Op 13 november heeft de meervoudige kamer van de Rechtbank Amsterdam het goedkeuringsbesluit van het CBP over de Gedragscode Zorgverzekeraars vernietigd.

Een zorgverzekeraar zal nu eenmaal persoonsgegevens moeten kunnen verwerken om zijn primaire taak goed uit te kunnen voeren. Met de verkregen persoonsgegevens dient echter bijzonder zorgvuldig te worden omgesprongen mede omdat het om medische gegevens gaat. Het is op grond van artikel 16 Wbp in beginsel verboden om persoonsgegevens aangaande iemands gezondheid te verwerken. Het is echter mogelijk om onder artikel 23 een ontheffing te krijgen van het CBP voor zover verwerking van de persoonsgegevens noodzakelijk is met het oog op een zwaarwegend algemeen belang en er passende waarborgen worden getroffen om de persoonlijke levenssfeer te beschermen.

Het CBP heeft een goedkeurend besluit afgegeven ten aanzien van de Gedragscode Zorgverzekeraars waarmee zij de mogelijkheid kregen om (medische) persoonsgegevens te verwerken zoals vermeld staat in deze code. Stichting KDVP was het met dit goedkeuringsbesluit niet eens en spande een zaak aan. De doelstelling van stichting KDVP is het behoud van privacy en vertrouwelijkheid binnen de GGZ door het beheer van privacygevoelige informatie geheel te laten bij cliënt en hulpverlener.

Strijd met het EVRM:
De rechtbank oordeelt dat de Gedragscode in strijd is met privacybeginselen, neergelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). Er zijn geen eenduidig omschreven doelstellingen in de Gedragscode Zorgverzekeraars voor de verwerking van de medische persoonsgegevens opgenomen. De verwerking van medische gegevens vormt een inbreuk op de privacy van patiënten en het beroepsgeheim van zorgverleners. Er is voor de doelstellingen niet (voldoende) getoetst op proportionaliteit en subsidiariteit zoals het EVRM vereist. Tevens is er ten onrechte geen onderzoek gedaan naar alternatieve methodes voor gegevensverwerking die geen inbreuk vormen op privacy en het beroepsgeheim.

Function creep:
Een ander struikelpunt is de mogelijkheid van de functioncreep. De persoonsgegevens zijn beschikbaar voor meerdere bedrijfsprocessen en de mogelijkheid voor het gebruik van medische gegevens voor marketingactiviteiten onder de noemer zorgbemiddeling zelfs mogelijk zou zijn. Er is weliswaar een doelbindingsbeginsel opgenomen in de gedragscode maar het uitzonderingsartikel is volgens de rechtbank onvoldoende gespecificeerd. Het is hierdoor niet duidelijk onder welke omstandigheden door wie en op welke gronden het doelbindingsbeginsel opzij kan worden gezet. Er is dus een risico op oneigenlijk gebruik van verkregen persoonsgegevens.

Strijd met eerdere rechterlijke uitspraken:
De rechtbank overweegt ten slotte dat het CBP voorbij gaat aan eerdere uitspraak van het College van Beroep voor het Bedrijfsleven (CBB) met betrekking tot de betekenis van privacy, vertrouwelijkheid en beroepsgeheim bij de behandeling van psychische klachten. Deze uitspraak had betrokken moeten worden bij een verbijzondering van bepalingen voor geestelijke gezondheidszorg in de Gedragscode.

De uitspraak van het CBB gaat er over dat bij de behandeling van psychische klachten moet bezwaar kunnen worden gemaakt tegen de verplichte uitwisseling van diagnose-informatie tussen zorgverlener en zorgverzekeraar. Overigens is een dergelijke verplichting als uitgangspunt voor elektronische verwerking van het dataverkeer tussen zorgverzekeraar en zorgverlener niet per saldo onrechtmatig mits er uitzonderingsmogelijkheden zijn ingebouwd. Het gaat namelijk wel om informatie die wordt verkregen onder het medisch beroepsgeheim en op dergelijke wijze onder ogen komt van mensen die niet zijn gebonden door het medisch beroepsgeheim noch onder het medisch tuchtrecht vallen. Bij psychische gezondheidszorg gaat het om informatie die de kern van het privé-leven raakt en daarom zeer privacygevoelig is.

De rechtbank stelt vast dat de Gedragscode onvoldoende waarborgen bevat aangaande de verwerking van dergelijke persoonsgegevens. Daarmee bestaat er een kans dat de geheimhoudingsplicht ten aanzien van gezondheidsgegevens niet wordt nageleefd wanneer er een overstap plaatsvindt naar een digitaal systeem. De rechtbank acht daarbij van belang dat digitale verwerking van persoonsgegevens de mogelijkheid met zich meebrengt dat derden tot die gegevens toegang krijgen en de gegevens worden gebruikt voor bijvoorbeeld marketingdoeleinden. Hiermee is de doelbinding onvoldoende verzekerd.

Oordeel van de rechtbank:
De rechtbank vernietigt het bestreden besluit en veroordeelt het CBP om binnen zes weken een nieuw besluit te nemen over door vereniging Zorgverzekeraars Nederland te maken aanpassingen aan de Gedragscode.

Conclusie:
Er is volgens het vonnis van de rechtbank behoorlijk wat mis met de Gedragscode. Door de verwerking van medische persoonsgegevens aan te wenden voor verschillende bedrijfsprocessen is er geen sprake van helder en limitatief omschreven doelstellingen van gegevensverwerking zoals het EVRM vereist. Dit werkt functioncreep en het oneigenlijk gebruik van persoonsgegevens in de hand. Ook is het CBP voorbij gegaan aan een uitspraak van het CBB omdat er onvoldoende waarborgen zijn getroffen voor de bescherming van de persoonlijke levenssfeer bij de verwerking van persoonsgegevens welke betrekking hebben op geestelijke gezondheidszorg.

De vereniging Zorgverzekeraars Nederland moet dus terug naar de tekentafel en het CBP zal een nieuw oordeel moeten gaan vellen. Dit alles zal binnen zes weken plaats moeten vinden. Het verhaal is dus lang nog niet afgelopen. De stichting KVDP heeft echter patiënten in het algemeen en die van geestelijke gezondheidszorg in het bijzonder een dienst bewezen.

Rechtbank Amsterdam vernietigt het CBP goedkeuringsbesluit van de Gedragscode Zorgverzekeraars wegens strijdig zijn met privacybeginselen en negeren van een eerdere rechterlijke uitspraak via KVDP.nl
Rb. Amsterdam 13/11/2013, zaaknr. AMS 12/984 via KVDP.nl

Comments closed.