Controles in de mondzorg: meer nadruk op verantwoordelijkheid zorgverzekeraar?

controle - vergrootglas

In de mondzorg worden steeds meer controles uitgevoerd door zorgverzekeraars en zelfs de zorgkantoren laten inmiddels van zich horen. Bij hun controles vragen zorgverzekeraars bij mondzorgpraktijken vaak allerlei medische informatie van patiënten op. Als de mondzorgprofessional die gegevens zomaar verstrekt, kan hij de privacy van zijn patiënten schenden.

Omdat veel mondzorgprofessionals werken zonder contract, is het meer regel dan uitzondering dat gegevens niet aan de verzekeraar verstrekt mogen worden. Toch wordt in de praktijk vaak gegevens bij de verzekeraar opgevraagd en ontstaat de vraag of dat zomaar mag. De mondzorgprofessional is gehouden tot geheimhouding van de medische gegevens, maar hoe zit het eigenlijk met de verantwoordelijkheid van de zorgverzekeraar op dit punt, na de invoering van de AVG?

Is de zorg rechtmatig en doelmatig?

Aan de toenemende controles in de mondzorg en aan de tips en tricks bij controles voor mondzorgpraktijken hebben wij op dental INFO al meerdere malen aandacht besteed. De meeste controles in de mondzorg gaan over de vraag of de geleverde zorg rechtmatig is verleend (in overeenstemming met de geldende regels) en of deze doelmatig is verleend (de verleende zorg is de meest aangewezen zorg gelet op de gezondheidstoestand van de patiënt). In de praktijk geven zorgverzekeraars vaak aan dat zij, om deze rechtmatigheid en doelmatigheid goed te kunnen toetsen, medische informatie over individuele patiënten van de mondzorgpraktijk nodig hebben.

Medische gegevens verstrekken: wanneer en wanneer niet?

De meeste mondzorgprofessionals die geconfronteerd worden met een controle, vragen zich af of zij gegevens uit patiëntendossiers of medische informatie over individuele patiënten met de verzekeraar mogen of moeten delen, als de verzekeraar daarom vraagt. In beginsel bevat de Algemene Verordening Gegevensbescherming (de bekende AVG), net zoals de Wet bescherming persoonsgegevens, een verbod om medische gegevens van patiënten te verstrekken aan derden, dus ook de verzekeraar.
Op dat verbod zijn uitzonderingen, onder meer bij controles door de verzekeraar bij gecontracteerde zorgaanbieders. Maar kort samengevat mag een mondzorgprofessional alleen gegevens aan de zorgverzekeraar te verstrekken als hij op basis van een overeenkomst met de zorgverzekaar rechtstreeks bij de zorgverzekeraar heeft gedeclareerd. In alle andere gevallen mag hij alleen gegevens aan de verzekerde verstrekken. Dat volgt uit de wet.

Als de mondzorgaanbieder een (betaal)overeenkomst heeft met de zorgverzekeraar, dient hij te controleren of de opgevraagde medische gegevens noodzakelijk zijn voor het vaststellen van het controledoel en passen binnen het controledoel. Daarnaast dient de zorgaanbieder vast te stellen of de opgevraagde gegevens wel proportioneel zijn: kan de controle niet op een andere – minder ingrijpende – (denk aan bijvoorbeeld een toelichting op praktijkniveau in plaats van over de individuele patiënt) manier worden afgerond? Om deze vragen te kunnen beantwoorden, dient de mondzorgaanbieder bij de zorgverzekeraar het specifieke controleplan en controledoel op te vragen.

Medische gegevens verstrekken: verantwoordelijkheid van de zorgaanbieder?

Gelet op het voorgaande is van belang dat de zorgaanbieder goed nagaat wat de verzekeraar onderzoekt en om welke reden de verzekeraar medische gegevens opvraagt: is dat wel noodzakelijk en proportioneel? Indien de zorgaanbieder die toets niet uitvoert of gegevens verstrekt terwijl hij geen overeenkomst met de verzekeraar heeft gesloten, dan schendt hij feitelijk zijn beroepsgeheim. Daardoor kan hij problemen krijgen met de patiënt en als deze klaagt bij de Autoriteit Persoonsgegevens, ook daarmee.

Eerder besteedden wij op dental INFO al aandacht aan de merkwaardige situatie dat de zorgaanbieder deze zware verantwoordelijkheid krijgt, terwijl in de wetgeving geen duidelijke sanctie is opgenomen voor de zorgverzekeraar die zich niet houdt aan de Regeling zorgverzekering en – zonder dat aan de wettelijke eisen is voldaan – medisch vertrouwelijke informatie opvraagt en verkrijgt.

Medische gegevens opvragen: verantwoordelijkheid van de zorgverzekeraar?

De invoering van de AVG heeft als bijkomend effect dat de privacy in en buiten de zorg in de schijnwerpers is komen te staan en ook de toezichthouder, de Autoriteit Persoonsgegevens, zich anders is gaan opstellen. Niet is uitgesloten dat zorgverzekeraars, indien zij zonder dat dit strikt noodzakelijk is medische gegevens opvragen bij de zorgaanbieder, bij het verwerken van deze gegevens dezelfde privacyrechtelijke verantwoordelijkheden hebben als zorgaanbieders en bij onterechte verwerking zelf handelen in strijd met de AVG. Dat betekent dat in voorkomend geval niet alleen de zorgaanbieder, maar ook zorgverzekeraars zich blootstellen aan mogelijke maatregelen (denk aan hoge boetes) die de Autoriteit Persoonsgegevens kan opleggen. Dit zal met name het geval kunnen zijn als een zorgaanbieder vanwege door een zorgverzekeraar opgelegde druk, bijvoorbeeld opschorting van betaling, gegevens heeft verstrekt. Dit is een aandachtspunt voor de Functionaris Gegevensbescherming van de betreffende verzekeraars. Immers, als er onrechtmatig gegevens verwerkt worden door een zorgverzekeraar doordat onterecht teveel gegevens zijn opgevraagd en verkregen, dan dient de FG daar actie op te ondernemen.

Kosteloos seminar: Materiële controles en AVG

Op 9 oktober a.s. zal in een 2 uur durend seminar stil gestaan worden bij de belangrijkste praktische vragen van materiële controles en de aanvullende vragen die de AVG oproept. Lees meer over het kosteloos seminar Materiële controles en AVG

Door: Karik van Berloo en Daniël Post – advocaten, zorgmakelaars en juridisch adviseurs bij Eldermans|Geerts

Lees meer over: Ondernemen, Thema A-Z, Wet- en regelgeving, Zorgverzekeringen