Voorstel van wet houdende wijziging van de Ziekenfondswet en de Algemene Wet Bijzondere Ziektekosten ter verduidelijking van de grondslag voor verstrekking van persoonsgegevens ten behoeve van de uitvoering van die wetten, met memorie van toelichting.

Voorstel van wet houdende wijziging van de Ziekenfondswet en de Algemene Wet Bijzondere Ziektekosten ter verduidelijking van de grondslag voor verstrekking van persoonsgegevens ten behoeve van de uitvoering van die wetten, met memorie van toelichting.Bij Kabinetsmissive van 18 maart 2005, no.05.000965, heeft Uwe Majesteit, op voordracht van de Minister van Volksgezondheid, Welzijn en Sport, bij de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende wijziging van de Ziekenfondswet en de Algemene Wet Bijzondere Ziektekosten ter verduidelijking van de grondslag voor verstrekking van persoonsgegevens ten behoeve van de uitvoering van die wetten, met memorie van toelichting. Dit voorstel beoogt een wettelijke grondslag te bieden voor het verstrekken van persoonsgegevens, waaronder persoonsgegevens betreffende de gezondheid als bedoeld in de Wet bescherming persoonsgegevens, in de Ziekenfondswet (Zfw) en de Algemene Wet Bijzondere Ziektekosten (AWBZ). De Raad maakt onder andere opmerkingen over de noodzaak van het wetsvoorstel gezien de beperkte werkingsduur en over de argumenten die worden aangevoerd voor de noodzaak tot het verstrekken van persoonsgegevens betreffende de gezondheid. Hij is van oordeel dat het voorstel in verband daarmee nader dient te worden overwogen. 1. Noodzaak van het voorstel Volgens de toelichting is het doel van de voorgestelde artikelen 73a, eerste tot en met derde lid, Zfw en 55 AWBZ om een expliciete basis voor verwerking van persoonsgegevens betreffende de gezondheid in beide wetten op te nemen. Gegevensverwerking in het kader van de Zfw vindt nu plaats op basis van de artikelen 21, eerste lid, aanhef en onderdelen a en f, van de Wet bescherming persoonsgegevens (Wbp), gelezen in samenhang met de artikelen 44 en 45 Zfw.(zie noot 1) Gegevensverwerking in het kader van de AWBZ vindt plaats op basis van de artikelen 16, 42, 43 , 56 en 57 AWBZ, artikel 8 van het Administratiebesluit Bijzonder Ziektekostenverzekering, gelezen in samenhang met artikel 21, eerste lid, aanhef en onderdelen a en f van de Wbp.(zie noot 2) Aanleiding om op dit moment met de voorgestelde wijzigingen in de Zfw te komen vormen twee ontwikkelingen binnen de curatieve zorg, namelijk de introductie van de diagnose behandel combinaties (dbc's) en de intensivering van het fraudebeleid. De voorgestelde wijzigingen in de AWBZ worden bij deze gelegenheid meegenomen, zonder dat daar een directe aanleiding voor is.(zie noot 3) Het is de bedoeling dat het voorliggende wetsvoorstel slechts voor (een deel van) 2005 zal werken. Als zoals nu voorzien de Invoerings- en aanpassingswet Zorgverzekeringswet en de Zorgverzekeringswet (Zvw), waarin gelijkluidende bepalingen als thans worden voorgesteld zijn opgenomen, per 1 januari 2006 in werking treden, zullen per diezelfde datum de thans voorgestelde wijzigingen vervallen. Vanaf 1 januari 2005 wordt gewerkt met dbc's. Nu het voorstel beoogt een wettelijke grondslag te bieden voor de verplichting meer gedetailleerde persoonsgegevens (betreffende de gezondheid) te verstrekken en daarbij de dbc's expliciet worden vermeld, rijst de vraag of voor de periode van 2005 gelegen vóór de inwerkingtreding van de wet op bij koninklijk besluit te bepalen datum, de verstrekking van deze persoonsgegevens plaatsvindt zonder de voorgestelde wettelijke grondslag of dat thans volstaan wordt met de verstrekking van minder gedetailleerde gegevens. Als thans met minder gedetailleerde gegevensverstrekking heeft kunnen worden volstaan, dient de noodzaak van het voorstel, gelet op de beperkte werkingsduur, nader beargumenteerd te worden. De Raad adviseert de noodzaak van het wetsvoorstel dragend te motiveren. 2. De plicht tot verstrekken van persoonsgegevens a. In het voorgestelde artikel 73a Zfw is een verplichting opgenomen tot het verstrekken van persoonsgegevens, waaronder persoonsgegevens betreffende de gezondheid als bedoeld in de Wbp, van zorgaanbieders aan ziekenfondsen (eerste lid) en aan de verzekerde (tweede lid), alsook aan een door de Minister van VWS aangewezen persoon (derde lid). Deze laatste persoon is een zogenaamde 'trusted third party', te weten het DBC Informatie Systeem (DIS)(zie noot 4). De genoemde verplichting kent een begrenzing in die zin, dat alleen de persoonsgegevens die noodzakelijk zijn voor de uitvoering van de Zfw moeten worden verstrekt. Uit de toelichting blijkt dat met gegevens betreffende de gezondheid worden bedoeld de gegevens die samen een dbc vormen. Het gaat daarbij om de gegevens die worden vermeld bij de zogenaamde subcodes voor de diagnose, de zorgvraag, de behandeling, het zorgtype en het specialisme.