Naar boven ↑

Annotatie

mr. B.A. van Schelven
3 februari 2020

Rechtspraak

Viva la Vida/Achmea c.s.
Rechtbank Noord-Nederland, 26 februari 2014
ECLI:NL:RBNNE:2014:6831

Over de verstrekking van patiëntgegevens door zorgaanbieders aan zorgverzekeraars.

1. Feiten

Deze uitspraak gaat over het fraudeonderzoek dat een aantal Achmea-labels heeft uitgevoerd naar de declaraties van ggz-instelling Stichting Viva la Vida. Achmea had anonieme verklaringen ontvangen waaruit zou blijken dat Viva la Vida handelingen declareerde die niet daadwerkelijk zouden zijn uitgevoerd. Achmea verzocht Viva la Vida in dat kader tot toezending van delen van patiëntendossiers. Viva la Vida weigerde dat, en verzocht de voorzieningenrechter Achmea te verbieden haar te verplichten inzage te verschaffen in de medische dossiers van patiënten. De voorzieningenrechter wees dit verzoek af, omdat Achmea had voldaan aan de vereisten van artikel 87 Zorgverzekeringswet (‘Zvw’) en hoofdstuk 7 van de Regeling zorgverzekering (‘Rzv’).

Deze uitspraak is van februari 2014 maar pas recent gepubliceerd. Voor zover mij bekend, is dit de eerste en tot nog toe enige uitspraak die is gepubliceerd over de vraag of een zorgaanbieder in het kader van een fraudeonderzoek verplicht is patiëntgegevens te verschaffen aan een zorgverzekeraar. Daarmee vormt deze uitspraak een goede aanleiding voor een algemene beschouwing over verstrekking van patiëntgegeven aan zorgverzekeraars. In dat kader zal ik hierna ten eerste een beknopte uiteenzetting geven van het relevante juridisch kader. Ten tweede zal ik een ogenschijnlijke lacune in die wet- en regelgeving bespreken.

2. Juridisch kader verstrekking patiëntgegevens door zorgaanbieders aan zorgverzekeraars

Patiëntgegevens worden (onder andere) beschermd door artikel 8 EVRM (recht op privacy), artikel 10 Grondwet (recht op privacy), artikel 16 Wet bescherming persoonsgegevens (‘Wbp’) (verbod op verwerken van persoonsgegevens betreffende iemands gezondheid), artikel 7:457 BW (medisch beroepsgeheim) en artikel 88 Wet BIG (medisch beroepsgeheim). Hieruit volgt dat het een zorgaanbieder in beginsel is verboden patiëntgegevens te verstrekken aan een zorgverzekeraar. Artikel 87 Zvw doorbreekt dit verbod voor het geval verstrekking van patiëntgegevens ‘noodzakelijk is voor de uitvoering van de zorgverzekering of [de Zvw]’. Ten behoeve waarvan die verstrekking plaatsvindt, dus waarvoor zorgverzekeraars de te verstrekken patiëntgegevens mogen gebruiken, is uitgewerkt in de Rzv, die haar grondslag heeft in artikel 87 lid 6 Zvw.

Brancheorganisatie Zorgverzekeraars Nederland (‘ZN’) heeft in 2011 de ‘Gedragscode verwerking Persoonsgegevens Zorgverzekeraars en het bijbehorende Protocol Materiële Controle’ (‘de Gedragscode’) opgesteld voor de verwerking van persoonsgegeven door zorgverzekeraars. Het College Bescherming Persoonsgegevens (‘CBP’) had de Gedragscode in eerste instantie ex artikel 25 Wbp goedgekeurd (Stcrt. 2012, 401), hetgeen praktisch betekende dat een zorgverzekeraar werd verondersteld persoonsgegevens op rechtmatige wijze te hebben verwerkt indien hij dat conform de Gedragscode had gedaan. De rechtbank Amsterdam vernietigde het goedkeuringsbesluit echter (Rb. Amsterdam 13 november 2013, ECLI:NL:RBAMS:2013:7480), waarna het CBP het goedkeuringsverzoek van ZN alsnog heeft afgewezen (Stcrt. 2013, 36772). ZN heeft haar hoger beroep tegen de uitspraak ingetrokken.

Overigens sluiten zorgverzekeraars in de praktijk veelal toch nog aan bij de Gedragscode. De afwijzing van het goedkeuringsbesluit heeft daarbij tot gevolg dat de Gedragscode in principe geen rol meer zal spelen bij de rechterlijke toetsing van de handelwijze van een zorgverzekeraar. Achmea heeft zich waarschijnlijk om die reden in deze procedure ook niet beroepen op de Gedragscode, althans dat blijkt niet uit de uitspraak.

