Antwoord schriftelijke vragen : Antwoord op de vragen van de leden Westerveld, Hijink, Kuiken, Agema, Tellegen, Bikker, Van der Laan en Werner over bescherming medische gegevens in de intensieve kindzorg
Vragen van de leden Westerveld (GroenLinks), Hijink (SP), Kuiken (PvdA), Agema (PVV), Tellegen (VVD), Bikker (ChristenUnie), Van der Laan (D66) en Werner (CDA) aan de Minister van Volksgezondheid, Welzijn en Sport over bescherming medische gegevens in de intensieve kindzorg (ingezonden 13 december 2021).
Antwoord van Minister Kuipers (Volksgezondheid, Welzijn en Sport) (ontvangen 25 januari
2022). Zie ook Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1204.
Vraag 1
Heeft u ook signalen ontvangen dat zorgverzekeraars medische gegevens van chronisch
ernstig zieke kinderen delen met derden zonder de indicatiestellers die BIG geregistreerd
zijn en de ouders/kinderen hierover te informeren? Zo ja, om hoeveel kinderen gaat
het?
Antwoord 1
Nee, ik heb geen signalen ontvangen over zorgverzekeraars die zonder toestemming medische
gegevens delen aan «derden» als zijnde «buitenstaanders» zonder wettelijke grondslag.
Er zijn mij wel signalen bekend dat zorgverzekeraars onder eigen verwerkingsverantwoordelijkheid
een verwerker inhuren. Deze verwerker voert controlerende taken uit ten behoeve van
en onder verantwoordelijkheid van de zorgverzekeraar, zoals het afleggen van een huisbezoek.
Hier is uw Kamer eind vorig jaar over geïnformeerd.1
Vraag 2
Voldoet het delen van medische dossiers met derden door verzekeraars ten behoeve van
controle op doelmatigheid volgens u aan artikel 9 van de AVG, waarin wordt gesteld
dat het delen van medische gegevens is verboden, behalve als het nodig is voor het
verlenen van goede gezondheidszorg, het beheren van het stelstel of als uitdrukkelijk
toestemming is gegeven? Kunt u dit uitgebreid toelichten?
Antwoord 2
Op hoofdlijnen geldt dat voor elke verwerking van persoonsgegevens een grondslag als
opgesomd in artikel 6 Algemene verordening gegevensbescherming (AVG) aanwezig dient
te zijn. Voor de verwerking van bijzondere persoonsgegevens moet voldaan zijn aan
een uitzondering op het verbod om bijzondere persoonsgegevens te verwerken. Deze uitzonderingen
zijn opgesomd in artikel 9, tweede lid, AVG. In het geval dat een verwerkingsverantwoordelijke
gegevens doorgeeft aan een verwerker die zelf ook verwerkingsverantwoordelijk is,
dan moet de verwerkingsverantwoordelijke zich ervan vergewissen dat hij hiervoor een
grondslag heeft op basis van de AVG. Voor elke grondslag (bijvoorbeeld expliciete
toestemming) gelden eigen randvoorwaarden. Naast de grondslag dient een verwerkingsverantwoordelijke
zich ook te houden aan de andere uitgangspunten van de AVG. Zo mogen enkel de gegevens
verwerkt worden die strikt noodzakelijk zijn voor het vastgestelde doel en mogen gegevens
niet langer bewaard worden dan noodzakelijk. De verwerkingsverantwoordelijke moet
tevens de mogelijkheid hebben voor betrokkene om zijn rechten onder de AVG, recht
van inzage, wissing en zo verder te kunnen uitoefenen. Het staat de verwerkingsverantwoordelijke
vrij om een verwerker in te huren die ten behoeve van de verwerkingsverantwoordelijke
gegevens verwerkt. Deze verwerker voert dit dan uit ten behoeve van en onder volledige
verantwoordelijkheid van de verwerkingsverantwoordelijke. De verwerker heeft geen
eigen grondslag nodig.
De AVG is van toepassing op alle verwerkingen van persoonsgegevens die zorgverzekeraars
doen. De zorgverzekeraars zijn zelf verwerkingsverantwoordelijk op basis van de AVG.
Zij moeten ervoor zorgen dat hun gegevensverwerking voldoet aan de relevante wet-
en regelgeving, met inbegrip van de AVG en dat zij hierover duidelijk communiceren
naar hun verzekerden. Het is niet aan mij om te treden in de beoordeling van een specifieke
gegevensverwerking. Dit is aan de Autoriteit Persoonsgegevens. Zij houden toezicht
op de naleving van de privacywetgeving en de AVG.
Vraag 3
Is volgens u sprake van een tegenstrijdigheid die nu is ontstaan binnen de AVG en
de Zorgverzekeringswet? Zo ja, kunt u dit toelichten?
Antwoord 3
Als ik uw vraag goed interpreteer vraagt u zich af of de inzet van een organisatie
(als zijnde verwerker) voor het doen van de controle op doelmatigheid in opdracht
van de zorgverzekeraar (als zijnde verwerkingsverantwoordelijke) in strijd is met
de AVG. Dat hoeft niet het geval te zijn als deze organisatie dit doet ten behoeve
van en onder verantwoordelijkheid van de zorgverzekeraar en de zorgverzekeraar hierover
de juiste afspraken heeft gemaakt. De verwerker handelt dan onder de grondslag van
de zorgverzekeraar en heeft geen eigen grondslag nodig.
De zorgverzekeraars zijn zelf verwerkingsverantwoordelijk op basis van de AVG. Zij
moeten ervoor zorgen dat hun gegevensverwerking voldoet aan de relevante wet- en regelgeving,
met inbegrip van de AVG en dat zij hierover duidelijk communiceren naar hun verzekerden.
