Zorgverzekeraars schenden privacy van GGZ-patiënten

sector:

Zorg

expertise:

IT & Privacy

25 maart 2015

Gegevens van mensen die gebruikmaken van geestelijke gezondheidszorg worden vaak gedeeld met zorgverzekeraars, zonder dat de patiënt dat weet. Op 23 februari 2015 heeft Radar een reportage uitgezonden hierover. Uit die uitzending komt naar voren dat veel zorgverzekeraars het niet zo nauw nemen met de privacy van GGZ-patiënten.

De patiënt
Een GGZ-patiënt kan ervoor kiezen zijn medische gegevens te beschermen door bij de zorgverlener een “privacyverklaring zorgactiviteiten” te tekenen. Als een patiënt deze verklaring ondertekent worden zijn gegevens gecodeerd opgeslagen. Te denken valt aan privacygevoelige informatie die een patiënt verstrekt over bijvoorbeeld zijn ziekte, een overlijdenswens of een verslaving.

De zorgverzekeraar
Ondanks de privacyverklaring van een patiënt, kan een zorgverzekeraar aan het gedeclareerde tarief op nota’s zien voor welk type stoornis een patiënt is behandeld, omdat iedere therapie of behandeling een eigen tarief en code heeft. Ook in geval van controle vraagt een zorgverzekeraar gegevens op over de patiënt en de behandeling. Op grond van de Regeling zorgverzekering materiële controle mogen zorgverzekeraars controleren of een zorgverlener een gedeclareerde behandeling daadwerkelijk heeft uitgevoerd en of deze behandeling passend was gezien de zorgvraag. Deze controle mag alleen plaatsvinden als de behandeling al is uitgevoerd. Zorgverzekeraars blijken de controle echter ook aan het begin van de behandeling uit te voeren, hetgeen niet is toegestaan. Op basis van de huidige regeling lijkt het voor zorgverzekeraars betrekkelijk eenvoudig om aan (afgeschermde) gegevens van GGZ-patiënten te komen. Zo is in de uitzending van Radar te zien dat iemand vanwege zijn medisch dossier geen arbeidsongeschiktheidsverzekering kon afsluiten.

De zorgverleners
Psychologen en psychiaters geven aan dat zorgverzekeraars ook steeds vaker interesse tonen in behandelplannen, verwijsbriefjes van een huisarts of zelfs vóór een behandeling al gegevens over een patiënt opvragen. Dit is in strijd met de privacy van de patiënt en met de geheimhoudingsplicht van de zorgverlener. De zorgverlener kan weigeren informatie te verstrekken, maar dan ontstaat er een spanningsveld, omdat de zorgverzekeraar dan vaak de behandeling niet volledig vergoed. Een groep psychotherapeuten en psychiaters hebben inmiddels vanwege de privacy van hun patiënten geweigerd om contracten te sluiten met (sommige) zorgverzekeraars.
Zorgverleners vrezen bovendien dat de privacygevoelige informatie van hun patiënten ook voor andere doeleinden wordt gebruikt.

Gedragscode
Bij het opvragen en verwerken van persoonsgegevens verwijzen zorgverzekeraars meestal naar de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars. Deze Gedragscode is door het College Bescherming Persoonsgegevens goedgekeurd, maar de rechtbank Amsterdam heeft in een vonnis van 13 november 2013 tegen het CBP geoordeeld dat de Gedragscode niet voldoende waarborgen bevat om te voorkomen dat de medische persoonsgegevens onder ogen van anderen komen. Daarom heeft de rechtbank bepaald dat het CBP in redelijkheid niet tot goedkeuring van de Gedragscode heeft kunnen overgaan en vernietigt de rechtbank het goedkeuringsbesluit van het CBP. Dat zou moeten betekenen dat de Gedragscode zou moeten worden aangepast om in overeenstemming te zijn met de Wet bescherming persoonsgegevens, maar dat is voor zover bekend niet gebeurd.

Kamervragen
Op 11 maart 2015 zijn over dit onderwerp Kamervragen gesteld aan de Minister van Volksgezondheid, Welzijn en Sport, waarbij ook wordt verwezen naar het vonnis van de rechtbank Amsterdam van 13 november 2013. De Minister zal onder meer antwoord dienen te geven op de vraag welke wettelijke waarborgen er zijn om te voorkomen dat medische gegevens worden gebruikt voor oneigenlijke doeleinden door bijvoorbeeld zorgverzekeraars en hoe op het gebruik toezicht wordt gehouden. Wij houden u uiteraard op de hoogte.

Mary Groenen, paralegal