Een belangrijke pijler in het Nederlandse zorgstelsel is het medisch beroepsgeheim. Het is belangrijk dat bij patiënten geen onzekerheden bestaan over de vraag of hun vertrouwelijke gegevens bij een hulpverlener veilig zijn. Dat zou er namelijk toe kunnen leiden dat zij geen of te laat hulp zoeken, met aanzienlijke gezondheidsschade tot gevolg. Schending van het beroepsgeheim wordt dan ook niet lichtvaardig opgevat en kan civielrechtelijk, tuchtrechtelijk en zelf strafrechtelijk verwijtbaar zijn. Het beroepsgeheim is echter niet absoluut. In deze tweedelige blogserie gaan we dieper in op de uitzonderingen op het beroepsgeheim. In dit blog bespreken we de manier waarop zorgverzekeraars controle uitoefenen en wat dit betekent voor het beroepsgeheim. In het tweede blog kijken we naar de omgang met het beroepsgeheim bij faillissementen van zorgaanbieders.
Zorgverzekeraars kunnen controles uitvoeren om te onderzoeken of de gedeclareerde zorg valt onder de dekking van de zorgverzekering en of deze zorg rechtmatig en doelmatig is verleend. Soms is daarvoor informatie uit medische dossiers nodig. Artikel 87 Zorgverzekeringswet ('Zvw') vormt de grondslag voor zorgaanbieders om, voor zover de controle voldoet aan de wettelijke eisen, het beroepsgeheim te kunnen doorbreken.
Bij de verstrekking van gegevens door de zorgaanbieder aan de zorgverzekeraar is er een onderscheid tussen gecontracteerde en niet-gecontracteerde zorg. Bij gecontracteerde zorg én zorgaanbieders met een betaalovereenkomst, kan de zorgaanbieder op grond van artikel 87 lid 1 Zvw de gevraagde informatie rechtstreeks aan de zorgverzekeraar verstrekken, zonder tussenkomst van de verzekerde. Dat is anders voor zorgaanbieders zonder contract. Hiervoor bevat de Zvw geen eigen grondslag voor de verstrekking van persoonsgegevens van patiënten door de zorgaanbieder aan de zorgverzekeraar. In die gevallen kan rechtstreekse verstrekking door de zorgaanbieder daarom uitsluitend plaatsvinden op basis van toestemming van de verzekerde.
Uit de parlementaire geschiedenis blijkt niet waarom de wetgever heeft gekozen voor deze verschillende routes. Het lijkt erop dat de wetgever simpelweg niet heeft voorzien dat bij controle van de niet-gecontracteerde zorg, toestemming nodig is van de patiënt. Dat beeld bestond in elk geval tien jaar geleden ook in Den Haag. In 2014 was er namelijk een wetsvoorstel om artikel 87 Zvw te wijzigen, zodat het ook voor niet-gecontracteerde zorgaanbieders mogelijk zou worden om zonder tussenkomst van de verzekerde, persoonsgegevens aan de zorgverzekeraar te verstrekken. Er werd gesproken over een ‘omissie’ die gerepareerd moest worden. Ook was een argument om de controles op declaraties in beginsel tussen zorgaanbieder en zorgverzekeraar te laten plaatsvinden om zo ‘de controle zoveel mogelijk buiten de verzekerde om te laten gaan’. Op die manier zou de vertrouwensband tussen de verzekerde als patiënt en zorgaanbieder niet beschadigd raken (Kamerstukken I 2018/19, 33980, F, p. 2) Het wetsvoorstel is echter ingetrokken, onder de belofte van een nieuw, verbeterd voorstel.
Dat nieuwe wetsvoorstel is er niet gekomen. Opvallend, omdat daardoor voor niet-gecontracteerde zorgaanbieders nog altijd geen wettelijke grondslag bestaat voor doorbreking van het beroepsgeheim: toestemming van de patiënt blijft noodzakelijk. Dat bemoeilijkt de controle terwijl dit type zorgverlening, juist door het ontbreken van een contractuele relatie met de zorgverzekeraar, zich het meest buiten het zicht van de zorgverzekeraars bevindt.
