Beleidsregels verwerking persoonsgegevens machtigingsvereiste19 januari 2017

Organisaties die persoonsgegevens verwerken, dienen zich aan de Wet bescherming persoonsgegevens (Wbp) te houden. De Autoriteit Persoonsgegevens houdt hier toezicht op. Omdat de interpretatie van de Wbp in de praktijk lastig kan zijn, publiceert de Autoriteit Persoonsgegevens over bepaalde onderwerpen beleidsregels.

Zo publiceerde de Autoriteit Persoonsgegevens op 19 december 2016 de Beleidsregels voor het verwerken van persoonsgegevens ten behoeve van het machtigingsvereiste in de zorgpolis (hierna: Beleidsregels).

Machtigingsvereiste  

Het machtigingsvereiste houdt in dat een verzekerde vooraf toestemming van zijn/haar zorgverzekeraar moet hebben voor de vergoeding van bepaalde behandelingen, geneesmiddelen, hulpmiddelen of zorgaanbieders. Dit is om te voorkomen dat een verzekerde zorg krijgt die achteraf niet vergoed wordt.

Beleidsregels

Tot op heden was het onduidelijk welke (bijzondere) persoonsgegevens - zoals medische gegevens - op grond van de Wbp door zorgverzekeraars mochten worden verwerkt ten behoeve van het machtigingsvereiste. De Beleidsregels die door de Autoriteit Persoonsgegevens in afstemming met de Nederlandse Zorgautoriteit (Nza) zijn opgesteld, zorgen voor opheldering voor zorgverzekeraars, zorgverleners en verzekerden.

In beginsel mogen zorgverzekeraars (bijzondere) persoonsgegevens - zoals medische gegevens - verwerken (opslaan, bewaren etc.) voor het zogenoemde machtigingsvereiste. De verzekeraars moeten wel kunnen onderbouwen waarom de gevraagde gegevens noodzakelijk zijn voor het verlenen van de machtiging. Er moet voldaan zijn aan de beginselen van proportionaliteit en subsidiariteit. "Dat betekent ten eerste dat het doel, de aard en omvang van de persoonsgegevens die voor de machtiging worden verwerkt met elkaar in verhouding zijn en ten tweede dat er geen minder ingrijpende verwerking van persoonsgegevens voor dat doel mogelijk is", aldus de Autoriteit Persoonsgegevens in de Beleidsregels. Wanneer bijvoorbeeld kan worden volstaan met het verwerken van een verwijsbrief van een huisarts, dan is het opvragen van (andere) persoonsgegevens over de gezondheid van de verzekerde niet toegestaan. Er mag pas worden overgegaan tot het verwerken van (meer gedetailleerde) gezondheidsgegevens over de verzekerde als andere gegevens niet toereikend zijn om het doel van de machtiging te bewerkstelligen.

Wanneer zorgverzekeraars zich niet houden aan de Wbp - en de uitwerking daarvan in de Beleidsregels - kan een boete worden opgelegd door de Autoriteit Persoonsgegevens.

Heeft u vragen over dit onderwerp? Neem dan vrijblijvend contact met ons op.

Deel deze pagina:

Contactpersoon