3. Verstrekking patiëntgegevens door niet-gecontracteerde zorgaanbieders aan zorgverzekeraars is niet geregeld

Artikel 87 Zvw biedt echter geen grondslag voor verstrekking van patiëntgegevens aan zorgverzekeraars door zorgaanbieders met wie geen contractuele relatie bestaat. Artikel 87 lid 1 Zvw ziet namelijk op de ‘zorgaanbieder die aan een verzekerde zorg (…) heeft verleend, en die de kosten daarvan krachtens een door hem met de zorgverzekeraar gesloten overeenkomst rechtstreeks bij die zorgverzekeraar in rekening brengt’. Let wel: het gaat hier om het in rekening brengen van kosten op basis van een overeenkomst. Dat kan dus ook een zogeheten betaalovereenkomst zijn, waarin geen afspraken over de zorg zelf staan maar enkel afspraken die nodig zijn om rechtstreekse declaraties aan de zorgverzekeraar mogelijk te maken. Viva la Vida en Achmea hadden bijvoorbeeld voor 2013 een betaalovereenkomst gesloten, zodat Achmea zich in casu met succes op artikel 87 Zvw en hoofdstuk 7 van de Rzv kon beroepen.

Gedacht kan worden dat artikel 7.3 lid 2 Rzv bepaalt dat ook de zorgaanbieder waarmee een zorgverzekeraar geen contractuele relatie heeft, verplicht is ‘overige gegevens die noodzakelijk zijn voor het verrichten van materiële controle dan wel fraudeonderzoek’ te verstrekken aan een zorgverzekeraar (J.M.E. Citteur & J.J. Rijken, ‘Verstrekking van patiëntgegevens door zorgaanbieders aan zorgverzekeraars’, TvGR 2013/8, p. 753, noot 22). De toelichting bij de Rzv vermeldt evenwel dat lid 2 aan artikel 7.3 Rzv is toegevoegd ‘omdat de tot eerste lid vernummerde tekst niet goed kan worden aangepast aan het nieuwe onderdeel i’ (Stcrt. 2010, 10581, p. 12). De verplichting uit artikel 7.3 lid 2 Rzv is dus kennelijk slechts om cosmetische redenen losgekoppeld van artikel 7.3 lid 1 Rzv. Zou dat al anders zijn, dan ben ik het met Citteur en Rijken eens dat niet valt in te zien wat de wettelijke basis zou zijn voor de verstrekking van patiëntengegevens door een niet-gecontracteerde zorgaanbieder aan een zorgverzekeraar, zodat het aannemelijk is dat artikel 7.3 lid 2 Rzv in dat geval onverbindend zou zijn. Overigens is de zorgaanbieder met wie de zorgverzekeraar geen contractuele relatie heeft op grond van artikel 87 lid 2 Zvw wel verplicht de desbetreffende verzekerde zijn patiëntgegevens te verstrekken die voor diens ‘zorgverzekeraar noodzakelijk zijn voor de uitvoering van de zorgverzekering of van [de Zvw]’.

In potentie bestaat hiermee een aanzienlijk praktisch probleem voor zorgverzekeraars. Hoewel Achmea, Menzis, CZ en VGZ in hun polisvoorwaarden bepalingen hebben opgenomen die ertoe strekken dat de verzekerde verplicht is zijn medewerking te verlenen aan verstrekking van zijn patiëntgegevens, zal een zorgverzekeraar desalniettemin individuele verzekerden dienen aan te schrijven indien hij een fraudecontrole wil uitvoeren op declaraties van zorgaanbieders waarmee de zorgverzekeraar geen contractuele relatie heeft. Uit oogpunt van de statistische validiteit van de controleresultaten kan verwacht worden dat dat al snel een flink aantal patiënten/verzekerden zal moeten zijn, met alle administratieve belasting van dien. Dat verklaart wellicht ook de oproep van de NZa de wet op dit punt te veranderen (nza.nl (zoek op themanieuwsbrief correct declareren)).

Zorgverzekeraars doen er derhalve goed aan een contractuele relatie tot stand te brengen met zorgaanbieders. Die relatie kan zich in principe beperken tot een betaalovereenkomst. Het is echter de vraag of een (niet-bonafide) zorgaanbieder daar zonder meer akkoord mee zal gaan. Gelet op het hinderpaalcriterium van artikel 13 Zvw is het voor sommige zorgaanbieders namelijk goed mogelijk zonder contract met de zorgverzekeraar rendabele zorg te leveren. Bovendien kunnen zorgaanbieders na cessie ook zonder betaalovereenkomst zelfstandig facturen declareren bij zorgverzekeraars, althans zolang zorgverzekeraars het nalaten in hun polisvoorwaarden cessieverboden met goederenrechtelijke werking op te nemen (zie recent bijvoorbeeld Rb. Midden-Nederland (ktr.) 8 april 2015, ECLI:NL:RBMNE:2015:2742).