van het een centraal registratiesysteem als
het Waarschuwingsregister.

Het tweede onderdeel van dit wetsvoorstel, betreffende het uitwisselen van gegevens
met het IKZ, leidt voor de in artikel 2.3, eerste lid, genoemde betrokken instanties eveneens niet tot extra regeldruk. Als gevolg van dit wetsvoorstel
is daarentegen sprake van een beperkte afname van de regeldruk. In het kader van de
uitvoering van hun wettelijke taken beschikken de betrokken instanties reeds over
de (persoons)gegevens waarover het in dit wetsvoorstel gaat. Het wetsvoorstel maakt
het mogelijk dat de samenwerking tussen betrokken instanties en de uitwisseling van
(persoons)gegevens die daarbij noodzakelijk is, efficiënter en zorgvuldig kan plaatsvinden.
De knelpunten in de huidige samenwerking, zoals beschreven in paragraaf 2.2, worden
weggenomen. Het belang bij het verrijken van signalen en het verstrekken daarvan aan
de geëigende instantie(s), weegt voor betrokken instanties overigens ook op tegen
de regeldrukgevolgen die voortvloeien uit de verplichting tot het verstrekken van
(persoons)gegevens.

Daarnaast dienen betrokken instanties kennis te nemen van de inhoud van dit wetsvoorstel.
De daarmee gemoeide kennisnamekosten zijn echter vanwege de geringe omvang van het
voorstel en de beperkte doelgroep verwaarloosbaar.

Het Adviescollege toetsing regeldruk heeft VWS laten weten de analyse en beschrijving
van de gevolgen voor de regeldruk te delen.

8. Consultatie en advies

8.1 Uitvoeringstoetsen

Van 7 juni 2018 tot 6 juli 2018 hebben de IGJ, de Inspectie SZW, de rijksbelastingdienst,
de SVB, de VNG, de NZa en ZN de gelegenheid gekregen om de uitvoerbaarheid van het
wetsvoorstel te toetsen. De uitkomsten van deze toetsen zijn hierna samengevat, waarbij
is opgenomen wat met de uitkomsten al dan niet is gedaan in dit wetsvoorstel en de
memorie van toelichting. Instanties hebben kenbaar gemaakt de doelstelling van het
wetsvoorstel te steunen.

Inspectie Gezondheidszorg en Jeugd

De IGJ stelt voor het wetsvoorstel aan te passen en mogelijk te maken dat IGJ ten
behoeve van de aanpak van zorgverwaarlozing, gegevens van het IKZ mag ontvangen. In
lijn daarmee suggereert de IGJ ook de doelbeschrijving in het wetsvoorstel aan te
passen. De suggestie van de IGJ wordt niet overgenomen. Het doel van de wet en de
rechtvaardiging van de uitwisseling van (persoons)gegevens, is bestrijding van fraude
in de zorg. Indien fraude in de zorg gepaard gaat met (mogelijke) zorgverwaarlozing
en daarom zo met elkaar is verweven dat het niet los van elkaar kan worden gezien,
kan de IGJ als betrokken instantie informatie ontvangen van het IKZ. Daarvoor voorziet
deze wet reeds in een grondslag. Daarnaast heeft de IGJ opgemerkt dat een in alle
gevallen verplichte doorbreking van het voor de IGJ afgeleide medisch beroepsgeheim
niet proportioneel is en dat de afweging om gegevens te leveren aan het IKZ, bij de
leverende instantie moet blijven. Het wetsvoorstel is aangepast en in de wet is uitgesloten
gegevens uit te wisselen waar het medisch beroepsgeheim op rust.

Rijksbelastingdienst

De rijksbelastingdienst heeft een voorbehoud gemaakt voor mogelijke uitvoeringsgevolgen,
waaronder kosten, invoeringsdatum en doorlooptijden. De rijksbelastingdienst wordt
betrokken bij het traject om de amvb op te stellen en wordt ook in de gelegenheid
gesteld om de amvb op uitvoerbaarheid te toetsen. In nadere afstemming is ten aanzien
van gegevens waarover de FIOD beschikt, nog aan de orde gekomen dat dit politiegegevens
betreft en dat gelet daarop het Besluit politiegegevens (Bpg) moet worden aangepast.
VWS start het traject de Bpg op dit punt aan te passen, hetgeen ook nodig is voor
de verwerking van gegevens van de Inspectie SZW. Ten aanzien van de FIOD heeft de rijksbelastingdienst
nog ingebracht dat verstrekking van gegevens plaatsvindt onder voorbehoud van instemming
van het OM.

Zorgverzekeraars Nederland

ZN heeft opgemerkt dat er geen rekening is gehouden met de transitie van AWBZ naar
Wlz, waardoor het wetsvoorstel nu geen grondslag biedt om gegevens uit de AWBZ-periode
uit te wisselen. Dat is correct en dit is ongewijzigd gebleven. De reden hiervoor
is de lange tijd die is verstreken tussen het einde van de AWBZ (per 1 januari 2015)
en het moment van inwerkingtreding van onderhavige wet. Het wordt niet reëel geacht
dat er na inwerkingtreding van de wet nog een gerechtvaardigde overtuiging ontstaat
dat er voor 1 januari 2015 is gefraudeerd. ZN heeft ten aanzien van het Waarschuwingsregister
de kanttekening geplaatst dat aangifte een te hoge drempel is als criterium voor registratie.
In het wetsvoorstel is de voorwaarde voor registratie in een centraal registratiesysteem,
zoals het Waarschuwingsregister, gewijzigd. Er moet conform een protocol sprake zijn
van een gerechtvaardigde overtuiging van fraude. Of in een concreet geval aangifte
gedaan moet worden, wordt in deze wet niet geregeld. Dit is aan het strafrecht en
beleid van betrokken instanties. ZN heeft verzocht in artikel 2.1, tweede lid, «uit
eigen beweging», te vervangen door «op verzoek van». Partijen zijn echter verplicht
tot het verstrekken van (persoons)gegevens in het geval een gerechtvaardigde overtuiging
van fraude bestaat. Daarom is de term «uit eigen beweging» geschrapt, de wettekst
aangepast en de suggestie van ZN niet overgenomen. Ook heeft ZN verzocht het opzeggen
van de basisverzekering toe te voegen als mogelijke maatregel. De wet regelt niets
omtrent de te treffen maatregelen. In de memorie van toelichting zijn ter duiding
enkele voorbeelden genoemd. Dit is niet uitputtende bedoeld en derhalve wordt het
door ZN genoemde voorbeeld niet opgenomen. Ook heeft ZN verzocht in de toelichting
iets op te nemen over de verantwoordelijkheid van het IKZ, bijvoorbeeld bij fouten
of een datalek. De verantwoordelijkheid in het geval van bijvoorbeeld een inbreuk
in verband met persoonsgegevens (een datalek) volgt de bepalingen uit de AVG. Een
en ander is toegelicht in de memorie van toelichting. Ten slotte heeft ZN opgemerkt
dat het ook tot de taak van Wlz-uitvoerders en zorgverzekeraars behoort contractpartijen
te toetsen op integriteit of fraudeverleden. ZN vraagt of er een instrument (register)
komt waarmee het verleden getoetst kan worden. Voor zover met deze reactie wordt gedoeld
op een mogelijkheid met terugwerkende kracht alsnog gevallen van (gerechtvaardigde
overtuiging van) fraude uit het verleden in een centraal registratiesysteem op te
nemen, moet deze vraag ontkennend worden beantwoord.

Inspectie SZW

De Inspectie SZW geeft in de uitvoeringstoets aan dat de Wpg een lex specialis is
dat een gesloten verstrekkingenregime kent. Het Bpg zal daarom aangepast moeten worden.
Dit is correct en VWS start het traject de Bpg op dit punt aan te passen, hetgeen
ook nodig is voor de verwerking van gegevens van de FIOD. De Inspectie SZW merkt in
de uitvoeringstoets op dat eventuele financiële consequenties zullen worden getoetst
naar aanleiding van de amvb.

