Binnenkort treedt wetgeving in werking die de gegevensuitwisseling in het kader van de zorgfraude mogelijk maakt; de ‘Wet bevorderen samenwerking en rechtmatige zorg’. Privacyjurist Corrie Ebbers analyseert en duidt de wet.
De wetgever formuleert het als volgt: “Vanuit zowel de politiek, de zorgpraktijk als de maatschappij, wordt fraude in de zorg gekenschetst als een groot maatschappelijk probleem en een zeer kwalijk fenomeen.”
“Zorgbehoevenden moeten daadwerkelijk de zorg krijgen die zij nodig hebben en waar zij recht op hebben. Zij moeten kunnen vertrouwen op bijvoorbeeld hun zorgaanbieder en mogen niet de dupe worden, noch wat betreft de toegang tot en kwaliteit van zorg noch financieel, van zorgaanbieders die frauderen.”
“Daar komt bij dat jaarlijks veel geld omgaat in de zorgsector, dat wordt opgebracht door de premie- en belastingbetaler. Mensen moeten erop kunnen vertrouwen dat middelen die bestemd zijn voor de zorg ook daadwerkelijk aan zorg worden besteed.”
Het gaat om fraude die zowel door natuurlijke als door rechtspersonen wordt gepleegd. Deze wet kent een Waarschuwingsregister zorgfraude en een Informatieknooppunt zorgfraude.
In het kader van de zorgfraude is een centraal meldpunt in het leven geroepen, het waarschuwingsregister. Het doel van het waarschuwingsregister is de uitwisseling van gegevens, tussen gemeenten en zorgverzekeraars, van fraudeurs ten behoeve van een centraal registratiesysteem.
Het register is bedoeld om zo andere instanties te waarschuwen voor mogelijk frauduleuze partijen. Dit register kan aangemerkt worden als een zwarte lijst. Noot: Vergelijk art. 33 Uitvoeringswet AVG. Partijen die een melding kunnen doen zijn het CIZ, de Fiod, de Colleges van B&W, de Inspectie Gezondheidszorg en jeugd en de inspectie SZW, de SVB, de uitvoerders van de Wet langdurige zorg, de Zorgautoriteit, de ziektekosten en de zorgverzekeraars.
Vervolgens verzamelt en beheert het Informatieknooppunt Zorg (IKZ) de meldingen. Hier wordt het fraudesignaal nog verrijkt en verstrekt aan de partijen die gaan handhaven. Een melding bevat geen informatie over de aard en omvang van de fraude of de geconstateerde feiten en de omstandigheden waaronder de fraude zich heeft voorgedaan.
Die gegevens zijn niet noodzakelijk voor het met het systeem beoogde doel. Wel gegevens van strafrechtelijke aard (fraudeonderzoek) die door de Inspectie SZW en de FIOD worden verwerkt op grond van de Wet politiegegevens. Informatie over gezondheid die in dit kader mogelijk verwerkt wordt, betreft slechts de gegevens die duidelijk maken in welk domein de zorg aan desbetreffend zorgbehoevende wordt geleverd. Geen medische gegevens (waar geheimhouding op rust o.g.v. de Wgbo en de BIG). Deze worden uitgesloten. Maar wel overige gegevens omtrent gezondheid waar de AVG en UAVG op van toepassing is.
In tegenstelling tot de overige wetten in het sociaal domein, zijn in deze wet een aantal heldere grenzen en waarborgen opgenomen die bijdragen aan een zorgvuldige verwerking van persoonsgegevens. Gegevens mogen alleen voor fraude-opsporing worden gebruikt, niet voor andere doeleinden, de verstrekkingsbepalingen zijn limitatief en een kwestie wordt alleen bij het IKZ gemeld na akkoord van de toezichthouder (bedoeld wordt de Wmo-toezichthouder of de Nederlandse Zorgautoriteit (NZa).