Met het voorgaande is beschreven op welke grondslagen gezondheidsgegevens aan zorgverzekeraars kunnen worden verstrekt. De zorgverzekeraar heeft echter óók een grondslag nodig om de ontvangen gegevens te mogen gebruiken in de controle. Die grondslag is artikel 87 lid 6 onder de Zvw en artikel 7.1 lid 2 Rzv.
Bij een formele controle controleert de zorgverzekeraar of de declaratie betrekking heeft op zijn verzekerde, of het gaat om verzekerde zorg, of de zorgaanbieder bevoegd was tot het verlenen van deze zorg en of het juiste tarief is gedeclareerd.
Bij een materiële controle wordt gecontroleerd of de zorg daadwerkelijk is geleverd en redelijkerwijs aangewezen was. Uitgangspunt is dat de gegevensverwerking proportioneel en noodzakelijk moet zijn én dat de zorgverzekeraar voldoende transparantie toont. Een materiële controle verloopt daardoor in stappen. De controle richt zich allereerst op andere gegevens dan persoonsgegevens. Pas als blijkt dat met deze gegevens het controledoel niet wordt bereikt, kan een detailcontrole noodzakelijk zijn. Detailcontrole houdt in dat de scope van de controle verruimd wordt naar een controle waarbij persoonsgegevens verwerkt worden – bijvoorbeeld inzage in medisch dossiers. De Rzv bevat in artikel 7.8 lid 1 waarborgen om te voorkomen dat de detailcontrole verder gaat dan nodig. Deze waarborgen hoeven niet nageleefd te worden als de verzekerde schriftelijk toestemming geeft aan de zorgaanbieder voor het verstrekken van de gegevens aan de zorgverzekeraar ten behoeve van de materiële controle. Volgens de minister mag toestemming alleen in individuele gevallen uitkomst bieden, en niet in het geval tientallen of honderden declaraties worden gecontroleerd. Toestemming is dus geen ‘alternatief’ voor ‘algemene en specifieke controleplannen’. Toestemming anders dan in bepaalde, individuele gevallen heft het beroepsgeheim dus niet op.
Voor zorgaanbieders is het belangrijk om steeds na te gaan of de controle aan de vereisten voldoet.
Als een zorgaanbieder persoonsgegevens verstrekt in een controle die niet voldoet aan de wet- en regelgeving, dan is er geen grondslag en schendt de zorgaanbieder daarmee het beroepsgeheim. Niettemin kan de druk op zorgaanbieders om persoonsgegevens te verstrekken soms hoog zijn – bijvoorbeeld als de zorgverzekeraar dreigt met het opschorten van betalingen bij het niet verstrekken van de gevraagde gegevens. Minder duidelijk is wat de potentiële gevolgen zijn voor zorgverzekeraars als zij de in de Zvw en Rzv opgenomen regels voor controle niet naleven – in de wet is in elk geval niets geregeld. Daarmee is niet gezegd dat de uitvoering van materiële controles voor zorgverzekeraars een loterij zonder nieten is. Recente rechtspraak laat zien dat ook voor zorgverzekeraars de gevolgen van het niet naleven van wet- en regelgeving fors kunnen zijn.
De rechtbank Rotterdam oordeelde in mei 2023 (ECLI:NL:RBROT:2023:5887) dat de uitkomsten van een controle die niet volgens de regels was verlopen, in beginsel wel toelaatbaar zijn in een juridische procedure. De rechter overwoog dat als de controle wel volgens de regels was verlopen, de uitkomsten daarvan in dit specifieke geval niets anders waren geweest. Toch stond de zorgverzekeraar met lege handen. De rechtbank oordeelde namelijk dat de terugvordering door de zorgverzekeraar in strijd was met de redelijkheid en billijkheid. Juist in de gereguleerde zorgmarkt moeten alle partijen zich aan de regels houden om willekeur te voorkomen en privacygevoelige informatie te bewaken, te meer vanwege de afhankelijkheid van de zorgaanbieder tegenover de zorgverzekeraar voor de vergoeding van de zorg. Een zwaluw maakt uiteraard nog geen zomer: wij zijn dan ook benieuwd of het vonnis van de rechtbank navolging vindt.