Sociale Verzekeringsbank

De SVB heeft voorgesteld in artikel 2.3, tweede lid, het «voorkomen van fraude» op
te nemen. Onder het woord bestrijden moet mede het voorkomen begrepen worden. Dit
blijkt ook voldoende duidelijk uit de (gewijzigde) memorie van toelichting. De SVB
verzoekt op te nemen dat de SVB alleen een signalerende rol heeft en geen handhavende
taak. In de gewijzigde memorie van toelichting komen de rollen niet meer zodanig aan
de orde. Overigens wordt in deze wet niets geregeld over de wettelijke taken van de
betrokken instanties, anders dan het IKZ. De SVB merkt op dat het geen medische gegevens
mag ontvangen als onderdeel van een verrijkt signaal. Het wetsvoorstel creëert een
wettelijke grondslag voor het uitwisselen van persoonsgegevens, waaronder gegevens
over gezondheid. In de amvb worden de gegevenssets bepaald en daarbij wordt ook geregeld
wat aan instanties wordt verstrekt door het IKZ. Daarbij kan worden gedifferentieerd.
Er worden overigens zonder toestemming van de betrokkene geen gegevens verstrekt waarop
een medisch beroepsgeheim rust. De SVB heeft een tekstvoorstel gedaan om in artikel
2.3 eerste lid de woorden «in dit lid genoemde instanties» toe te voegen. Dit tekstvoorstel
is overgenomen. De SVB heeft voorgesteld een apart artikel op te nemen met daarin
de taakomschrijving van het IKZ. De artikelen 2.3, 2.4 en 2.6 bevatten de taken van
het IKZ. Dit zal bij of krachtens amvb nader worden uitgewerkt. De SVB heeft ook verzocht
bij de totstandkoming van de amvb de vraag mee te nemen of het IKZ bij een informatieverzoek
aan de SVB ook zal vragen om aanvullende documentatie. Bij amvb wordt geregeld welke
gegevens worden uitgewisseld. Documentatie is daarvan een onderdeel. De SVB is conform
de door hen uitgesproken wens daartoe betrokken in het traject om de amvb op te stellen
en het project voor proces- en systeeminrichting. Het Ministerie van SZW, in de hoedanigheid
van eigenaar van de SVB, stemt in met het wetsvoorstel mits wordt voldaan aan de randvoorwaarden
zoals voorgesteld door de SVB.

NZa

De NZa merkt op dat een wettelijke basis lijkt te ontbreken voor instanties om gegevens
te verstrekken ten behoeve van de tweede taak van het IKZ, onderzoek en analyse. Ook
is volgens de NZa onvoldoende duidelijk in welke gevallen de verstrekte gegevens worden
gebruikt voor die taak. Het wetsvoorstel creëert een grondslag voor instanties om
(persoons)gegevens te verstrekken aan het IKZ ten behoeve van de eerste taak, het
verwerken en verstrekken van gegevens ten behoeve van bestrijding van fraude in de
zorg. In het wetsvoorstel is ook een grondslag voor het IKZ opgenomen om deze gegevens
te verwerken ten behoeve van de tweede taak. Dit komt in de memorie van toelichting
nader aan de orde. De NZa merkt op dat de in het wetsvoorstel gehanteerde definitie
van fraude in de zorg een beperking is voor de uitoefening van haar toezichttaken,
omdat de NZa ook toeziet op overtreding van de regels zonder dat sprake is van opzet
of misleiding. Zoals hiervoor aan de orde kwam, wordt in deze wet niets geregeld over
de (uitvoering van) wettelijke taken van de betrokken instanties anders dan het IKZ.
Het wetsvoorstel heeft ook niet tot doel een wettelijke grondslag te creëren voor
gegevensverwerking in het geval van niet opzettelijke overtreding van de regels, zoals
bij fouten. De reeds bestaande mogelijkheden daartoe worden overigens ook niet door
onderhavige wet beperkt. De NZa heeft verzocht de verhouding tussen het Waarschuwingsregister
en het IKZ verder te verduidelijken. Beide onderdelen zijn in de gewijzigde memorie
van toelichting nader beschreven, waarbij ook de onderlinge verhouding verder verduidelijkt
is. Voor een effectieve uitvoering van fraudebestrijding is het naar het oordeel van
de NZa noodzakelijk dat ook het BSN kan worden uitgewisseld. In de amvb worden de
gegevenssets bepaald die op basis van de met dit wetsvoorstel gecreëerde grondslag
voor gegevensverwerking worden verstrekt.

VNG

De VNG heeft verzocht in het wetsvoorstel een criterium op te nemen voor het verstrekken
van signalen aan het IKZ. In het wetsvoorstel is opgenomen dat instanties signalen
moeten verstrekken indien die noodzakelijk zijn voor de bestrijding van fraude in
de zorg. In de memorie van toelichting is inzichtelijk gemaakt hoe het EVRM en de
AVG het kader vormen voor de uitwisseling van persoonsgegevens. In de amvb wordt een
en ander ook nader uitgewerkt. Voor gemeenten is het niet praktisch een (rechts)persoon
te registreren in het Waarschuwingsregister als er nog geen onherroepelijke veroordeling
is. Gemeenten willen dat er sterke elementen worden benoemd, zodat registratie niet
vrijblijvend is. In het gewijzigde wetsvoorstel worden (persoons)gegevens in het geval
van de gerechtvaardigde overtuiging van fraude in de zorg enkel verstrekt als deze
overtuiging conform een protocol is verkregen en verstrekking van die gegevens noodzakelijk
is voor de bestrijding van die fraude. In de amvb en het op te stellen protocol wordt
hier nadere invulling aan gegeven. De VNG verzoekt duidelijk te maken dat het verplicht
is signalen te verstrekken aan het IKZ. In het wetsvoorstel en de memorie van toelichting
is duidelijk gemaakt dat het verstrekken van signalen door instanties aan het IKZ,
en andersom, een verplichting is voor zover het noodzakelijk is voor de bestrijding
van fraude in de zorg en past binnen het kader van het EVRM en de AVG. De VNG vraagt
zich af of het noodzakelijk is om een grondslag in de wet op te nemen voor het verwerken
van medische gegevens (persoonsgegevens over gezondheid). Het enkele feit dat iemand
zorg ontvangt, is al een persoonsgegeven over gezondheid. Dit persoonsgegeven kan
onderdeel uitmaken van een signaal en daarom is een grondslag nodig voor het verwerken
van deze gegevens. De VNG stelt voor om in het wetsvoorstel op te nemen dat de persoon
bij de gemeente die de gegevens van het IKZ kan ontvangen, enkel een door het college
van B&W aangewezen en aangestelde ambtenaar kan zijn. Dit betreft een interne aangelegenheid
van elke van de betrokken instanties. De kaders hiervoor worden gevormd door dit wetsvoorstel,
de amvb en de AVG. De VNG heeft verzocht aan artikel 2.4, eerste lid, toe te voegen
dat het om niet herleidbare gegevens gaat. Omdat nieuwe fenomenen beter in beeld kunnen
worden gebracht als bijvoorbeeld duidelijk is om welke zorgaanbieder(s) het gaat en
in welke regio en welk domein deze zorgaanbieder actief is, is het onder omstandigheden
noodzakelijk (persoons)gegevens te verwerken. Het onderdeel onderzoek en analyse heeft
daarom een grondslag nodig om deze gegevens te verwerken. Overigens is in het wetsvoorstel
opgenomen dat de uitkomsten van onderzoek en analyse nooit persoonsgegevens bevatten.
De VNG heeft evenals ZN opgemerkt dat voor het Waarschuwingsregister een grondslag
ontbreekt om gegevens in verband met fraude onder de AWBZ uit te wisselen. Dat is
correct en dit is ongewijzigd gebleven. De reden hiervoor is de lange tijd die is
verstreken tussen het einde van de AWBZ (per 1 januari 2015) en het moment van inwerkingtreding
van onderhavige wet. Het wordt niet reëel geacht dat er na inwerkingtreding van de
wet nog een gerechtvaardigde overtuiging ontstaat dat er voor 1 januari 2015 is gefraudeerd.
De VNG heeft voorgesteld om ten aanzien van het IKZ ook berichtenverkeer met het IB
op te nemen. Dit voorstel is overgenomen. Met deze wet is een wettelijke grondslag
en taak voor het IB gecreëerd, met een specifieke rol in de gegevensuitwisseling tussen
gemeenten en het IKZ in het kader van deze wet. De VNG heeft opgemerkt dat nu enkel
de Wlz is opgenomen in het wetsvoorstel en dat de Wmo 2015 en Jw moeten worden toegevoegd.
In artikel 1.1 is het college omschreven als het college van burgemeesters en wethouders
als bedoeld in artikel 5, onderdeel c, van de Gemeentewet. Het college is uitvoerder
van de Wmo 2015 en de Jw en daarmee is dit afdoende geregeld. De VNG acht het van
belang te benadrukken dat ook bestuursrechtelijke sancties mogelijk zijn en niet alle
zaken die in het Waarschuwingsregister worden opgenomen, strafrechtelijk moeten worden
afgedaan. Het wetsvoorstel regelt niets over de toezichts- en handhavingsmogelijkheden.
In de memorie van toelichting staan ter illustratie een aantal voorbeelden van maatregelen
genoemd. Ten aanzien van het Waarschuwingsregister heeft de VNG de vraag gesteld op
welk niveau (rechtspersoon, directeur, bestuurder) geregistreerd wordt. In een centraal
registratiesysteem zoals het Waarschuwingsregister kunnen ook natuurlijke personen
geregistreerd worden. Een en ander wordt nader uitgewerkt in de amvb en het op te
stellen protocol. Er moet een gerechtvaardigde overtuiging van fraude jegens de te
registreren (rechts)persoon bestaan. Ook heeft de VNG ten aanzien van het Waarschuwingsregister
aangegeven dat gemeenten nadere concretisering wensen van de informatieplicht richting
betrokkenen, bewaartermijnen en criteria. In de gewijzigde memorie van toelichting
wordt hier aandacht aan besteed en dit wordt nader geregeld bij of krachtens amvb
en in het op te stellen protocol. De VNG heeft in de reactie een aantal opmerkingen
opgenomen die buiten het kader van dit wetsvoorstel vallen en daarop wordt hier derhalve
niet ingegaan.

