Zorgverzekeraars leven de privacyregeling ggz in het algemeen goed na. Ook biedt de interne organisatie van zorgverzekeraars voldoende waarborgen voor correcte verwerking van medische persoonsgegevens. Dat schrijft de NZa in het Rapport ’Zorgverzekeraars, controles en privacyvoorschriften’, dat vandaag is verschenen.
Het onderzoek ging van start nadat de NZa signalen had ontvangen dat de regeling niet goed werd nageleefd. De bevindingen wijzen erop dat de regeling in het algemeen wel goed wordt uitgevoerd. Eén verzekeraar voerde de privacyregeling ggz niet goed uit, omdat hij diagnose-informatie opvroeg waar dat niet mocht. De NZa heeft deze verzekeraar hierop gewezen en verplicht om tot en met maart 2017 periodiek aan de NZa te rapporteren over de juiste uitvoering van de privacyregeling ggz.
Verder hebben individuele verzekeraars aanbevelingen gekregen om de uitvoering van de privacyregeling verder te verbeteren. De NZa zal alert blijven op signalen over de wijze waarop zorgverzekeraars omgaan met persoonsgegevens en zal (in overleg met de Autoriteit Persoonsgegevens), als daartoe aanleiding bestaat, actie ondernemen.
Medische persoonsgegevens
Inzage in medische persoonsgegevens kan voor zorgverzekeraars nodig zijn om te controleren of de gedeclareerde zorg is geleverd, onderdeel is van de verzekering en of deze passend is. Dat komt de betaalbaarheid van zorg ten goede. Medische persoonsgegevens zijn echter gevoelige gegevens en in beginsel alleen toegankelijk voor de direct betrokkenen: de patiënt en zijn arts. Daarom zijn medische gegevens voor verzekeraars beperkt toegankelijk. Daarnaast kunnen patiënten met principiële bezwaren gebruik maken van de privacyregeling. Dat betekent dat er op de declaratie geen diagnose-informatie staat vermeld. Daar is een door de verzekerde en de zorgaanbieder getekende privacyverklaring voor nodig, die aan de verzekeraar wordt overlegd.
In 2014 maakten ongeveer 900 cliënten gebruik van een privacyverklaring.
Aanbevelingen voor de zorgverzekeraars
De bevindingen geven aanleiding om aan verschillende zorgverzekeraars aanbevelingen te doen om hun beleid, organisatie en communicatie rond de naleving van privacyregels verder te versterken. Het gaat bijvoorbeeld om een duidelijke beschrijving van de wijze waarop de privacyregeling ggz wordt uitgevoerd. Ook is het nuttig het privacybeleid in één document vast te leggen. Een andere aanbeveling is dat zorgverzekeraars zich open en aanspreekbaar opstellen richting zorgaanbieders bij de uitvoering van controles. Deze aanbevelingen zijn afgestemd met de Autoriteit Persoonsgegevens. Alle verzekeraars hebben positief op de aanbevelingen gereageerd; sommige verzekeraars hebben de aanbevelingen al opgevolgd.
Bron: Nza