[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [🧑mijn] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Antwoord op de vragen van de leden Westerveld, Hijink, Kuiken, Agema, Tellegen, Bikker, Van der Laan en Werner over bescherming medische gegevens in de intensieve kindzorg

Antwoord schriftelijke vragen

Nummer: 2022D02485, datum: 2022-01-25, bijgewerkt: 2024-02-19 10:56, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (ah-tk-20212022-1448).

Gerelateerde personen:

Onderdeel van zaak 2021Z23246:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2021-2022 Aanhangsel van de Handelingen
Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden

1448

Vragen van de leden Westerveld (GroenLinks), Hijink (SP), Kuiken (PvdA), Agema (PVV), Tellegen (VVD), Bikker (ChristenUnie), Van der Laan (D66) en Werner (CDA) aan de Minister van Volksgezondheid, Welzijn en Sport over bescherming medische gegevens in de intensieve kindzorg (ingezonden 13 december 2021).

Antwoord van Minister Kuipers (Volksgezondheid, Welzijn en Sport) (ontvangen 25 januari 2022). Zie ook Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 1204.

Vraag 1

Heeft u ook signalen ontvangen dat zorgverzekeraars medische gegevens van chronisch ernstig zieke kinderen delen met derden zonder de indicatiestellers die BIG geregistreerd zijn en de ouders/kinderen hierover te informeren? Zo ja, om hoeveel kinderen gaat het?

Antwoord 1

Nee, ik heb geen signalen ontvangen over zorgverzekeraars die zonder toestemming medische gegevens delen aan «derden» als zijnde «buitenstaanders» zonder wettelijke grondslag. Er zijn mij wel signalen bekend dat zorgverzekeraars onder eigen verwerkingsverantwoordelijkheid een verwerker inhuren. Deze verwerker voert controlerende taken uit ten behoeve van en onder verantwoordelijkheid van de zorgverzekeraar, zoals het afleggen van een huisbezoek. Hier is uw Kamer eind vorig jaar over geïnformeerd.1

Vraag 2

Voldoet het delen van medische dossiers met derden door verzekeraars ten behoeve van controle op doelmatigheid volgens u aan artikel 9 van de AVG, waarin wordt gesteld dat het delen van medische gegevens is verboden, behalve als het nodig is voor het verlenen van goede gezondheidszorg, het beheren van het stelstel of als uitdrukkelijk toestemming is gegeven? Kunt u dit uitgebreid toelichten?

Antwoord 2

Op hoofdlijnen geldt dat voor elke verwerking van persoonsgegevens een grondslag als opgesomd in artikel 6 Algemene verordening gegevensbescherming (AVG) aanwezig dient te zijn. Voor de verwerking van bijzondere persoonsgegevens moet voldaan zijn aan een uitzondering op het verbod om bijzondere persoonsgegevens te verwerken. Deze uitzonderingen zijn opgesomd in artikel 9, tweede lid, AVG. In het geval dat een verwerkingsverantwoordelijke gegevens doorgeeft aan een verwerker die zelf ook verwerkingsverantwoordelijk is, dan moet de verwerkingsverantwoordelijke zich ervan vergewissen dat hij hiervoor een grondslag heeft op basis van de AVG. Voor elke grondslag (bijvoorbeeld expliciete toestemming) gelden eigen randvoorwaarden. Naast de grondslag dient een verwerkingsverantwoordelijke zich ook te houden aan de andere uitgangspunten van de AVG. Zo mogen enkel de gegevens verwerkt worden die strikt noodzakelijk zijn voor het vastgestelde doel en mogen gegevens niet langer bewaard worden dan noodzakelijk. De verwerkingsverantwoordelijke moet tevens de mogelijkheid hebben voor betrokkene om zijn rechten onder de AVG, recht van inzage, wissing en zo verder te kunnen uitoefenen. Het staat de verwerkingsverantwoordelijke vrij om een verwerker in te huren die ten behoeve van de verwerkingsverantwoordelijke gegevens verwerkt. Deze verwerker voert dit dan uit ten behoeve van en onder volledige verantwoordelijkheid van de verwerkingsverantwoordelijke. De verwerker heeft geen eigen grondslag nodig.

De AVG is van toepassing op alle verwerkingen van persoonsgegevens die zorgverzekeraars doen. De zorgverzekeraars zijn zelf verwerkingsverantwoordelijk op basis van de AVG. Zij moeten ervoor zorgen dat hun gegevensverwerking voldoet aan de relevante wet- en regelgeving, met inbegrip van de AVG en dat zij hierover duidelijk communiceren naar hun verzekerden. Het is niet aan mij om te treden in de beoordeling van een specifieke gegevensverwerking. Dit is aan de Autoriteit Persoonsgegevens. Zij houden toezicht op de naleving van de privacywetgeving en de AVG.

Vraag 3

Is volgens u sprake van een tegenstrijdigheid die nu is ontstaan binnen de AVG en de Zorgverzekeringswet? Zo ja, kunt u dit toelichten?

Antwoord 3

Als ik uw vraag goed interpreteer vraagt u zich af of de inzet van een organisatie (als zijnde verwerker) voor het doen van de controle op doelmatigheid in opdracht van de zorgverzekeraar (als zijnde verwerkingsverantwoordelijke) in strijd is met de AVG. Dat hoeft niet het geval te zijn als deze organisatie dit doet ten behoeve van en onder verantwoordelijkheid van de zorgverzekeraar en de zorgverzekeraar hierover de juiste afspraken heeft gemaakt. De verwerker handelt dan onder de grondslag van de zorgverzekeraar en heeft geen eigen grondslag nodig.