8.2 Voorafgaande raadpleging Autoriteit persoonsgegevens

Conform artikel 36, vierde lid, AVG is de AP geraadpleegd over het wetsvoorstel. In
het advies, waarin de AP zich beperkt tot dat deel van het wetsvoorstel dat gaat over
de verwerking van persoonsgegevens, erkent de AP op zichzelf het algemene belang dat
is gemoeid met de bestrijding van fraude in de zorg. De evenredigheid tussen het wetsvoorstel
en de nagestreefde doelstelling was volgens de AP echter nog onvoldoende aangetoond
in de consultatieversie van het wetsvoorstel. Daarbij merkt de AP op dat geen zicht
bestaat op de werkelijke omvang van het probleem. In hoofdstuk 2 van de gewijzigde
memorie van toelichting is de noodzaak tot deze wetgeving en het zwaarwegende algemeen
belang dat daarmee wordt gediend, uitgewerkt en toegelicht. Met name in hoofdstuk
5 van de gewijzigde memorie van toelichting is vervolgens nader ingegaan op de gemaakte
afweging voor de inbreuk op de privacy van betrokkenen en de bij gegevenswerking gegeven
waarborgen. Op deze onderdelen is ook in hoofdstukken 3 en 4 ingegaan voor zover het
specifiek de daarin aan de orde komende onderdelen van deze wet betrof (paragrafen
3.5 en 4.6). In die hoofdstukken is eveneens aandacht besteed aan de rechtsbescherming (paragrafen 3.4 en 4.5). Mede naar aanleiding van de reactie van de AP ten aanzien
van de rechten van betrokkenen, is het wetsvoorstel en de memorie van toelichting
aangepast. Hier wordt volstaan naar deze onderdelen van de memorie van toelichting
te verwijzen.

De duiding van het begrip fraude in de zorg is mede naar aanleiding van de reactie
van de AP gewijzigd in de onderhavige versie van de memorie van toelichting. Ten aanzien
van de verwerking van gegevens over gezondheid (art. 9 AVG), heeft de AP erop gewezen
dat geen categorische uitzondering op het verwerkingsverbod moet worden gemaakt. Er
moet specifiek bepaald zijn welke gegevens het betreft. Zoals in artikel 1.2 is bepaald,
worden geen gegevens verwerkt waarop een medisch beroepsgeheim rust. Hierdoor rest
er nog slechts een beperkte hoeveelheid gegevens over gezondheid die wel verwerkt
zouden kunnen worden. De gegevenssets zijn nader bepaald in de amvb. Wat betreft het
geval van gegevensuitwisseling in het kader van een gerechtvaardigde overtuiging van
fraude, mogen binnen die sets slechts de gegevensworden gedeeld die duidelijk maken
in welk domein de zorg wordt geleverd. Een en ander is duidelijker opgenomen dan in
de consultatieversie.

Ten aanzien van het (voorgenomen) Waarschuwingsregister, heeft de AP gesteld dat de
impact van een registratie in een dergelijk systeem groot is en dat niet is gebleken
van overwegingen ten aanzien van de kwaliteit of inhoud van de aangifte die nodig
is voor registratie. Mede naar aanleiding van het advies van de AP en in afstemming
met betrokken instanties is het wetsvoorstel en de memorie van toelichting gewijzigd.
Als voorwaarde voor de verwerking van (persoons)gegevens in het geval van een gerechtvaardigde
overtuiging van fraude in de zorg, bijvoorbeeld door middel van registratie in het
Waarschuwingsregister, wordt niet langer het criterium van het doen van aangifte gehanteerd.
De (persoons)gegevens moeten worden verstrekt indien conform een protocol, met in
de amvb nader bepaalde voorwaarden en waarborgen, een gerechtvaardigde overtuiging
van fraude in de zorg is ontstaan. Een strafrechtelijke veroordeling afwachten voordat
voornoemde verwerking plaatsvindt, zoals het AP heeft gesuggereerd, is geen optie.
Gelet op de tijd die het kost voordat die fase in een dossier wordt bereikt, zou deze
aanpak niet doeltreffend zijn. De AP heeft opgemerkt dat misbruik door betrokken instanties
niet valt uit te sluiten. In de onderhavige memorie van toelichting is mede naar aanleiding
van de uitkomst van de uitgevoerde fraudetoets, waarin de risico’s op en impact van
mogelijke fraude zijn beoordeeld, nader aandacht besteed aan de toelichting op de
rechtsbescherming en waarborgen. Die onderdelen zijn veelal in andere wetgeving geregeld
en zijn meegenomen in de opzet van dit wetsvoorstel. De verwachting is dat de kans
op fraude met deze op het bestrijden van fraude in de zorg gerichte wet, nihil is
en dat mede door de gegeven waarborgen de gevolgen van een mogelijke fraude minimaal
zijn.

Ten aanzien van het onderdeel van deze wet dat gaat over het IKZ, stelt de AP dat
het ontbreekt aan duidelijke waarborgen bij signaalverwerking door het IKZ. Ook heeft
het bezwaren tegen de verhouding van het wetsvoorstel ten opzichte van de rechten
van betrokkenen op grond van de AVG en de noodzaak van verwerking van gegevens over
gezondheid. In reactie daarop wordt hier verwezen naar hetgeen daarover eerder in
deze paragraaf is geschreven en hetgeen in paragraaf 4.6 en hoofdstuk 5 van de gewijzigde
memorie van toelichting is opgenomen. In de consultatieversie staat volgens het AP
ten onrechte dat het verwerken van persoonsgegevens door het IKZ geen gevolgen heeft
voor de betrokkene. Mede naar aanleiding van deze reactie is op dit aspect de formulering
van de memorie van toelichting gewijzigd.

8.3 Consultatie brancheorganisaties en internetconsultatie

Diverse brancheorganisaties en individuele personen hebben gereageerd op het ontwerp
wetsvoorstel, al dan niet via de internetconsultatie (7 juni 2018 tot en met 5 juli
2018).22 Er zijn in totaal zeven reacties op het wetsvoorstel binnengekomen. Hierna wordt
op de belangrijkste punten ingegaan waarbij wordt beschreven tot welke wijzigingen
in het wetsvoorstel deze punten hebben geleid.

Meerdere brancheorganisaties hebben aangegeven dat de wet het mogelijk maakt dat het
medisch beroepsgeheim wordt doorbroken. Dit zou een disproportionele inbreuk zijn
en het zou zelfs de vrije toegang tot de gezondheidszorg kunnen belemmeren. De regering
deelt deze zorgen en mede gelet op de voornoemde reacties, is het in deze wet uitgesloten
om gegevens uit te wisselen waar het medisch beroepsgeheim op rust.

