De Stichting KDVP is in het najaar van 2007 opgericht met het doel op te komen voor de bescherming van de privacy van de patiënt/cliënt en handhaving van het beroepsgeheim van hulpverleners werkzaam in de (GGZ)zorg.

Met de invoering van de nieuwe zorgverzekeringswet per 1-1-2008 zijn er ingrijpende veranderingen doorgevoerd binnen de GGZ. Deze wet verplicht hulpverleners in de GGZ om diagnose- en behandelinformatie van patiënten/cliënten zonder hun expliciete, geïnformeerde toestemming te vermelden op de declaratie aan de zorgverzekeraar. Vanaf 1-1-2008 worden rekeningen zonder deze informatie door de zorgverzekeraar niet meer vergoed. Daarnaast is aan hulpverleners de verplichting opgelegd om alle diagnose- en behandelinformatie aan te leveren aan de landelijke database DIS (DiagnoseInformatieSysteem) en later werd ook het ROMMEN (Routine Outcome Measurement) verplicht gesteld.

Met deze ingrijpende veranderingen in de GGZ wordt de privacy van patiënten/cliënten geschonden en het beroepsgeheim - ook een wettelijke plicht - doorbroken. Als hulpverleners zitten wij klem tussen twee wettelijke verplichtingen; de wet uit 2008 verplicht ons de privacy te schenden en ons beroepsgeheim verplicht ons de privacy te beschermen. Vertrouwelijkheid ofwel het eerbiedigen van het recht op privacy is een voorwaarde voor het effectief, zorgvuldig en integer kunnen uitoefenen van psychotherapeutische behandelingen. Kern van het beroepsgeheim is het feit dat geen enkele informatie wordt verstrekt aan derden die niet bij de behandeling zijn betrokken, zonder de expliciete, geïnformeerde toestemming van de patiënt/cliënt.

 

Vanwege bovenstaande ontwikkelingen heeft de Stichting KDVP een juridische procedure tegen het tariefbesluit van de NZa gevoerd vanwege de verplichte aanlevering van diagnose-informatie aan zorgverzekeraar en DIS.

In onze juridische procedure tegen het tariefbesluit van de NZa van 20-12-2007 heeft het College van Beroep voor het bedrijfsleven (CBb) – zijnde de hoogste bestuursrechter - op 2-8-2010 bijna alle door de KDVP naar voren gebrachte bezwaren gegrond verklaard. Dit is een belangrijke stap in de strijd om het heroveren van het recht op privacy van patiënten/cliënten in behandeling binnen de GGZ. De rechter heeft geoordeeld dat ” bij de behandeling van psychische klachten privacy en beroepsgeheim van zwaarwegend belang zijn voor zowel de patiënt/cliënt als voor de behandeling en de hulpverlener”.

De uitspraak van de CBb rechter dd 2-8-2010 verplichtte de NZa om met een uitzonderingsregeling te komen, die het mogelijk maakt om bezwaar te maken tegen de verplichte aanlevering van diagnose-informatie ingeval van behandeling van psychische klachten.

Ondanks deze uitspraak van het CBb is er echter nog steeds geen regeling getroffen die het effectief mogelijk maakt om bij afgifte van een NZa privacyverklaring - behorend bij de opt-outregeling – digitaal te kunnen declareren zonder dat diagnose-informatie terecht komt bij zorgverzekeraars. Hier is sprake van miskenning van een rechterlijke uitspraak en het jarenlang tegenhouden van noodzakelijke aanpassingen van declaratieprocedures bij afgifte van een privacyverklaring.

De KDVP blijft relevante partijen en de Autoriteit  Persoonsgegevens op allerlei manieren aanspreken om alsnog een effectieve digitale declaratieprocedure op te stellen zodat digitaal kan worden gedeclareerd zonder dat via het toepasselijke DBC-tarief alsnog diagnose-informatie bij zorgverzekeraar en DIS terechtkomt.

 

Ook voert de stichting KDVP een juridische procedure tegen de goedkeuring door het CBP (nu AP) van de Gedragscode Zorgverzekeraars met bijbehorend protocol Materiële Controle.

In haar uitspraak op 13-11-2013 heeft de rechtband Amsterdam geoordeeld dat het toenmalige College Bescherming Persoonsgegevens (CBP) – sinds 1-1-2016 Autoriteit Persoonsgegevens –  ten onrechte haar goedkeuring heeft verleend aan een Gedragscode die niet alleen de betekenis van het medisch beroepsgeheim miskent, maar tevens in strijd is met privacybeginselen, zoals vastgelegd in het Europees Verdrag voor de Rechten van de Mens (EVRM). Door de verwerking van medische persoonsgegevens te koppelen aan uiteenlopende “bedrijfsprocessen” als kwaliteitsbewaking, marketing en zorgbemiddeling is geen sprake van helder en limitatief omschreven doelstellingen van gegevensverwerking.

