Antwoorden op kamervragen van Omtzigt en Sterk over de bescherming van databankgegevens van zorgverzekeraars
Ministerie van Volksgezondheid, Welzijn en Sport
De Voorzitter van de Tweede Kamer
der Staten-Generaal
Postbus 20018
2500 EA DEN HAAG
DZ-K-U-2827493
6 februari 2008
Antwoorden van minister Klink op kamervragen van de Kamerleden Omtzigt
en Sterk aan de Minister van Volksgezondheid, Welzijn en Sport, mede
namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties over
de bescherming van databankgegevens van zorgverzekeraars (2070806840).
Vraag 1.
Welk recht hebben verzekerden en andere personen om niet opgenomen te
worden in de databank van Vecozo en in de on-line administratie van CZ
of een andere verzekeraar?
Antwoord 1.
Allereerst hecht ik eraan tot uitdrukking te brengen dat niet de
minister maar de veldpartijen zelf verantwoordelijk zijn voor de
verwerking van persoonsgegevens overeenkomstig de daarvoor geldende
wettelijke eisen, en dat bovendien voorzien is in onafhankelijk
toezicht dat in het kader van de taakuitoefening over de noodzakelijke
bevoegdheden beschikt. Bij de beantwoording van de gestelde vragen
hebben zowel deze notie als de wens u te informeren over de feitelijke
situatie als leidraad gediend.
De zorgverzekeraar dient op grond van (artikel 4 van) de
Zorgverzekeringswet de identiteit van de verzekerde vast te stellen en
registreert van de verzekerde de persoonsgegevens die noodzakelijk
zijn voor de uitvoering van de zorgverzekering. Daarbij gaat het zowel
om persoonsgegevens die noodzakelijk zijn voor de
verzekerdenadministratie (wie is verzekerd, voor welke polis, is de
premie betaald, no-claim, eigen risico) als om gegevens die
noodzakelijk zijn voor de vergoeding van zorgkosten, hetzij
rechtstreeks aan de zorgaanbieder hetzij aan de verzekerde zelf.
De zorgverzekeraar is verantwoordelijk voor een zorgvuldig beheer van
de verzekerdenadministratie, en is er op grond van de Wet bescherming
persoonsgegevens (Wbp) toe gehouden om kennisneming van
persoonsgegevens door onbevoegden uit te sluiten.
De verzekerde of een andere persoon die zelf persoonsgegevens
verstrekt aan de zorgverzekeraar stemt ermee in dat de zorgverzekeraar
voor het gegeven doel de betreffende gegevens administreert. De
zorgverzekeraar is gehouden de verstrekker van de persoonsgegevens
conform de Wbp te beschermen tegen onbevoegde kennisneming en dient er
voor zorg te dragen dat de gegevens niet voor een ander doel gebruikt
worden dan waarvoor zij zijn verstrekt.
CZ heeft erkend dat het offerte- en aanmeldsysteem enige tijd niet
voldoende op orde is geweest en heeft de betreffende on-line systemen
uit de lucht gehaald, in afwachting van het dichten van het
beveiligingslek.
Wat betreft Vecozo het volgende.
Op grond van een overeenkomst tussen zorgverleners en de gezamenlijke
zorgverzekeraars wordt aan de zorgverlener onder voorwaarden de
mogelijkheid geboden om via Vecozo bepaalde verzekerdengegevens te
raadplegen. Dit geeft de zorgverlener de mogelijkheid om in het kader
van de controle van de verzekeringsstatus en de
declaratie-afhandeling, snel na te gaan of en waar een persoon
verzekerd is.
Voor deze toepassing is de zorgverzekeraar de "verantwoordelijke" in
de zin van de Wbp voor de verwerking van de persoonsgegevens, en heeft
Vecozo, dat handelt in opdracht van de zorgverzekeraar, afhankelijk
van de aan de zorgverzekeraar geboden service, de hoedanigheid van
"bewerker" in de zin van de Wbp. De verantwoordelijkheid voor de
zorgvuldige verwerking van persoonsgegevens blijft onverminderd bij de
zorgverzekeraar berusten.
Uit informatie van Vecozo blijkt dat de zorgverlener alleen van dat
systeem gebruik kan maken als hij, na overlegging van de benodigde
gegevens, van Vecozo daartoe een digitaal certificaat ontvangt. Dat
certificaat wordt alleen verstrekt als de zorgverlener een
overeenkomst digitale gegevensuitwisseling met de zorgverzekeraar
heeft gesloten. Na toelating kan de zorgverlener via de door Vecozo
geboden applicatie (in combinatie met enkele andere gegevens) zoeken
op adres, naam of verzekerdennummer.
Declaratie-afhandeling door zorgverleners en zorgverzekeraars is niet
mogelijk zonder daarbij verzekerdengegevens te verwerken die van de
zorgverzekeraar afkomstig zijn. Deze verwerking geschiedt onder
verantwoordelijkheid van de zorgverzekeraar; gegevensverwerking door
Vecozo geschiedt niet op basis van een zelfstandige titel, maar in
opdracht van zorgverzekeraars.
Vraag 2.
Hoe gaat u ervoor zorgen dat de adresgegevens van deze mensen niet
langer beschikbaar zijn in het Vecozo-systeem en andere systemen van
verzekeraars die voor velen toegankelijk zijn?
Vraag 3.
Wie houdt toezicht op de juiste naleving van privacynormen bij Vecozo
en andere administraties van verzekerden?
Antwoord 2 en 3.
Zorgverzekeraars zijn verantwoordelijk voor de raadpleging van
persoonsgegevens door zorgverleners via de Vecozo-applicatie (zie
antwoord 1). Het Vecozo-systeem is opgezet om juist tot een beter
beveiligde communicatie in de zorg te komen. Systemen als Vecozo
dienen omkleed te zijn met passende waarborgen met betrekking tot
beveiliging en verwerking conform de vereisten uit de Wbp en het recht
op bescherming van de persoonlijke levenssfeer zoals vastgelegd in
artikel 8 van het Europees Verdrag voor de Rechten van de Mens en
artikel 10 van de Grondwet. Voor de zorg is hier de richtlijn voor
informatiebeveiliging in de zorg van toepassing: de NEN-7510.
Tevens wordt toezicht uitgevoerd door de verantwoordelijke
toezichthouders (i.c. het College bescherming persoonsgegevens en de
Nederlandse Zorgautoriteit).