Een ander punt dat tijdens de internetconsultatie door meerdere brancheorganisaties
is ingebracht, is het ontbreken van een definitie van het begrip fraude in de zorg.
De regering heeft er eerder voor gekozen om het begrip niet te definiëren, omdat het
begrip fraude in geen enkele andere wet is gedefinieerd en het een breed begrip is.
In de versie van de internetconsultatie was al wel een paragraaf in de memorie van
toelichting opgenomen waarin werd toegelicht wat in deze wet onder fraude in de zorg wordt
verstaan. Deze paragraaf is mede naar aanleiding van de reacties van partijen gewijzigd.
Daarmee is voldoende duiding gegeven aan het begrip.

Daarnaast hebben reagerende partijen gevraagd aan te geven wanneer een (rechts)persoon
uit het Waarschuwingsregister wordt verwijderd, bijvoorbeeld als blijkt dat het OM
van strafvervolging afziet, hoe rectificatie van onterecht verstrekte signalen is
geregeld, welke middelen openstaan als verwerking van persoonsgegevens onrechtmatig
is en de informatievoorziening ten behoeve van betrokkenen van wie gegevens worden
verwerkt. Samengevat gaat het om rechtsbescherming en waarborgen bij gegevensverwerking.
Met betrekking tot het Waarschuwingsregister is het wetsvoorstel gewijzigd. Daarbij
is de voorwaarde waaronder een registratie in een dergelijk centraal registratiesysteem
mogelijk is, gewijzigd. Dat heeft ook gevolgen gehad voor de bepaling omtrent verwijdering
van de (persoons)gegevens. Voor een nader toelichting verwijst de regering naar paragraaf
3.3, 3.4 en 3.5 van deze memorie van toelichting, waar respectievelijk op de voorwaarden
voor verstrekking en verwijderen van (persoons)gegevens, rechtsbescherming en waarborgen
bij gegevensverwerking wordt ingegaan. Met betrekking tot het IKZ is in paragrafen
4.5 en 4.6 is toegelicht hoe de rechtsbescherming en de waarborgen bij gegevensverwerking
zijn ingericht. Ook ten aanzien hiervan wordt een en ander nader uitgewerkt in de
amvb. Hier wordt volstaan met op te merken dat de AVG in beginsel het kader vormt
voor de waarborgen en de rechtsbescherming in het geval van onrechtmatige verwerking
van persoonsgegevens. Ook het algemeen bestuursrecht en het civielrecht spelen een
rol. De memorie van toelichting is op voornoemde aspecten nader uitgewerkt ten opzichte
van de consultatieversie.

In meerdere reacties is gesteld dat de omvang van fraude in de zorg te beperkt is
om dit wetsvoorstel te rechtvaardigen. Zoals in de consultatieversie en in de gewijzigde
memorie van toelichting is toegelicht, is de (onderbouwde) inschatting dat de werkelijke
omvang van fraude in de zorg vele malen groter is dan wat nu in beeld is. Daarmee
zijn de nadelige gevolgen voor zorgbehoevenden en de maatschappij ook groter dan dat
nu in beeld is. Hoewel de gevolgen van fraude in de zorg nog lang niet volledig in
beeld zijn, staat vast dat de persoonlijke gevolgen voor zorgbehoevenden ontoelaatbaar
zijn en dat elke euro die verloren gaat aan fraude in de zorg er één te veel is. De
toegenomen aandacht voor het probleem en de intensievere samenwerking heeft ertoe
geleid, dat de noodzaak tot aanpak van fraude in de zorg en hetgeen nodig is voor
een effectieve bestrijding ervan stap voor stap beter in beeld zijn en dat de aanpak
verbetert. Met onderhavige wet wordt een grote volgende stap in die verbetering gezet.
Daarmee is dit wetsvoorstel gerechtvaardigd.

Tot slot is er een gegevensbeschermingseffectbeoordeling uitgevoerd en daarop wordt
in hoofdstuk 6 van de memorie van toelichting ingegaan.

8.4 Algemene Rekenkamer

Op grond van artikel 7.40 van de Comptabiliteitswet 2016, heeft overleg plaatsgevonden
met de Algemene Rekenkamer (AR) over het voornemen tot oprichten van de stichting
IKZ. Daarin heeft de AR enkele aandachtspunten naar voren gebracht. Deze punten zien
op de uitwerking van verantwoording en toezicht en de benodigde waarborgen voor de
inrichting en sturing van het IKZ. Wanneer de uitvoering van wettelijke taken in handen
is van een organisatie buiten de rijksoverheid, brengt dit met zich mee dat de Minister
hierop toezicht moet houden. Mede naar aanleiding van deze aandachtspunten, is in
artikel 2.7, onderdeel h, van de wet een delegatiegrondslag opgenomen. In de amvb
zullen regels worden gesteld met betrekking tot het de inrichting en het beheer van
en verantwoording door het IKZ. Ingevolge onderdeel i van voornoemd artikel worden
nadere regels gesteld over de financiering van en financiële verslaglegging door het
IKZ. Een ander aandachtspunt betreft het in de wet opnemen van (minimale) waarborgen
die getroffen moeten worden rondom de instelling die als IKZ wordt aangewezen, bijvoorbeeld
ten aanzien van de onafhankelijke positie. In artikel 2.7, onderdeel j, van de wet
is mede gelet daarop een delegatiegrondslag opgenomen en in de amvb worden op grond
daarvan nadere regels opgenomen over de aanwijzing van het IKZ en daaraan verbonden
voorschriften. Zoals in paragraaf 4.2 van deze memorie van toelichting aan de orde
kwam, zal door VWS een stichting worden opgericht. Bij de oprichting van de stichting
zullen de onafhankelijke positie van de stichting en andere waarborgen in acht worden
genomen in de oprichtingsstatuten. Tot slot heeft de AR het belang benadrukt dat als
een instelling wettelijk wordt belast met de uitvoering van een publieke taak vooraf
duidelijk is geregeld hoe de taakuitvoering (structureel) wordt bekostigd. Zoals hiervoor
reeds genoemd, worden ten aanzien van de financiering eveneens nadere regels gesteld
in de amvb. De denken valt aan regels over verantwoording.

9. Financiële gevolgen voor het Rijk

9.1 Gegevensuitwisseling bij gerechtvaardigde overtuiging van fraude

De verplichting tot verstrekking van (persoons)gegevens in het geval van een gerechtvaardigde
overtuiging van fraude, brengt geen financiële gevolgen voor het Rijk met zich mee.
Voor de betrokken instanties zal het wel financiële gevolgen hebben, waarbij gedacht
moet worden aan de inrichting van de organisatie.

Indirect zijn er wel financiële gevolgen voor het Rijk. Ten aanzien van het door betrokken
instanties beoogde centrale registratiesysteem, het Waarschuwingsregister, zal VWS
de initiële kosten dragen die worden gemaakt in het kader van de ontwikkeling van
de elektronische infrastructuur en de implementatie bij individuele deelnemers (gemeenten
en ziektekostenverzekeraars). In dit kader heeft VWS in 2017 en 2018 in totaal voor
ongeveer € 100.000,– aan projectsubsidies verstrekt aan de VNG ten behoeve van projectbegeleiding
en (het voorbereiden van de) implementatie. Daarnaast is een projectsubsidie van ongeveer
€ 225.000,– verstrekt aan ZN voor de technische realisatie van het Waarschuwingsregister.
VWS heeft hiermee een financiële impuls gegeven om de ontwikkeling en ingebruikname
van het Waarschuwingsregister mogelijk te maken. Er vloeien voor VWS geen structurele
kosten voort uit de komst van het Waarschuwingsregister. Als het systeem eenmaal is
ontwikkeld en geïmplementeerd, zijn de instanties zelf verantwoordelijk voor de financiering
van structurele kosten voor beheer, onderhoud en doorontwikkeling van het systeem.
Deze kosten worden gelijkelijk verdeeld tussen enerzijds gemeenten en anderzijds ziektekostenverzekeraars.
De ingeschatte beheerskosten zijn € 100.000,– per jaar, gelijkelijk te verdelen tussen
de VNG en ZN.