(zie noot 5) Vervolgens wordt uiteengezet waarvoor ziekenfondsen deze persoonsgegevens nodig zouden hebben.(zie noot 6) De Raad gaat achtereenvolgens op de verschillende argumenten voor gegevensverstrekking in. i. In de eerste plaats heeft het ziekenfonds volgens de toelichting gegevens nodig om de declaraties te kunnen betalen en om deze te kunnen controleren. Uit de toelichting blijkt dat het de bedoeling is op de declaraties de verschillende subcodes, waaronder die van de medische diagnose en de zorgvraag (hierna samengevat: "diagnose"), te vermelden. De Raad is van mening dat de noodzaak van het vermelden van een dbc op declaraties aannemelijk is, maar dat de noodzaak om eveneens de subcode met de diagnose te vermelden, onvoldoende is aangetoond. De betaling van geleverde zorg moet overigens los worden gezien van de materiële controle van de zorg. Daarmee wordt bedoeld dat gecontroleerd wordt of een zorgaanbieder gezien de gezondheidssituatie van de patiënt, bij de vermelde diagnose de juiste behandeling heeft gegeven.(zie noot 7) Daarbij gaat het om een controle of verantwoorde zorg is aangeboden. Op grond van de artikelen 2 jo. 8 van de Kwaliteitswet zorginstellingen is het toezicht hierop echter aan de Inspectie van de Gezondheidszorg opgedragen. Deze controle dient dan ook niet door de ziekenfondsen te worden uitgevoerd, zodat gegevensverstrekking aan de ziekenfondsen voor dat doel niet noodzakelijk is. ii. Voorts is het verwerken van de gegevens volgens de toelichting noodzakelijk voor de zorginkoop door de zorgverzekeraars. De Raad is evenwel niet overtuigd van deze noodzaak. Als het ziekenfonds inzicht wil krijgen in de zorgconsumptie van zijn verzekerdenbestand om vervolgens daar zijn inkoopbeleid op af te kunnen af stemmen, is daarvoor, naar de Raad voorkomt, de medische diagnose niet noodzakelijk en zou overigens kunnen worden volstaan met gegevens die niet tot individuele personen herleidbaar zijn. iii. Verder worden de gegevens noodzakelijk geacht voor de verstrekkingenbudgettering (risicoverevening). Voor het systeem van risicoverevening is het noodzakelijk dat gegevens over dbc-consumptie, op dbc-niveau worden gekoppeld aan verzekerdengegevens van de zorgverzekeraars. Wat betreft de risicoverevening geeft de toelichting aan dat het streven is de koppeling van deze gegevens over te dragen aan DIS. De zorgaanbieders dienen dan iedere geleverde dbc op persoonsniveau aan het DIS te melden en de zorgverzekeraars dienen op hun beurt op persoonniveau hun verzekerden, met bepaalde bijbehorende verzekerdenkenmerken te melden. Het DIS zal deze gegevens op persoonsniveau koppelen. Het DIS heeft echter ook nog andere functies.(zie noot 8) Er wordt niet vermeld hoe met deze koppeling van gegevens zal worden omgegaan totdat het DIS deze taak op zich neemt. Het College Bescherming Persoonsgegevens (CBP) heeft een aantal keren te kennen gegeven dat het verwerken van persoonsgegevens in kader van risicoverevening door het DIS en het CVZ niet toelaatbaar is. Onlangs heeft de minister van VWS hierop gereageerd dat voor dit doel tot de persoon herleidbare gegevens niet nodig zijn, en voorzover dat wel het geval is één en ander zal worden geregeld in de ministeriële regeling, bedoeld in artikel 35, vierde lid, Zvw.(zie noot 9) De Raad acht het wenselijk dat in die regeling concreet wordt aangegeven welke gegevens het betreft. Hij verwijst in dit verband tevens naar zijn advies over het ontwerpbesluit houdende vaststelling van een algemene maatregel van bestuur als bedoeld in de artikelen 11, 20, 22, 32, 34 en 89, van de Zorgverzekeringswet.(zie noot 10) iv. Tot slot wordt in de toelichting de procedure van de materiële controle beschreven, welke tot een vermoeden van fraude kan leiden.(zie noot 11) In dat geval is het denkbaar dat persoonsgegevens betreffende de gezondheid op detailniveau gecontroleerd moeten worden, maar dit is pas in laatste instantie aan de orde. Zorgverzekeraars Nederland heeft laten weten niet van plan te zijn om aanvullende controles te gaan uitvoeren of aanvullende verzoeken om gegevens te doen op basis van deze wetswijziging.