Daarnaast constateerde de rechtbank onder meer dat de in deze Gedragscode omschreven verwerkingspraktijken – die een inbreuk vormen op de privacy van patiënten/cliënten en het beroepsgeheim van hulpverleners – ten onrechte niet getoetst zijn op proportionaliteit en subsidiariteit zoals het EVRM vergt. Ook is bij het opstellen van de Gedragscode geen onderzoek gedaan naar andere manieren van gegevensverwerking die geen inbreuk maken op privacy en beroepsgeheim.

Bovendien is het CBP (nu AP) bij de goedkeuring van deze Gedragscode voorbij gegaan aan de eerdere uitspraak van het CBb over het belang van vertrouwelijkheid en privacy in de geestelijke gezondheidszorg. Deze uitspraak, die inhield dat bij de behandeling van psychische klachten bezwaar moet kunnen worden gemaakt tegen de verplichte uitwisseling van diagnose-informatie, had ook uitwerking moeten krijgen in de Gedragscode. De rechtbank heeft daarbij ook nadrukkelijk opgemerkt, dat het aan het CBP is om erop toe te zien dat verwerkingsprocedures van zorgverzekeraars effectief uitvoering geven aan de uitspraak van het CBb uit 2010.

Noch door de toezichthouder (eerder CBP en nu AP) noch door ZN is echter na de uitspraak van de rechtbank Amsterdam uit 2013 actie ondernomen om de in de Gedragscode vastgelegde procedures en bedrijfsprocessen aan te passen, dit terwijl ZN en zorgverzekeraars wèl nadrukkelijk hebben laten weten dat zij zich – tot op heden – aan deze Gedragscode gehouden bleven achten, ook nadat de door het CBP verleende goedkeuring daarvan door de rechter was vernietigd. Het uitblijven van aanpassing van verwerkingsprocedures aan de uitspraak van de rechter heeft inmiddels geleid tot het jarenlang niet legitiem verwerken van medische persoonsgegevens door zorgverzekeraars.

Ondertussen vormt de verwerking van medische persoonsgegevens bij zorgverzekeraars nog steeds geen juiste uitwerking van wet en verdrag. Wel hebben zorgverzekeraars op gegeven moment aan de Minister van VWS laten weten dat zij bezig waren een nieuwe Gedragscode Zorgverzekeraars op te stellen die ter goedkeuring zou worden voorgelegd aan de AP. Inmiddels is er door ZN inderdaad ook een nieuwe Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars opgesteld. Procedures en werkwijzen vastgelegd in deze nieuwe gedragscode zijn echter niet aangepast aan de fundamentele bezwaren zoals verwoord in de uitspraak van de rechtbank uit 2013. Mogelijk is er om die reden dan ook besloten om deze nieuwe gedragscode dan ook maar liever niet ter goedkeuring voor te leggen aan de AP, zoals eerder wel werd toegezegd.

KDVP is op 1 maart 2021 alsnog in hoger beroep gegaan tegen de uitspraak die de rechtbank Amsterdam op 25 januari 2021 heeft gedaan in deze al lang slepende beroepsprocedure gericht op het uitblijven van handhavend optreden van de AP.

Bij het realiseren van onze doelstellingen werkt onze stichting regelmatig samen met andere partijen, (privacy) organisaties, individuele personen/journalisten/Kamerleden ten behoeve van de strijd om het behoud van de privacy in de (GGZ) zorg en bewaking van het medisch beroepsgeheim. In onze Nieuwsberichten (zie onder knop “Nieuws”) wordt over de samenwerking met andere partijen en organisaties regelmatig verslag gedaan.

 

Nieuwe regelingen en oude problemen.

Vanaf 2022 wordt er een nieuw systeem voor gegevensuitwisseling bij declaratie ingevoerd. Dit betreft het zgn. zorgprestatiemodel als nieuw systeem voor de bekostiging voor de geneeskundige ggz en de forensische zorg samen met een nieuwe zorgvraagtypering. Het werken met DBC’s komt daarmee te vervallen. Binnen het zorgprestatiemodel zijn hulpverleners verplicht om behandelinformatie op persoonsniveau vanuit hun elektronische patiënt dossiers (EPD) digitaal te verstrekken.

Het verwerken van medische persoonsgegevens zoals diagnose-informatie moet voldoen aan strikte verdragsrechtelijke voorwaarden. Het ministerie van VWS tracht aan strikte internationaalrechtelijke restricties met betrekking tot de uitwisseling van medische persoonsgegevens te ontkomen door alsnog een legitimerende grondslag voor de (verplichte)  aanlevering van medische persoonsgegevens door hulpverleners te creëren in de Regeling Zorgverzekering. Op basis van deze regeling zou diagnose-/behandel-informatie geautomatiseerd vanuit elektronische patiëntdossiers bij zorgverleners legitiem kunnen worden verstrekt aan zorgverzekeraars en overheidsinstanties. Met de introductie van het zorgprestatiemodel wordt niet alleen het medisch beroepsgeheim miskend, maar worden hulpverleners door de overheid onder druk gezet om contracten af te sluiten met zorgverzekeraars. Met het zorgprestatiemodel neemt de invloed van de overheid/zorgverzekeraars op de praktijk van de hulpverlening verder toe.