9.2 Het IKZ

Dit onderdeel van wetsvoorstel heeft financiële gevolgen voor VWS en de betrokken
instanties. De uitvoeringskosten van het samenwerkingsverband IKZ worden grotendeels
door het VWS gefinancierd en de werkzaamheden worden deels «om niet» verricht door
de betrokken instanties. Dit wetsvoorstel brengt hier geen verandering in. Ook in
de toekomst zal VWS bijdragen aan de financiering van het IKZ. Wel kan de implementatie
van dit wetsvoorstel voor de betrokken instanties bepaalde kosten met zich meebrengen.
Berekend is dat de Stichting IKZ structureel maximaal € 3 miljoen per jaar kost. VWS
financiert alle structurele kosten van het IKZ. Dat is naast alle incidentele kosten
die betrekking hebben op de oprichting van de Stichting IKZ, die eveneens door VWS
worden gedragen. VWS financiert deze kosten van het IKZ onder voorwaarden en verwacht
commitment van alle betrokken instanties op het niet-financiële vlak. VWS verleent
in 2018 en 2019 in totaal circa € 500.000,– subsidie aan de VNG voor ondersteuning
van de aansluiting bij het IKZ en het leveren van gemeentelijke expertise aan het
IKZ.

9.3 Het IB

Voor wat betreft het GGK, ten behoeve van de uitvoering van de Wmo 2015 en de Jw,
geldt dat het IB momenteel vanuit de gemeenten wordt gefinancierd. Er wordt nu bezien
of de financiële stromen ten aanzien van het IB anders moet worden vormgegeven.

Artikelsgewijs

Artikel 1.1

In artikel 1.1 wordt een aantal begrippen gedefinieerd. Voor wat betreft de aldaar
omschreven instanties is aangesloten bij de reeds bestaande begripsomschrijving in
andere wetten.

Voorheen bestonden er geen wettelijke definities van het begrip fraude, juist omdat
fraude vele verschijningsvormen kent. Deze begripsomschrijving is dan ook slechts
bedoeld om ten behoeve van de rechtszekerheid vast te leggen wat daar in het normale
spraakgebruik mee bedoeld wordt en dus niet om in te kaderen wat hier in andere wetten
mee bedoeld wordt. In paragraaf 2.1 van het algemene deel van deze toelichting wordt
uitgebreid ingegaan op het begrip «fraude in de zorg».

Voorts is het IKZ omschreven als een door Onze Minister aangewezen instelling. Het
IKZ is een partij die in artikel 2.3 en verder diverse wettelijke taken krijgt toebedeeld.
Bij regeling wijst Onze Minister het IKZ als instelling aan die deze taken uitvoert.
De taken die het IKZ in deze wet worden toebedeeld staan allemaal in het licht van
de bestrijding van fraude in de zorg.

Tot slot zijn in de begripsomschrijving enkele termen opgenomen uit de AVG en UAVG
ten behoeve van de leesbaarheid van de teksten.

Artikel 1.2

Op grond van deze bepaling wordt geregeld dat de in deze wet opgenomen grondslagen voor verstrekking en verwerking van gegevens over gezondheid, niet
zover strekken dat ook gegevens over gezondheid waar het medisch beroepsgeheim op
rust hieronder worden begrepen. Diverse instanties hebben op grond van reeds geldende
wettelijke taken de bevoegdheid om gegevens te verwerken waar het medisch beroepsgeheim
op rust. Echter, gezien de gevoeligheid van een verdere doorbreking van het beroepsgeheim
en het ontbreken van een dwingende noodzaak daartoe, is besloten dat deze gegevens
binnen deze wet en onderliggende regelgeving niet kunnen worden verwerkt.

Artikel 2.1 en artikel 2.2

Gezien de onderlinge verwevenheid worden artikel 2.1 en bijbehorende delegatiegrondslag
in artikel 2.2 hier gezamenlijk toegelicht.

In deze artikelen wordt de onderlinge uitwisseling van gegevens geregeld omtrent (rechts)personen
ten aanzien van wie door gemeenten en ziektekostenverzekeraars de gerechtvaardigde
overtuiging bestaat dat zij fraude hebben gepleegd binnen de Jw, Wlz, Wmo 2015 of
Zvw.

Zoals toegelicht in paragraaf 3.3 van het algemeen deel van de toelichting zullen
gemeenten en ziektekostenverzekeraars pas overgaan tot verstrekking van de (persoons)gegevens indien zij overeenkomstig een door hen gezamenlijk
op te stellen protocol tot de gerechtvaardigde overtuiging zijn gekomen dat er sprake
is van fraude in de zorg. Het protocol dient ertoe om op een eenduidige wijze en met
passende waarborgen uitvoering te geven aan de wet. Dit protocol dient door instanties
te worden voorgelegd aan de AP en vervolgens goedgekeurd te worden door Onze Minister.
De toetsing door de AP en de vereiste goedkeuring door Onze Minister dienen ertoe
dat, naast de inhoudelijke eisen die worden gesteld bij of krachtens amvb, voldoende
waarborgen bestaan dat de verwerking van (persoons)gegevens op een passende en zorgvuldige
wijze plaatsvindt. Dit alles is bedoeld om te borgen dat de in het protocol voorgestelde
werkwijze en verwerking van gegevens overeenstemmen met eisen gesteld in de AVG.

In het algemeen deel van de toelichting is reeds in paragraaf 1.2 toegelicht dat het
wetsvoorstel zoveel mogelijk techniekonafhankelijk is opgesteld. Beoogd is een onderlinge
uitwisseling van (persoons)gegevens mogelijk te maken en niet om een bepaald systeem
van uitwisseling voor te schrijven. In het algemeen deel van de toelichting wordt
toegelicht dat momenteel wordt gedacht aan een centraal systeem waarin gegevens worden
verwerkt, te weten een Waarschuwingsregister. Echter, gezien de technologische ontwikkelingen
is op wetsniveau de ruimte gelaten om een andere elektronische voorziening te creëren
dan een Waarschuwingsregister. Gedacht kan worden aan een systeem met ontsluiting
vanuit de bron waarbij er geen centrale omgeving is waar gegevens worden opgeslagen.
Daarom wordt in desbetreffend artikel ook niet gesproken over het Waarschuwingsregister
of op een andere wijze geduid hoe de uitwisseling technische plaatsvindt.

Het doel van deze onderlinge uitwisseling van gegevens is dat de genoemde instanties
op deze manier elkaar op de hoogte brengen van (rechts)personen ten aanzien van wie
de gerechtvaardigde overtuiging bestaat dat zij hebben gefraudeerd, zodat de andere
instanties voor de andere domeinen eventueel maatregelen kunnen nemen om fraude van
diezelfde (rechts)persoon te voorkomen. In het algemeen deel van de toelichting is
onder andere in paragraaf 3.1 nader toegelicht waarom een dergelijke uitwisseling
noodzakelijk wordt geacht. In artikel 2.1 wordt gesproken over natuurlijke personen
en rechtspersonen, omdat fraude kan worden gepleegd door zowel zorgbehoevenden als
zorgaanbieders. In het geval van zorgaanbieder kan het dus gaan om een rechtspersoon
die fraude heeft gepleegd en mogelijk binnen een ander domein ook fraude pleegt (of
gaat plegen).

Bij amvb zullen de gegevens worden bepaald die de hiervoor genoemde instanties met
elkaar uitwisselen, zodat op een effectieve wijze een bijdrage kan worden geleverd
aan de bestrijding van fraude in de zorg. Voorzien wordt dat het in ieder geval gaat
om identificerende gegevens zoals naam, adres en woonplaats, en bij rechtspersonen
ook het nummer van inschrijving in de kamer van koophandel.

In het derde lid van artikel 2.1 wordt geregeld dat de instanties die gegevens ontvangen,
deze vervolgens ook mogen verwerken ten behoeve van de bestrijding van fraude zoals
dit in het eerste lid van voornoemd artikel is omschreven. Hiermee wordt concreet
beoogd dat instanties nagaan of de gemelde (rechts)persoon binnen hun domein ook actief
is en indien dat het geval is kunnen ze bijvoorbeeld een extra controle uitvoeren. Dit artikellid biedt dus geen grondslag voor verdere verwerking van gegevens
voor allerlei andere (opsporings)doeleinden.