(zie noot 12) De Raad is daarom niet overtuigd van de noodzaak dat zorgaanbieders aan ziekenfondsen in dit kader nadere gegevens betreffende de gezondheid dienen te verstrekken. De Raad concludeert, met het CBP(zie noot 13), dat de noodzaak voor het verstrekken van persoonsgegevens betreffende de gezondheid, behalve voor het declaratieverkeer, onvoldoende is aangetoond. Daarmee is ook niet aangetoond dat aan het noodzakelijkheidsvereiste op grond van de artikelen 21 jo. 9 van de Wbp is voldaan. De Raad adviseert het voorstel op dit punt te heroverwegen. b. Het voorgestelde artikel 73a geeft een expliciete wettelijke grondslag voor de verplichting van zorgaanbieders om zowel direct als indirect aan de ziekenfondsen persoonsgegevens betreffende de gezondheid van de verzekerde, daaronder de medische diagnose, te verstrekken. Op deze persoonsgegevens is het medisch beroepsgeheim van toepassing. Het CBP wijst er in zijn advies op dat uit artikel 8 EVRM volgt dat deze wettelijke grondslag voldoende specifiek moet zijn. Het vindt daarom een nadere concretisering in de, in artikel 73a, vijfde lid bedoelde, ministeriële regeling noodzakelijk. In zijn adviezen over de Zvw en de Invoerings- en aanpassingswet Zvw heeft de Raad eveneens geadviseerd tot nadere concretisering van de wettelijke grondslag tot het verstrekken van persoonsgegevens (betreffende de gezondheid). De regering vindt, ook in de toelichting bij onderhavig wetsvoorstel, zo'n nadere concretisering niet nodig. Ze verwijst voor de invulling van het noodzakelijkheidsbegrip naar de Wbp, vindt dat deze noodzakelijkheidsgrens reeds voldoende beveiliging geeft en dat het voorgestelde artikel 73a, eerste en tweede lid, van de Zfw reeds een concretisering ten opzichte van de Wbp vormt.(zie noot 14) Er worden voorts enkele praktische bezwaren genoemd, namelijk dat dan voor iedere sector zou moeten worden bepaald welke gegevens zouden moeten worden verstrekt, wat tot lange lijsten in of in de bijlage bij de ministeriële regeling zou leiden die vaak gewijzigd zouden moeten worden.(zie noot 15) De Raad merkt op dat, anders dan bijvoorbeeld bij de Zorgverzekeringswet, eerst in dit wetsvoorstel duidelijk wordt aangegeven voor welke uiteenlopende doeleinden verstrekking van gegevens betreffende de gezondheid wordt beoogd. Zoals hiervoor is uiteengezet, staat de noodzaak daarvan niet in alle gevallen vast. Nu met de beoogde gegevensverstrekking het recht op bescherming van de persoonlijke levenssfeer(zie noot 16) in het geding is, dient de wettelijke grondslag die een inbreuk op dat recht mogelijk maakt voldoende specifiek te zijn. De Wbp formuleert het noodzakelijkheidsvereiste in het algemeen en kan daarom moeilijk dienen als concreet richtsnoer om te kunnen bepalen welke gegevensverstrekking voor de uitvoering van de Zfw noodzakelijk is. Daarom is een concrete invulling van de gegevensverstrekking, dat wil zeggen een specificatie van de doeleinden en de daarvoor benodigde gegevens, die voor de uitvoering van de Zfw noodzakelijk is, vereist. Overigens vindt de Raad de praktische bezwaren die in de toelichting genoemd worden om van nadere concretisering in een ministeriële regeling af te zien, niet overtuigend. Een ministeriële regeling is het instrument bij uitstek om regels op te nemen die vaak wijziging behoeven.(zie noot 17) De Raad is daarom van mening dat de wettelijke grondslag van de gegevensverstrekking, een nadere concretisering behoeft bij ministeriële regeling. Hij adviseert het voorstel op dit punt aan te passen. c. In het voorgestelde artikel 55 AWBZ is een verplichting opgenomen tot het aan elkaar verstrekken van persoonsgegevens van de verzekerde, waaronder persoonsgegevens betreffende de gezondheid als bedoeld in de Wbp, door uitvoeringsorganen, zorgaanbieders en indicatieorganen. Net als bij de voorgestelde bepaling in de Zfw geldt ook hier dat de gegevensverstrekking noodzakelijk moet zijn en dat nader gespecificeerd moet worden voor welke doeleinden welke gegevens noodzakelijk zijn. De beoordeling of het verwerken van bepaalde persoonsgegevens noodzakelijk is voor de uitvoering van de AWBZ dient niet aan de verschillende instanties zelf te worden overgelaten. De Raad verwijst verder naar wat onder punt 2b reeds over het noodzakelijkheidsvereiste en de vereiste concretisering daarvan is gezegd. De Raad adviseert het voorstel op dit punt aan te passen. 3. Voor redactionele kanttekeningen verwijst de Raad naar de bij het advies behorende bijlage. De Raad van State geeft U in overweging het voorstel van wet niet te zenden aan de Tweede Kamer der Staten-Generaal dan nadat met het vorenstaande rekening zal zijn gehouden. De Vice-President van de Raad van State