Het is niet aan mij om te treden in de beoordeling van een specifieke gegevensverwerking.
Dit is aan de Autoriteit Persoonsgegevens. Zij houden toezicht op de naleving van
de privacywetgeving en de AVG.
Vraag 4
Deelt u onze zorg dat het hier om een kwetsbare groep kinderen gaat en dat het delen
van een medisch dossier een potentieel risico kan vormen voor de persoonlijke levenssfeer
als dit vaker wordt uitgewisseld en op meer plekken staat opgeslagen? Hoe kan volgens
u hier veiligheid worden gewaarborgd?
Antwoord 4
Met alle persoonsgegevens dient zorgvuldig om te worden gegaan. Dit geldt ook, en
des te meer, voor bijzondere persoonsgegevens. Voor de verwerking van bijzondere persoonsgegevens
geldt dan ook strengere wetgeving in de AVG. Het medische dossier van kwetsbare kinderen
valt onder deze categorie bijzondere persoonsgegevens.
Vraag 5
Klopt het dat verzekeraars ouders geen toestemming vragen voor het delen van de medische
gegevens van hun kind? Waarom is deze toestemming niet wettelijk vereist? Wat zouden
de consequenties van een toestemmingsvereiste zijn voor verzekerde en verzekeraar?
Antwoord 5
In de polisvoorwaarden zijn bepalingen opgenomen over de verwerking van (bijzondere)
persoonsgegevens door de zorgverzekeraar. Verwerking daarvan is noodzakelijk voor
de uitvoering van de basisverzekering. De zorgverzekeraar mag persoonsgegevens delen
met derden (bijvoorbeeld een zorgaanbieder) voor zover dat noodzakelijk is om de verplichtingen
op grond van de basisverzekering na te komen.
Ouders geven door ondertekening van het aanvraagformulier van een Zvw-pgb expliciet
toestemming dat de zorgverzekeraar contact opneemt met de indicerende verpleegkundige,
de huisarts en/of de medisch specialist om de (medische) gegevens omtrent deze aanvraag
en indicatiestelling voor verpleging en/of verzorging in te zien.
Verder is in het pgb-reglement van de zorgverzekeraars vermeld dat de verzekerde toestemming
geeft aan de zorgverzekeraar om contact op te nemen met de verpleegkundige, de huisarts
en de behandelend specialist om de (medische) gegevens van de verzekerde omtrent de
Zvw-pgb aanvraag en indicatiestelling voor verpleging en verzorging in te zien op
het moment dat het nodig is voor een juiste uitvoering van de verzekering. Dit vindt
plaats onder verantwoordelijkheid van de medisch adviseur of verpleegkundig adviseur.
Het pgb-reglement is onderdeel van de polisvoorwaarden van de verzekerde.
Vraag 6
Klopt het dat verzekeraars ook zelf controle kunnen uitvoeren op de doelmatigheid
van indicatiestelling van chronisch zieke kinderen? Zou dit in deze situatie niet
de voorkeur genieten, omdat er dan geen medische gegevens met derden hoeven te worden
gedeeld? Kunt u uw antwoord toelichten?
Antwoord 6
Alleen zorgverzekeraars zijn in de positie om de controle op doelmatigheid uit te
voeren. Als zij deze opdracht laten uitvoeren door een organisatie kan die organisatie
die opdracht enkel uitvoeren ten behoeve van en onder verantwoordelijkheid van de
zorgverzekeraar. Zorgverzekeraars zijn en blijven daarmee verantwoordelijk voor de
verwerking van de desbetreffende gegevens.
Vraag 7
Vindt u het delen van gegevens door zorgverzekeraars met derden wenselijk? Zo ja,
waarom? Zo nee, wat gaat u hieraan doen?
Antwoord 7
De AVG is van toepassing op alle verwerkingen van persoonsgegevens die zorgverzekeraars
doen. Ik ben natuurlijk van mening dat iedereen en dus ook zorgverzekeraars zich moeten
houden aan de AVG. Als zorgverzekeraars zich houden aan die privacywetgeving heb ik
geen bezwaar tegen een eventuele gegevensverwerking in opdracht en onder verantwoordelijkheid
van de zorgverzekeraar als verwerkingsverantwoordelijke. Het is niet aan mij om te
treden in de beoordeling van een specifieke gegevensverwerking. Dit is aan de Autoriteit
Persoonsgegevens. Zij houden toezicht op de naleving van de privacywetgeving en de
AVG.
Vraag 8
Bent u bereid om met Zorgverzekeraars Nederland in gesprek te gaan over deze praktijk?
Antwoord 8
Eind 2020 bent u inhoudelijk over dit onderwerp geïnformeerd2 en is met zorgverzekeraars het gesprek gevoerd over gegaan over dit onderwerp. Dit
was naar aanleiding van een vraag van het lid Bergkamp (D66) over een wijziging van
een zorgverzekeraar in het reglement Zvw-pgb. Op basis van dat gesprek zag mijn ambtsvoorganger
geen aanleiding tot vervolgstappen en op dit moment zijn er bij mij geen aanwijzingen
om dat besluit te heroverwegen. Desalniettemin staat het verzekerden altijd vrij om
klachten over een mogelijke inbreuk op de AVG kenbaar te maken bij hun zorgverzekeraar
of zich te wenden tot de Autoriteit Persoonsgegevens voor een formele beoordeling
van de juistheid van deze gegevensverwerking.
Ondertekenaars
-
Eerste ondertekenaar
E.J. Kuipers, minister van Volksgezondheid, Welzijn en Sport
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.