In het vierde lid van artikel 2.1 is opgenomen dat de onderlinge verstrekking, als bedoeld in het eerste lid van dat artikel, dient te worden beëindigd
als niet langer een gerechtvaardigde overtuiging van fraude in de zorg bestaat. De
gegevens dienen op dat moment vanzelfsprekend te worden verwijderd. Een voorbeeld
waaraan gedacht kan worden is als desbetreffende instantie in een casus een bestuurlijke
boete oplegt en bij een gerechtelijke procedure alsnog onverhoopt blijkt dat de instantie
het bij het verkeerde eind had of onvoldoende bewijs had ten aanzien van de vermoede
fraude.

Op grond van het eerste lid van artikel 2.2 zullen bij of krachtens amvb eisen worden
gesteld aan het op te stellen protocol. Voorzien wordt dat deze eisen in ieder geval
zien op waarborgen voor een veilige uitwisseling van gegevens, op een veilige wijze
omgaan met gegevens, maar ook zaken als hoe men komt tot een gerechtvaardigde overtuiging,
alsmede wanneer er vice versa onverhoopt geen sprake meer is van een gerechtvaardigde
overtuiging. In de amvb zullen dus randvoorwaarden worden opgenomen waaraan het protocol
in ieder geval dient te voldoen. Op die manier wordt voorkomen dat zowel wet als amvb
al te gedetailleerde regels stellen als het gaat om organisatorische en technische
aspecten die te gedetailleerd zijn en te veel aan verandering onderhevig zijn. Anderzijds
wordt dus, mede gezien het belang van een zorgvuldige gegevensverwerking, de uitwerking
van het protocol gebonden aan randvoorwaarden. Met het oog op de passende waarborgen
die op grond van artikel 9 en 10 van de AVG moeten worden gesteld, wordt voorts geregeld
dat bij of krachtens amvb regels worden gesteld met betrekking tot de beveiliging
van gegevens. Voorts zullen regels worden gesteld rondom de wijze waarop goedkeuring
van de Minister dient te geschieden en welke voorschriften hieraan kunnen worden verbonden.
Hierbij kan bijvoorbeeld worden gedacht aan meer procedurele of administratieve waarborgen
rondom het zorgvuldig doen voorleggen van het protocol aan Onze Minister.

Ten aanzien van de bewaartermijn en hoe de uitoefening van de rechten van betrokkenen
kan worden geborgd en wie waar verantwoordelijk voor is, zullen op grond van het tweede
lid van artikel 2.2 regels worden gesteld bij amvb. Deze onderdelen betreffen namelijk
onderwerpen die de rechtsbescherming van burgers raken en omwille van de mogelijke
ingrijpendheid van deze onderdelen is ervoor gekozen om deze onderwerpen alleen nader
uit te werken op het niveau van amvb.

Artikel 2.3

In het eerste lid worden de instanties aangewezen die de bij amvb aangewezen gegevens
aan het IKZ verstrekken. Daarbij gaat het om zowel het verstrekken van een signaal
als het verstrekken van (nadere) gegevens (mede door de andere betrokken instanties),
welke noodzakelijk zijn voor de verrijking van het signaal door het IKZ. De hier genoemde
instanties hebben allen een taak of belang bij de bestrijding van fraude in de zorg
of kunnen hierin een rol spelen. Zoals beschreven in paragraaf 4.3 van het algemeen
deel van de toelichting zullen signalen van fraude door de genoemde instanties aan
het IKZ worden verstrekt. De verplichting voor het verstrekken van gegevens zal in
de praktijk ook zien op het aanleveren van gegevens ten behoeve van de verrijking
van ontvangen signalen door het IKZ. Deze set met gegevens wordt bij of krachtens
amvb bepaald. Daarbij is ten aanzien van de verstrekking van gegevens door bijzondere
opsporingsdiensten, te weten politiegegevens, toegevoegd dat verstrekking van politiegegevens
geschiedt op grond van en met inachtneming van de Wpg. Dit heeft te maken met het
gesloten regime van verstrekking dat op grond van de Wpg geldt voor politiegegevens.

In het tweede lid worden enkele andere openbare bronnen toegevoegd waaruit het IKZ
gegevens kan putten ten behoeve van de verrijking van het signaal. Dit zijn het handelsregister
en stukken die zorgaanbieders enjeugdhulpaanbieders openbaar moeten maken op grond
van de Wet marktordening gezondheidszorg, respectievelijk de Jeugdwet, gezamenlijk
ook bekend als de Jaarverantwoording Zorg en Jeugd. De in het eerste en tweede lid
genoemde bronnen geven ook de grenzen aan van de bevoegdheden van het IKZ. Het legaliteitsbeginsel
vereist immers dat elke publiekrechtelijke bevoegdheid een wettelijke grondslag heeft.
Het IKZ is daarom in de taak van het verrijken van gegevens zonder nadere grondslag
ook niet vrij om openbare bronnen te raadplegen.

In het derde lid staat de taak van het IKZ beschreven, namelijk dat zij op basis van
de door instanties verstrekte en uit andere bronnen opgehaalde gegevens een ontvangen
signaal verrijkt. Het gaat er in dezen om dat een instantie een signaal verstrekt
en dat het IKZ vervolgens nagaat of er daartoe noodzakelijke andere informatie bij
andere instanties of in andere bronnen beschikbaar is. Nadat zij een signaal heeft
verrijkt met informatie, verstrekt het IKZ dit verrijkte signaal alleen aan een of
meerdere instanties voor wie dit noodzakelijk is in het kader van de bestrijding van
fraude in de zorg. Dit betreft de geëigende instantie(s). Het noodzakelijkheidsaspect
is in het eerste, tweede en derde lid leidend. Er worden geen gegevens ontsloten noch
verwerkt die niet noodzakelijk zijn voor de bestrijding van fraude in de zorg. Er
zullen alleen gegevens in het verrijkte signaal worden opgenomen die noodzakelijk
zijn voor de ontvangende instantie. Het is dus ook niet zo dat per definitie álle
gegevens die zijn ontvangen van instanties over een signaal worden verstrekt aan de
geëigende instantie. Er dient altijd een weging plaats te vinden of verstrekking van
gegevens noodzakelijk is. Het zal per ontvangen instantie en per signaal verschillend
zijn welke gegevens noodzakelijk zijn voor een goede uitoefening van de taak die op
die instantie rust.

Met betrekking tot gegevens die het IKZ heeft ontvangen van de Inspectie SZW en de
rijksbelastingdienst, waaronder begrepen de FIOD, geldt dat het verrijkte signaal
in beginsel geen fiscale gegevens en politiegegevens bevat als de geëigende instantie
een ziektekostenverzekeraar betreft. Deze beide type gegevens worden slechts door
het IKZ verstrekt aan ziektekostenverzekeraars als wordt voldaan aan bij algemene
maatregel van bestuur te stellen regels. Randvoorwaarde hierbij zal zijn dat verstrekking
van fiscale gegevens alleen plaatsvindt nadat daartoe toestemming is verleend door
de rijksbelastingdienst. Ten aanzien van politiegegevens, als onderdeel van een verrijkt
signaal, geldt dat verstrekking daarvan door het IKZ aan geëigende instanties geschiedt
met inachtneming van de Wpg.

In het vierde lid is de bevoegdheid opgenomen om de bij amvb aangewezen nadere gegevens
met de genoemde instanties uit te wisselen, zodat het IKZ de juiste instantie(s) kan
voorzien van een verrijkt signaal. Het IKZ heeft namelijk tot taak het verrijkte signaal
aan de instantie te verstrekken die daadwerkelijk iets met het signaal kan, hierbij
valt te denken aan de bevoegdheid om binnen het desbetreffende zorgdomein, gemeentegrens
of regio toezichts- of opsporingsbevoegdheden in te zetten. Dit hoeft niet per definitie
de instantie te zijn die het signaal van fraude oorspronkelijk bij het IKZ heeft ingebracht.
Bovendien kan er relevantie zijn voor meerdere instanties. Derhalve is het noodzakelijk
dat er een bevoegdheid bestaat dat het IKZ en betrokken instanties in contact kunnen
treden over deze gerichte verstrekking. Dan kan de situatie zich voordoen dat er,
voortvloeiend uit dit contact, persoonsgegevens mee zijn gemoeid. Dit zal bijvoorbeeld
het geval zijn als tijdens de afstemming een deel van de casus (het verrijkte signaal)
moet worden gedeeld.

