Op 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de Algemene verordening gegevensverwerking (AVG of ook wel GDPR). Deze Europese wet heeft voor verwerkers van persoonsgegevens met name gevolgen als het gaat om aantoonbaarheid van een zorgvuldige omgang met persoonsgegevens en er komt ten opzichte van de huidige wetgeving een beperkt aantal rechten bij voor de betrokkene (patiënt of verzekerde). Als al aan de huidige wetgeving voldaan wordt is de overgang naar de AVG dan ook beperkt.
Moet ik een verwerkersovereenkomst afsluiten met de zorgverzekeraar voor de gegevens die verstrekt worden? Tussen zorgaanbieders en zorgverzekeraars worden gegevens uitgewisseld. Hierbij geldt dat er geen sprake is van het uitbesteden van werkzaamheden van de zorgaanbieder naar de zorgverzekeraar of omgekeerd. Er worden wel gegevens verstrekt (de ene verantwoordelijke (partij) verstrekt gegevens aan de andere verantwoordelijke (partij)), maar het is niet zo dat de ene partij namens een andere partij activiteiten uitvoert waarin persoonsgegevens verwerkt worden. Het is dus verstrekken en niet ‘namens verwerken’. Een verwerkersovereenkomst is dan ook niet noodzakelijk. Hieronder vindt u enkele situaties waarbij gegevens worden uitgewisseld tussen zorgaanbieder en verzekeraar.
De patiënt machtigt de zorgaanbieder om namens hem een machtigingsverzoek van voldoende informatie te voorzien en deze naar de zorgverzekeraar te sturen. De zorgverzekeraar beoordeelt of zij niet meer gegevens vraagt dan noodzakelijk is om een beoordeling van de aanvraag te doen. Verder veronderstelt de zorgverzekeraar dat als de zorgaanbieder de aanvraag namens de patiënt indient, deze ook gemachtigd is aanvullende vragen van de zorgverzekeraar te beantwoorden indien deze noodzakelijk zijn. De uitkomst van de machtigingsaanvraag stuurt de zorgverzekeraar naar de verzekerde, met een kopie naar de zorgaanbieder indien deze de aanvraag namens de patiënt ingediend heeft. Bij de machtigingsaanvraag acteert de zorgaanbieder dus als plaatsvervanger (gemachtigde) namens de patiënt als het gaat om delen van gegevens.
Naast de verplichting als zorgaanbieder om een eigen (medische) administratie bij te houden heeft de zorgaanbieder ook nog de verplichting om op bepaalde momenten gegevens uit deze administratie te leveren aan de zorgverzekeraar. Dit is met name in het kader van de afwikkeling van de declaraties bij de verleende zorg en de wettelijke geregelde controle uit de zorgverzekeringswet. Wat er verstrekt moet worden is wettelijk geregeld en staat voor de declaratieverwerking en materiële controle beschreven in hoofdstuk 7 van de regeling zorgverzekering. De uitvoering van een materiële controle door de zorgverzekeraar is strikt geprotocolleerd om met name de privacy van de verzekerde te beschermen. Dit is ook de reden dat in stappen, waar noodzakelijk, steeds verder verdiepend gevraagd wordt om aanvullende gegevens, om zekerheid te krijgen op de criteria geleverd en meest aangewezen. De zorgaanbieder is verplicht om hieraan zonder voorbehoud medewerking te verlenen. Ook hier worden gegevens verstrekt aan de zorgverzekeraar en niet zo zeer verwerkt namens de zorgverzekeraar.