Vraagt Zilveren Kruis teveel persoonsgegevens op? Dataminimalisatie onder de AVG

Het
beginsel van minimale gegevensverwerking (ook wel dataminimalisatie) is een van
de belangrijkste beginselen onder de Algemene verordening gegevensbeschermig
(AVG). Wanneer persoonsgegevens worden verwerkt dan moeten zij voor het doel
toereikend en ter zake dienend zijn. Verder mogen er niet meer persoonsgegevens
worden verwerkt dan noodzakelijk voor het doel. Met andere woorden, er mogen
gelet op het doel, niet te veel, maar ook niet te weinig gegevens worden
verwerkt voor het doel. Wanneer namelijk te weinig gegevens worden verwerkt,
dan kan er ten onrechte een onvolledig beeld ontstaan van de betrokkene. Onlangs moest de voorzieningenrechter zich
buigen over dit beginsel in een kort
geding tussen OCA en Zilveren Kruis.

Waar
gaat het kort geding over?

OCA verleent medisch-specialistische revalidatiezorg (MSR)
aan
patiënten met chronische pijn en is ten opzichte van Zilveren Kruis een
zogenaamde ‘niet-gecontracteerde
zorgaanbieder’. Dit houdt in dat OCA geen contract heeft met
Zilveren Kruis. De vergoeding uit de basisverzekering of aanvullende
verzekering kan dan lager zijn dan wanneer een patiënt naar een gecontracteerde
zorgverlener gaat.

Op
basis van de polis van Zilveren Kruis krijgen patiënten niet-contracteerde MSR
alleen wordt vergoed met aan de behandeling voorafgaande toestemming van
Zilveren Kruis (hierna: het ‘machtigingsvereiste’). In de praktijk dient OCA
namen de verzekerde deze machtigingsaanvraag bij Zilveren Kruis in,
waarbij OCA verschillende persoonsgegevens van patiënten aan Zilveren Kruis
moet verstrekken. Een van de bezwaren van OCA tegen de werkwijze van Zilveren
Kruis was dan ook dat Zilveren Kruis te veel informatie opvraagt. Het is, in de
woorden van OCA, nooit genoeg. Dat leidt er volgens OCA toe dat Zilveren Kruis
informatie wenst te ontvangen die volgens de privacywetgeving niet mag worden
verstrekt.

Hoeveel
en welke informatie mag Zilveren Kruis van OCA verlangen?

Zilveren Kruis stelt ten
eerste dat OCA, anders dan de verzekerden zelf, geen belang heeft bij naleving van
de AVG door Zilveren Kruis. Volgens de voorzieningenrechter heeft OCA echter
welzeker een eigen belang bij het voorkomen van schending van de AVG omdat zij
van mening is dat zij in het kader van de machtigingsaanvraag wordt gedwongen
om mee te werken aan schending van de privacywetgeving. Daarnaast vond de
voorzieningenrechter het aannemelijk dat OCA ook voor het belang van de
verzekerden opkomt, zodat de voorzieningenrechter het bezwaar van OCA alsnog
inhoudelijk behandelt.

De vraag hoeveel en welke
informatie mag en moet worden verstrekt door de verzekerde aan de
zorgverzekeraar moet worden beantwoord aan de hand van de AVG. Op grond van de
AVG mag een verwerking van persoonsgegevens alleen plaatsvinden als dat
noodzakelijk is. Voor medische gegevens geldt dit nog sterker. Artikel 9 lid 1
AVG bepaalt als uitgangspunt dat verwerking van “gegevens over gezondheid”
verboden is. Artikel 9 lid 2 aanhef en onder h AVG maakt daarop een
uitzondering voor het geval de verwerking noodzakelijk is voor, onder meer, het
beheren van gezondheidszorgstelsels en -diensten op grond van nationaal recht.

Naar Nederlands recht is de
gegevensverstrekking van zorgaanbieders aan zorgverzekeraars in verschillende
bepalingen geregeld. Zo bepaalt de Nederlandse Uitvoeringswet AVG dat et verbod
op de verwerking van gegevens over gezondheid niet van toepassing is op
verzekeraars voor zover de verwerking noodzakelijk is voor de uitvoering van de
overeenkomst van verzekering. Ook de Zorgverzekeringswet bepaalt onder meer dat
een ieder op verzoek aan een zorgverzekeraar alle inlichtingen en gegevens,
waaronder persoonsgegevens als bedoeld in de AVG, die noodzakelijk zijn voor de
uitvoering van de zorgverzekering.

Volgens de
voorzieningenrechter betekent dit ,dat de zorgverzekeraar tot op zekere hoogte
medische informatie mag ontvangen. “Het gaat daarbij om alle informatie die de
zorgverzekeraar nodig heeft om te kunnen beoordelen of er een vergoedingsrecht
bestaat en dus ook of de behandeling doelmatig is. Die informatie zal alleen
zinvol zijn als deze in individuele gevallen voldoende concreet en toetsbaar
is. Algemene bewoordingen volstaan niet.”

In deze zaak had OCA volgens
de voorzieningenrechter niet voldoende concreet onderbouwd welke informatie
Zilveren Kruis wel en niet zou mogen opvragen. OCA spreekt alleen van
“gedetailleerde gegevens” en dat is volgens de rechter te vaag.

Slot

Had OCA in deze zaak concreet
aangegeven welke informatie door Zilveren Kruis niet had mogen worden
opgevraagd, dan had de rechter een beoordeling gemaakt naar de noodzakelijkheid
van de verwerking van de gegevens. Helaas kwam de rechter daaraan dus niet toe.
Desalniettemin verdient het beginsel van dataminimalisatie bijzondere aandacht.
Onder de AVG moeten organisaties bij het inrichten van verwerkingen rekening te
houden met het principe van privacy door ontwerp en standaardinstellingen
(privacy by design & default). Minimale gegevensverwerking wordt in dat
kader uitdrukkelijk genoemd als passende maatregel.

Source

Platform Informatie Technologie en Recht

Vraagt Zilveren Kruis teveel persoonsgegevens op? Dataminimalisatie onder de AVG

Brill

Personal Data

The History of Unicode

Meltdown and Spectre

Argument Timing

Tinder

Emoji Sports

Twitter Verification

Nightmare Email Feature

Email Reply

Computers vs Humans

Supervillain Plan

Obsolete Technology

USB Cables

Digital Resource Lifespan

Categorieën: ‘Van kern tot rand’

NOS – Tech

Recht.nl – Privacy

NU – Tech

Europa – Nu

Recht.nl – Informatie & Technologie

TagCloud

Ius Mentis