Het vijfde lid regelt dat de in het eerste lid genoemde partijen de gegevens die zij
ontvangen verder mogen verwerken overeenkomstig het doel waartoe zij de gegevens hebben
ontvangen. Hiermee wordt in ieder geval bedoeld dat zij de ontvangen gegevens mogen
gebruiken voor het noodzakelijke toezicht en opsporing die zij willen inzetten naar
aanleiding van een ontvangen verrijkt signaal.

In het zesde en zevende lid wordt specifiek voor de verstrekking van persoonsgegevens
door en aan gemeenten als bedoeld in het eerste tot en met het derde lid geregeld,
dat dit gebeurt door tussenkomst van het IB. Zoals toegelicht in paragraaf 4.8 heeft
het IB een digitale infrastructuur waarmee zij ten behoeve van gemeenten ook de gegevensverwerking
in de Wmo 2015 en Jw verricht. De voorziene uitwisseling van gegevens aangaande de
Wmo 2015 en de Jw met het IKZ zal dan ook moeten plaatsvinden door tussenkomst van
het IB. Het IB is voor deze verwerking verwerkingsverantwoordelijke en daarom dient
bij wet een expliciete grondslag te worden opgenomen voor de verwerking van persoonsgegevens.
In paragraaf 4.8 van het algemeen deel is toegelicht wat de verwerking door het IB
inhoudt, namelijk het zijn van de koppeling tussen gemeenten enerzijds en het IKZ
anderzijds. Er vindt bij het IB dus geen verrijking van gegevens plaats. Voorts wordt
opgemerkt dat door toevoeging van deze bevoegdheid voor het IB ook een bevoegdheid
in de systematiek voor de Wmo 2015 en Jw is ingepast. Dit is uitgewerkt in hoofdstuk
3 van het wetsvoorstel en is in paragraaf 4.8 van het algemeen deel van de toelichting
en hieronder onder «Hoofdstuk 3» nader toegelicht.

Artikel 2.4

In het eerste lid van dit artikel staat de taak van het IKZ beschreven trends en ontwikkelingen
op het terrein van fraude in de zorg te signaleren en monitoren. Hiervoor kunnen de
persoonsgegevens die zijn verkregen bij de verwerking, bedoeld in artikel 2.3, indien
noodzakelijk worden verwerkt. Het tweede en derde lid bepalen dat deze signalering
verstrekt wordt aan de betrokken instanties en Onze Minister. Hoewel verwerking van
persoonsgegevens mogelijkerwijs wel noodzakelijk is om te komen tot deze signalering,
is het niet beoogd dat de signalering zelf persoonsgegevens bevat. Dit geldt eveneens
voor gegevens over individuele rechtspersonen, de signalering zal niet herleidbaar
zijn tot individuele rechtspersonen.

Met betrekking tot de verstrekking kunnen tussen het IKZ en instanties afspraken worden
gemaakt. Met betrekking tot de rapportage aan Onze Minister kunnen indien noodzakelijk
specifiek nadere regels worden gesteld over de verstrekking en termijn van verstrekking.

Artikel 2.5

Artikel 2.4 geeft de grondslag voor de taak «onderzoek en analyse» van het IKZ zoals
beschreven in pararaaf 4.3 van het algemeen deel van de toelichting. De termen analyse,
alsmede het signaleren van trends en ontwikkelingen kunnen het beeld schetsen dat
hier toch op enige wijze sprake is van profilering. Ten overvloede wordt daarom door
middel van dit artikel duidelijk gemaakt dat het IKZ bij verwerking van persoonsgegevens
als bedoeld in artikel 2.4, eerste lid, geen gebruik maakt van het instrument profilering.

Voor een uitgebreidere toelichting op het onderwerp profilering wordt verwezen naar
paragraaf 4.3 van het algemeen deel van de toelichting waarbij bij de taak «onderzoek
en analyse» een en ander nader wordt uitgelegd over de inhoud van deze taak en het
onderscheid met profilering

Artikel 2.6

Voor de verwerking van deze persoonsgegevens zal een digitale infrastructuur worden
gecreëerd. Bij of krachtens amvb worden hier nadere regels over gesteld. Artikel 2.7
biedt hiertoe een delegatiegrondslag.

Artikel 2.7

Om de verstrekking en verwerking als bedoeld in de artikelen 2.3, 2.4 en 2.6 met behulp
van elektronische voorzieningen zo goed mogelijk te borgen, worden bij algemene maatregel
van bestuur nadere regels gesteld. Die regels hebben betrekking op een aantal zaken,
die hieronder worden benoemd en toegelicht. Het samenspel aan regels dient het doel
van een zorgvuldige verstrekking en verwerking van (persoons)gegevens door het IKZ
én de instanties. De reden voor het stellen van de regels bij algemene maatregel van
bestuur is dat al de voornoemde onderwerpen dusdanig specifiek en technisch van aard
zijn, dat wordt voorzien dat hier door de tijd veranderingen in kunnen optreden. Bijvoorbeeld
als het gaat om beveiligingsnormen of verantwoordingsvereisten. Ditzelfde geldt overigens
voor artikel 2.3, eerste lid, waarin is bepaald dat bij amvb wordt bepaald welke gegevens
worden verstrekt. De reden hiervan is dat dit dusdanig specifiek van aard is, dat
hier met enige regelmaat een (beperkte) aanpassing in wordt voorzien.

Het eerste lid betreft onderwerpen die bij of krachtens amvb kunnen worden vastgesteld.
Voorzien wordt dat elementen een technisch of administratief karakter zullen hebben.
Het tweede lid betreft onderwerpen die de rechtsbescherming van burgers raken en omwille
van de mogelijke ingrijpendheid van deze onderdelen is ervoor gekozen om deze onderwerpen
alleen nader uit te werken op het niveau van amvb.

Het eerste lid, onderdeel a, ziet op de wijze waarop de instanties het signaal en
vervolgens de voor verrijking noodzakelijke gegevens aan het IKZ verstrekken. Het
is de bedoeling dat de uitwisseling van gegevens tussen het IKZ en de instanties in
beginsel digitaal plaatsvindt. Dit hangt nauw samen met de elektronische voorzieningen
als bedoeld in artikel 2.6 die het IKZ in stand moet houden voor (onder meer) de uitwisseling
van gegevens. Deze regels hebben verder nauwe samenhang met de regels over de beveiliging
van gegevens (onderdeel g).

Onderdeel b ziet op een omschrijving van de benodigde aanleiding voor verstrekking
van het signaal aan het IKZ. Dit biedt de instanties handvatten voor het vaststellen
van de gevallen waarin zij een signaal moeten afgeven aan het IKZ. Het signaal vormt
het startpunt van een proces van verwerking en verstrekking van (persoons)gegevens
door het IKZ en (geëigende) instanties en daarover dient dan ook zoveel mogelijk helderheid
te bestaan. Teneinde te bewerkstelligen dat instanties komen tot het zorgvuldig verstrekken
van signalen en daarbij een eenduidige lijn aanhouden, moet voor deze instanties duidelijk
zijn in welke situaties zij welke (soort) gegevens moeten verstrekken aan het IKZ.
Het gaat derhalve om het zoveel mogelijk definiëren en inkaderen van de situaties
waarin signalen worden verstrekt aan het informatieknooppunt. Hierbij zijn aspecten
als noodzakelijkheid en proportionaliteit leidend, maar overeenkomstig de AVG-beginselen
zullen bijvoorbeeld ook kwaliteitseisen worden gesteld alvorens kan worden overgegaan
tot verstrekking van een signaal aan het IKZ. Het behoeft geen nadere uitleg dat het
risico op een onjuiste of onzorgvuldige verstrekking van signalen door instanties
aan het IKZ zoveel mogelijk moet worden beperkt. Deze eisen zullen ook nauwe samenhang
hebben met de regels rondom de wijze van verstrekking (onderdeel a) en beveiligingseisen
(onderdeel g).

Onderdeel c ziet op de gevallen waarin en de voorwaarden waaronder de instanties de
door het IKZ gevraagde (nadere) gegevens ten behoeve van de verrijking van een signaal
verstrekken aan het IKZ, alsook op de aard van de gegevens die worden verstrekt.