Ook de bewaartermijnen en de uitoefening van de rechten van betrokkenen moeten vooraf geregeld zijn. In de wet is het gebruik van persoonsgegevens voor profilering expliciet uitgesloten.
Maar er zijn ook zorgen. Zo vindt de beroepsorganisatie van tandartsen, orthodontisten en kaakchirurgen (KNMT) dat de wet individuele zorgverleners bij een onterechte verdenking van fraude nauwelijks juridische mogelijkheden voor verweer biedt. Dit, terwijl de gevolgen van zo’n onterechte verdenking heel groot zijn.
En financiële instellingen, waaronder zorgverzekeraars, maken gebruik van onder andere een Incidentenregister en een Extern Verwijzingsregister. De gevolgen van een opname in zo’n register zijn voor de zorgaanbieder vaak groot. De ervaring leert dat zorgverzekeraars doorgaans geen overeenkomsten sluiten met in het Extern Verwijzingsregister opgenomen zorgaanbieders, of dat bestaande overeenkomsten worden beëindigd, met alle gevolgen van dien.
Een opname in het dit register kan voor zorgverzekeraars ook reden zijn een eigen fraudeonderzoek naar de zorgaanbieder te starten. De verwachting is dat een registratie in het Waarschuwingsregister Zorgfraude vergelijkbare effecten zal hebben
In 2018 reageerde de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG) al met felle kritiek op de nieuwe Wet bevorderen samenwerking en rechtmatige zorg. Verplichte uitwisseling van informatie met gemeenten, zorgverzekeraars en wlz-uitvoerders zou ervoor zorgen dat medische gegevens gedeeld worden met partijen en medewerkers zonder beroepsgeheim.
Er zijn gesprekken gevoerd met het ministerie van VWS en het IKZ. In het wetsvoorstel dat vervolgens bij de Tweede Kamer werd ingediend, is expliciet vastgelegd dat het niet is toegestaan om gezondheidsgegevens te verstrekken die onder een beroepsgeheim vallen. De KNMG was blij met dit resultaat, maar heeft toch nogmaals bepleit dat de medische gegevens die vertrouwelijk van artsen zijn verkregen, ook in een later stadium tussen partijen (bijvoorbeeld gemeenten of zorgverzekeraars) en medewerkers onderling zónder medisch beroepsgeheim, niet zomaar mogen worden uitgewisseld en betere bescherming behoeven.
In de toelichting op het Besluit is nadien opgenomen dat in het Waarschuwingsregister geen gegevens mogen worden opgeslagen die onder het medisch beroepsgeheim vallen. En dat waar vertrouwelijke gegevens tóch verstrekt moeten worden, zoals bijvoorbeeld in het kader van declaraties, deze alleen geanonimiseerd mogen worden uitgewisseld.
Wel een beetje vreemd is dat de overige gegevens omtrent gezondheid, waar die expliciete medische geheimhoudingsplicht niet op rust, wel verstrekt kunnen worden. Denk hierbij aan ‘gewone’ hulpverleners zoals maatschappelijk of sociaal werkers en jeugdhulpverleners. Mij lijkt dat die informatie vaak dezelfde bescherming verdient als de medische gegevens.
Het wetsvoorstel is controversieel verklaard maar omdat de amvb al klaar is, zou hij in 2024 nog van kracht kunnen worden.
Meer weten over het samenspel tussen zorg en privacy? Corrie Ebbers geeft de vierdaagse cursus ‘Gegevensverwerking en privacy in het sociaal domein’. In vier dagen word je opgeleid tot privacyprofessional in het sociaal domein. De opleiding verschaft de kennis en vaardigheden om te kunnen adviseren, en bespreekt de wettelijke voorschriften en actuele ontwikkelingen, waaronder de voorschriften die voortvloeien uit de Algemene verordening gegevensbescherming (AVG) en de daaruit voortvloeiende uitvoeringswet (UAVG). Meer informatie en aanmelden? Klik hier .