De zorgverzekeraars zijn zelf verwerkingsverantwoordelijk op basis van de AVG. Zij moeten ervoor zorgen dat hun gegevensverwerking voldoet aan de relevante wet- en regelgeving, met inbegrip van de AVG en dat zij hierover duidelijk communiceren naar hun verzekerden. Het is niet aan mij om te treden in de beoordeling van een specifieke gegevensverwerking. Dit is aan de Autoriteit Persoonsgegevens. Zij houden toezicht op de naleving van de privacywetgeving en de AVG.

Vraag 4

Deelt u onze zorg dat het hier om een kwetsbare groep kinderen gaat en dat het delen van een medisch dossier een potentieel risico kan vormen voor de persoonlijke levenssfeer als dit vaker wordt uitgewisseld en op meer plekken staat opgeslagen? Hoe kan volgens u hier veiligheid worden gewaarborgd?

Antwoord 4

Met alle persoonsgegevens dient zorgvuldig om te worden gegaan. Dit geldt ook, en des te meer, voor bijzondere persoonsgegevens. Voor de verwerking van bijzondere persoonsgegevens geldt dan ook strengere wetgeving in de AVG. Het medische dossier van kwetsbare kinderen valt onder deze categorie bijzondere persoonsgegevens.

Vraag 5

Klopt het dat verzekeraars ouders geen toestemming vragen voor het delen van de medische gegevens van hun kind? Waarom is deze toestemming niet wettelijk vereist? Wat zouden de consequenties van een toestemmingsvereiste zijn voor verzekerde en verzekeraar?

Antwoord 5

In de polisvoorwaarden zijn bepalingen opgenomen over de verwerking van (bijzondere) persoonsgegevens door de zorgverzekeraar. Verwerking daarvan is noodzakelijk voor de uitvoering van de basisverzekering. De zorgverzekeraar mag persoonsgegevens delen met derden (bijvoorbeeld een zorgaanbieder) voor zover dat noodzakelijk is om de verplichtingen op grond van de basisverzekering na te komen.

Ouders geven door ondertekening van het aanvraagformulier van een Zvw-pgb expliciet toestemming dat de zorgverzekeraar contact opneemt met de indicerende verpleegkundige, de huisarts en/of de medisch specialist om de (medische) gegevens omtrent deze aanvraag en indicatiestelling voor verpleging en/of verzorging in te zien.

Verder is in het pgb-reglement van de zorgverzekeraars vermeld dat de verzekerde toestemming geeft aan de zorgverzekeraar om contact op te nemen met de verpleegkundige, de huisarts en de behandelend specialist om de (medische) gegevens van de verzekerde omtrent de Zvw-pgb aanvraag en indicatiestelling voor verpleging en verzorging in te zien op het moment dat het nodig is voor een juiste uitvoering van de verzekering. Dit vindt plaats onder verantwoordelijkheid van de medisch adviseur of verpleegkundig adviseur. Het pgb-reglement is onderdeel van de polisvoorwaarden van de verzekerde.

Vraag 6

Klopt het dat verzekeraars ook zelf controle kunnen uitvoeren op de doelmatigheid van indicatiestelling van chronisch zieke kinderen? Zou dit in deze situatie niet de voorkeur genieten, omdat er dan geen medische gegevens met derden hoeven te worden gedeeld? Kunt u uw antwoord toelichten?

Antwoord 6

Alleen zorgverzekeraars zijn in de positie om de controle op doelmatigheid uit te voeren. Als zij deze opdracht laten uitvoeren door een organisatie kan die organisatie die opdracht enkel uitvoeren ten behoeve van en onder verantwoordelijkheid van de zorgverzekeraar. Zorgverzekeraars zijn en blijven daarmee verantwoordelijk voor de verwerking van de desbetreffende gegevens.

Vraag 7

Vindt u het delen van gegevens door zorgverzekeraars met derden wenselijk? Zo ja, waarom? Zo nee, wat gaat u hieraan doen?

Antwoord 7

De AVG is van toepassing op alle verwerkingen van persoonsgegevens die zorgverzekeraars doen. Ik ben natuurlijk van mening dat iedereen en dus ook zorgverzekeraars zich moeten houden aan de AVG. Als zorgverzekeraars zich houden aan die privacywetgeving heb ik geen bezwaar tegen een eventuele gegevensverwerking in opdracht en onder verantwoordelijkheid van de zorgverzekeraar als verwerkingsverantwoordelijke. Het is niet aan mij om te treden in de beoordeling van een specifieke gegevensverwerking. Dit is aan de Autoriteit Persoonsgegevens. Zij houden toezicht op de naleving van de privacywetgeving en de AVG.

Vraag 8

Bent u bereid om met Zorgverzekeraars Nederland in gesprek te gaan over deze praktijk?

Antwoord 8

Eind 2020 bent u inhoudelijk over dit onderwerp geïnformeerd2 en is met zorgverzekeraars het gesprek gevoerd over gegaan over dit onderwerp. Dit was naar aanleiding van een vraag van het lid Bergkamp (D66) over een wijziging van een zorgverzekeraar in het reglement Zvw-pgb. Op basis van dat gesprek zag mijn ambtsvoorganger geen aanleiding tot vervolgstappen en op dit moment zijn er bij mij geen aanwijzingen om dat besluit te heroverwegen. Desalniettemin staat het verzekerden altijd vrij om klachten over een mogelijke inbreuk op de AVG kenbaar te maken bij hun zorgverzekeraar of zich te wenden tot de Autoriteit Persoonsgegevens voor een formele beoordeling van de juistheid van deze gegevensverwerking.


  1. Kamerstuk 34 104, nr. 309.↩︎

  2. Kamerstuk 34 104, nr. 309.↩︎