In dat kader wijzen wij op twee recente arresten van het hof Arnhem-Leeuwarden uit 2024. In de eerste zaak (ECLI:NL:GHARL:2024:378) ging het om een materiële controle door een zorgverzekeraar, waarbij de zorgverzekeraar betalingen had opgeschort terwijl nog niet was voldaan aan de eisen die de Rzv stelt aan materiële controle. De zorgverzekeraar moet de schade die de zorgaanbieder heeft geleden door de opschorting betalen – daarbij moet nog wel worden vastgesteld wat die schade precies is. In de tweede zaak (ECLI:NL:GHARL:2024:5450) ging het om een controle door de zorgverzekeraar, waarbij de zorgverzekeraar voor een groot gedeelte de uitvoering en onderbouwing van de uitkomsten van de controle onzorgvuldig had uitgevoerd. Het hof heeft daardoor een streep gezet door de gelden die de zorgverzekeraar terugvorderde. Ook oordeelde het hof dat de zorgverzekeraar onrechtmatig tot opschorting was overgegaan. Het hof heeft deels een schadevergoeding toegekend aan de zorgaanbieder voor onbetaald gebleven facturen en voor het overige verwezen naar de schadestaatprocedure. Daar moet aan de orde komen in hoeverre de overige facturen voor betaling in aanmerking komen, maar ook andere schadeposten zoals het moeten staken van de zorgverlening, reputatieschade en vermogensschade door het aantrekken van externe financiering.
Het is niet ondenkbaar dat zich bij zorgaanbieders een belangenconflict voordoet: medewerking weigeren als het verzoek niet voldoet aan de regels, of meewerken om betalingsopschortingen te voorkomen? Vanuit dat oogpunt kan het een waardevolle toevoeging zijn als ook verzekerden ‘verzet’ kunnen aantekenen bij de zorgverzekeraar als de verzekerde de verwerking ongerechtvaardigd acht. Dan is uiteraard wel vereist dat de verzekerde weet dat zijn persoonsgegevens in het kader van een controle verwerkt gaan worden. Bij patiënten van gecontracteerde aanbieders is dat nu juist niet het geval.
Toen de minister het in 2014 ingediende wetsvoorstel om artikel 87 Zvw te wijzigen introk, had de minister aangegeven bepaalde wijzingen te willen maken. Zo wilde de minister dat verzekerden in beginsel ingelicht zouden worden vóórdat de zorgverzekeraar inzage zou krijgen in de gevraagde persoonsgegevens en daarnaast achteraf geïnformeerd zouden worden over de resultaten. De minister had de toezegging van Zorgverzekeraars Nederland dat deze aspecten via zelfregulering gerealiseerd konden worden. De minister wilde echter een wettelijke regeling. Nu het nieuwe wetsvoorstel is uitgebleven, en ook de zelfregulering, is een groot deel van de verzekerden nog altijd onwetend als hun persoonsgegevens in het kader van een materiële controle worden verwerkt. Wat ons betreft een gemiste kans, zowel vanuit het oogpunt van transparantie als om bovengenoemde belangenconflicten te voorkomen.
De balans tussen de controle door zorgverzekeraars en het medisch beroepsgeheim is onvoldoende doordacht. Zorgverzekeraars hebben soms toegang nodig tot patiëntgegevens om de rechtmatigheid en doelmatigheid van zorg te waarborgen, terwijl het beroepsgeheim essentieel is voor het vertrouwen tussen zorgaanbieders en patiënten. Uit het voorgaande volgt dat controle een grondslag kan vormen om het beroepsgeheim te doorbreken. In sommige gevallen – bij niet-gecontracteerde zorg – is echter hoe dan ook steeds toestemming nodig van de verzekerde.
Omdat voor dit verschil in behandeling geen steekhoudende verklaring is te geven, bepleiten wij dat voor beide vormen van zorg dezelfde regels zouden moeten gelden. Daarbij wordt het tijd dat de wetgever ook nadenkt over de positie van de verzekerde: hoe en wanneer moet deze verzekerde geïnformeerd worden over de verwerking van zijn persoonsgegevens? Ondanks dat de wetgever deze aspecten langere tijd op de lens heeft gehad, blijft het stil. Wat ons betreft is het tijd dat politiek Den Haag deze handschoen weer oppakt.