Onderdeel d ziet op de inrichting en de vormgeving van de werkprocessen van het IKZ,
waarbij met betrekking tot de verwerking van gegevens ten behoeve van de verrijking
van ontvangen signalen, aandacht wordt besteed aan de aard en herkomst van de te verwerken
gegevens, de wijze van verwerking en de criteria voor de inhoudelijke beoordeling
in de verschillende fasen van verwerking. Die inhoudelijke beoordeling heeft betrekking
op de twee «beslismomenten» van het IKZ. In de eerste plaats of een door het IKZ ontvangen
signaal aanleiding vormt voor verrijking daarvan, en dus noodzaak geeft voor het verstrekken
van nadere gegevens door (bepaalde) instanties. In de tweede plaats of het resultaat
van de verwerking, het verrijkte signaal, noodzakelijk is voor een of meer betrokken
instanties ten aanzien van de bestrijding van fraude in de zorg in het kader van de
aan die instanties opgedragen wettelijke taken. Dit heeft nauwe samenhang met onderdeel
e.

Onderdeel e ziet op de wijze waarop, de gevallen waarin en de voorwaarden waaronder
het IKZ het resultaat van de verwerking, oftewel het verrijkte signaal, verstrekt
aan de geëigende instantie(s), alsook op de aard van de gegevens die worden verstrekt.
Zie voor wat betreft de wijze van verstrekking verder de toelichting op onderdeel
a. Ten aanzien van de verstrekking van fiscale gegevens en politiegegevens door het
IKZ aan ziektekostenverzekeraars is reeds bij de toelichting op artikel 2.3, tweede
lid, toegelicht dat dit niet geschiedt, behoudens de op grond van de bij algemene
maatregel van bestuur te stellen voorwaarden. Dit artikelonderdeel voorziet in de
grondslag om deze regels te stellen.

Onderdeel f ziet op de beveiliging van de gegevens die worden verstrekt en verwerkt.
Onderdeel g ziet op de inrichting, het beheer en de beveiliging van de elektronische
voorzieningen voor de uitwisseling van de gegevens tussen het IKZ en de instanties
en de verwerking van de gegevens door het IKZ.

Onderdeel h ziet op de inrichting en het beheer van en de verantwoording door het
IKZ. Daaronder wordt begrepen dat het IKZ het jaarplan, waaronder ook wordt verstaan
de begroting, het werkprogramma en de beleidsvoornemens, voorlegt aan Onze Minister
en hierbij regels worden gesteld rondom de vaststelling en daarmee goedkeuring van
het jaarplan. Hiermee krijgt Onze Minister de dwingende mogelijkheid om vooraf en
niet slechts achteraf kennis te nemen van de inzet van het IKZ en hierop tijdig te
acteren. Dit sluit aan bij de ministeriële verantwoordelijkheid voor een goede uitvoering
van deze wet. Daarbij worden ook regels gesteld rondom de bevoegdheid voor Onze Minister
om, indien nodig, ten aanzien van het jaarplan aanwijzingen te geven. Hiermee wordt
uiteraard niet gedoeld op het geven van een aanwijzing van bestuursrechtelijke aard,
maar een inspraakbevoegdheid ten aanzien van de inhoud van het jaarplan. Het ligt
in de rede dat hier gezien de positionering van het IKZ terughoudend mee zal worden
omgegaan. De nadere regels met betrekking tot verantwoording achteraf, zullen onder
meer een jaarlijkse verantwoording over het gevoerde beleid inhouden.

Onderdeel i ziet op de financiering van en de financiële verslaglegging door het IKZ.
Onderdeel j ziet op de aanwijzing van het IKZ en de daaraan verbonden voorwaarden,
waarbij kan worden gedacht aan vereisten waaraan de instelling heeft te voldoen. Deze
regels zullen in het verlengde liggen van de op grond van dit artikel te stellen regels
rondom het IKZ en bijbehorende gegevensuitwisseling.

Het tweede lid onderdeel a ziet op de bewaartermijn van de verwerkte persoonsgegevens.
En tot slot ziet onderdeel b van het tweede lid op de borging van en verantwoordelijkheid
voor de uitoefening van de rechten van betrokkenen. Zoals aan het begin van deze artikelsgewijze
toelichting aangegeven raken deze onderwerpen de rechtsbescherming van burgers. Om
die reden is ervoor gekozen om de delegatiegrondslag voor deze onderdelen te beperken
tot het niveau van amvb.

Artikel 2.8

Artikel 2.8, eerste lid, regelt de geheimhoudingsverplichting voor alle instanties
die op grond van deze wet inlichtingen of gegevens ontvangen over natuurlijke personen
dan wel rechtspersonen en deze verder willen verwerken dan op grond van deze wet is
bepaald. Ten overvloede wordt daarbij opgemerkt dat indien gegevens op grond van bijvoorbeeld
artikel 2.3 zijn ontvangen, deze gegevens zondermeer mogen worden verwerkt voor het
doel waar zij voor zijn ontvangen, namelijk het bestrijden van fraude in de zorg door
deze instanties (mede) op basis van deze gegevens. Dit kan bestaan uit het inzetten
van toezicht- of opsporingsinstrumenten door de ontvangende toezichthouder of opsporingsinstantie.
Overtreding van deze geheimhoudingsverplichting betekent een onrechtmatige verwerking
van persoonsgegevens. Overeenkomstig de AVG en Uitvoeringswet AVG wordt hierop in
algemene zin toezicht gehouden en bij overtreding gehandhaafd door de AP. Voorts kan
op overtreding van de geheimhoudingsplicht ingevolge artikel 272 van het Wetboek van
Strafrecht een gevangenisstraf of een geldboete volgen.

Op grond van het tweede lid kan de in het eerste lid beschreven geheimhoudingsplicht
worden doorbroken. Het kan daarbij gaan om wettelijke voorschriften die bijvoorbeeld
expliciet een verplichting tot verstrekking van gegevens bepalen of als gegevens niet
te herleiden zijn tot een natuurlijk persoon of rechtspersoon. Dit kan voorkomen als
de ontvangen gegevens dermate abstract of geaggregeerd zijn dat ze niet tot individueel
niveau zijn terug te leiden.

Hoofdstuk 3

Tevens worden door middel van dit wetsvoorstel ook de Wmo 2015 en Jw aangepast. Deze
wijzigingen zien enkel op het creëren van de wettelijke bevoegdheid voor het IB voor
de verwerking van persoonsgegevens ten behoeve van gemeenten in de Wmo 2015 en Jw
en, als van die bevoegdheid gebruikt wordt gemaakt, de verwerkingsverantwoordelijkheid van het IB voor de
toebedeelde taak of taken. Daarbij is direct aangesloten bij de bestaande verwerkings-
en verstrekkingsgrondslagen die gemeenten in beide wetten hebben. Het IB vervult nu
reeds taken daarin, maar zoals toegelicht in paragraaf 4.8 dient het IB voor uitoefening
van deze taken niet verwerker, maar verwerkingsverantwoordelijke te zijn. Tevens is,
in aansluiting op de bestaande praktijk en noodzakelijk voor het vervullen van de
uitwisseling ten behoeve van gemeenten, ook aangesloten bij de bestaande grondslag
voor gemeenten om bij deze uitwisseling het BSN te mogen verwerken. Dit is nader toegelicht
in paragraaf 4.8. Wil het IB in de dienstverlening richting gemeenten voldoende aan
kunnen sluiten op de werkwijze van gemeenten, dan is de bevoegdheid om het BSN te
mogen verwerken noodzakelijk om de benodigde koppelingen te maken. Tot slot is ten
aanzien van de Wmo 2015 het IB ook toegevoegd aan de bestaande grondslagen met nadere
uitwerking rondom de rechten van betrokkenen, waarbij alleen een uitzondering is gemaakt
(ten opzichte van gemeenten) in artikel 5.2.9, tweede lid, van de Wmo 2015. De reden
hiervan is dat op geen enkele wijze wordt voorzien dat het IB in direct contact komt
met de betrokkene en om die reden het BSN niet zal vaststellen. Gezien de rol van
het IB zal deze vaststelling van het BSN reeds door de gemeente zijn verricht in het
contact met de burger.

De Minister van Volksgezondheid, Welzijn en Sport, H.M de Jonge