Antwoorden op kamervragen van Omtzigt en Sterk over de bescherming van databankgegevens van zorgverzekeraars

De Voorzitter van de Tweede Kamer
der Staten-Generaal
Postbus 20018
2500 EA DEN HAAG

DZ-K-U-2827493

6 februari 2008

Antwoorden van minister Klink op kamervragen van de Kamerleden Omtzigt en Sterk aan de Minister van Volksgezondheid, Welzijn en Sport, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties over de bescherming van databankgegevens van zorgverzekeraars (2070806840).

Vraag 1.
Welk recht hebben verzekerden en andere personen om niet opgenomen te worden in de databank van Vecozo en in de on-line administratie van CZ of een andere verzekeraar?

Antwoord 1.
Allereerst hecht ik eraan tot uitdrukking te brengen dat niet de minister maar de veldpartijen zelf verantwoordelijk zijn voor de verwerking van persoonsgegevens overeenkomstig de daarvoor geldende wettelijke eisen, en dat bovendien voorzien is in onafhankelijk toezicht dat in het kader van de taakuitoefening over de noodzakelijke bevoegdheden beschikt. Bij de beantwoording van de gestelde vragen hebben zowel deze notie als de wens u te informeren over de feitelijke situatie als leidraad gediend.

De zorgverzekeraar dient op grond van (artikel 4 van) de Zorgverzekeringswet de identiteit van de verzekerde vast te stellen en registreert van de verzekerde de persoonsgegevens die noodzakelijk zijn voor de uitvoering van de zorgverzekering. Daarbij gaat het zowel om persoonsgegevens die noodzakelijk zijn voor de verzekerdenadministratie (wie is verzekerd, voor welke polis, is de premie betaald, no-claim, eigen risico) als om gegevens die noodzakelijk zijn voor de vergoeding van zorgkosten, hetzij rechtstreeks aan de zorgaanbieder hetzij aan de verzekerde zelf.

De zorgverzekeraar is verantwoordelijk voor een zorgvuldig beheer van de verzekerdenadministratie, en is er op grond van de Wet bescherming persoonsgegevens (Wbp) toe gehouden om kennisneming van persoonsgegevens door onbevoegden uit te sluiten.

De verzekerde of een andere persoon die zelf persoonsgegevens verstrekt aan de zorgverzekeraar stemt ermee in dat de zorgverzekeraar voor het gegeven doel de betreffende gegevens administreert. De zorgverzekeraar is gehouden de verstrekker van de persoonsgegevens conform de Wbp te beschermen tegen onbevoegde kennisneming en dient er voor zorg te dragen dat de gegevens niet voor een ander doel gebruikt worden dan waarvoor zij zijn verstrekt.
CZ heeft erkend dat het offerte- en aanmeldsysteem enige tijd niet voldoende op orde is geweest en heeft de betreffende on-line systemen uit de lucht gehaald, in afwachting van het dichten van het beveiligingslek.

Wat betreft Vecozo het volgende.
Op grond van een overeenkomst tussen zorgverleners en de gezamenlijke zorgverzekeraars wordt aan de zorgverlener onder voorwaarden de mogelijkheid geboden om via Vecozo bepaalde verzekerdengegevens te raadplegen. Dit geeft de zorgverlener de mogelijkheid om in het kader van de controle van de verzekeringsstatus en de declaratie-afhandeling, snel na te gaan of en waar een persoon verzekerd is.
Voor deze toepassing is de zorgverzekeraar de “verantwoordelijke” in de zin van de Wbp voor de verwerking van de persoonsgegevens, en heeft Vecozo, dat handelt in opdracht van de zorgverzekeraar, afhankelijk van de aan de zorgverzekeraar geboden service, de hoedanigheid van “bewerker” in de zin van de Wbp. De verantwoordelijkheid voor de zorgvuldige verwerking van persoonsgegevens blijft onverminderd bij de zorgverzekeraar berusten.

Uit informatie van Vecozo blijkt dat de zorgverlener alleen van dat systeem gebruik kan maken als hij, na overlegging van de benodigde gegevens, van Vecozo daartoe een digitaal certificaat ontvangt. Dat certificaat wordt alleen verstrekt als de zorgverlener een overeenkomst digitale gegevensuitwisseling met de zorgverzekeraar heeft gesloten. Na toelating kan de zorgverlener via de door Vecozo geboden applicatie (in combinatie met enkele andere gegevens) zoeken op adres, naam of verzekerdennummer.

Declaratie-afhandeling door zorgverleners en zorgverzekeraars is niet mogelijk zonder daarbij verzekerdengegevens te verwerken die van de zorgverzekeraar afkomstig zijn. Deze verwerking geschiedt onder verantwoordelijkheid van de zorgverzekeraar; gegevensverwerking door Vecozo geschiedt niet op basis van een zelfstandige titel, maar in opdracht van zorgverzekeraars.

Vraag 2.
Hoe gaat u ervoor zorgen dat de adresgegevens van deze mensen niet langer beschikbaar zijn in het Vecozo-systeem en andere systemen van verzekeraars die voor velen toegankelijk zijn?

Vraag 3.
Wie houdt toezicht op de juiste naleving van privacynormen bij Vecozo en andere administraties van verzekerden?

Antwoord 2 en 3.
Zorgverzekeraars zijn verantwoordelijk voor de raadpleging van persoonsgegevens door zorgverleners via de Vecozo-applicatie (zie antwoord 1). Het Vecozo-systeem is opgezet om juist tot een beter beveiligde communicatie in de zorg te komen. Systemen als Vecozo dienen omkleed te zijn met passende waarborgen met betrekking tot beveiliging en verwerking conform de vereisten uit de Wbp en het recht op bescherming van de persoonlijke levenssfeer zoals vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens en artikel 10 van de Grondwet. Voor de zorg is hier de richtlijn voor informatiebeveiliging in de zorg van toepassing: de NEN-7510.
Tevens wordt toezicht uitgevoerd door de verantwoordelijke toezichthouders (i.c. het College bescherming persoonsgegevens en de Nederlandse Zorgautoriteit).