Zorgverzekeraars Nederland Definitieve bevindingen Ambtshalve onderzoek aangaande toepassing Controle op Verzekering van VECOZO B.V.

Vergelijkbare documenten
Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd:

Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd:

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus EC Den Haag Ministeriële regeling afsluitingen

De Minister van Economische Zaken. Advies over de novelle behorende bij het wetvoorstel 31374

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

verklaring omtrent rechtmatigheid

Nederlands Instituut van Psychologen inzagerecht testgegevens

Definitieve bevindingen Centrale Huisartsenpost Gorinchem

De Minister van Veiligheid en Justitie. Postbus EH Den Haag. Advies wetsvoorstel toevoegen gegevens aan procesdossier minderjarige

Secretariaat De Eendracht (BETA) Voorafgaand onderzoek Verklaring omtrent rechtmatigheid Definitief besluit. Geachte A,

de Minister van VWS concept wetsvoorstel structurele maatregel wanbetalers

Op drie punten uit uw brief van 23 februari 2006 zal het CBP hieronder nog nader ingaan.

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

Winkelier. Winkelier creditcard; definitieve bevindingen

Stichting RDC. Informatieverplichting

De Minister van Volksgezondheid, Welzijn. Advies conceptwijziging Besluit gebruik BSN in de zorg

Definitieve bevindingen SPITZ Midden-Holland

In de werkgroep over DIS/TTP heeft het CBP in meerdere instanties nadrukkelijk op deze aandachtspunten gewezen.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking van screeningsgegevens van Curriculum Vitae Zeker B.V.; z

Bevindingen De bevindingen van het CBP luiden als volgt:

Bijgaand treft u het advies van het CBP aan. Het advies kan als volgt worden samengevat.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

de bank ambtshalve onderzoek de bank Definitieve Bevindingen

Het CBP voldoet hierbij aan dit verzoek. Kader

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Adecco Group Nederland; z

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

Arbodienst. Klacht; verzoeker/arbodienst

Op grond van de verstrekte informatie concludeert het CBP dat de FAD voornemens is het Protocol op een aantal punten te wijzigen.

De Staatssecretaris van Volksgezondheid, Welzijn en Sport. Postbus EJ DEN HAAG. Advisering Besluit langdurige zorg.

De minister van Sociale Zaken en Werkgelegenheid Wijziging in SZW wetgeving

Stichting Waarschuwingsregister Logistieke Sector. z Postbus KS ZOETERMEER

Definitieve bevindingen Rijnland ziekenhuis

De Minister van Sociale Zaken en Werkgelegenheid Wetgevingsadvies AMvB wijziging Besluit SUWI

de minister voor Jeugd en Gezin Ontwerpbesluit verwijsindex risicojongeren

De Staatssecretaris van Sociale Zaken en Werkgelegenheid. Postbus LV DEN HAAG. Wetgevingsadvies lagere regelgeving Quotumwet.

Afdeling Sociale Zaken Gemeente Bergen op Zoom

Universiteit Leiden Centrum voor Recht in de Informatiemaatschappij Postbus RA LEIDEN. privacyaspecten digitalisering cultureel erfgoed

De minister van Infrastructuur en milieu

Uit artikel 24 Wbp volgt dat het gebruik van wettelijke identificatienummers, zoals het BSN, een wettelijke grondslag moet hebben.

Vangnetregeling huursubsidie

Ministerie van Infrastructuur en Milieu. Advies concept wetsvoorstel Basisregistratie Ondergrond. Geachte,

Gelders Archief. Defintieve bevindingen inzake onderzoek Gelders Archief. Geachte,

Afdeling Sociale Zaken Gemeente Leidschendam-Voorburg

Cluster Sociale Dienstverlening Gemeente Haarlemmermeer

Afdeling Werk en Inkomen Gemeente Roosendaal

De Minister van Sociale Zaken en Werkgelegenheid Postbus LV Den Haag

Afdeling Sociale Zaken Gemeente Hilversum

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

Afdeling Werk en Inkomen Gemeente Enschede

Algemeen adres:

R e g i s t r a t i e k a m e r. ..'s-gravenhage, 4 mei Ons kenmerk 98.V Onderwerp standpunt over gegevensverstrekking

Afdeling Werk & Inkomen Gemeente Hulst

Team Werk en Inkomen Gemeente Deventer

Ons kenmerk z Onderwerp Wetgevingsadvies Tijdelijk besluit experiment vervroegde inzet no-risk polis

NVAB. A. ter Linden en N.M. van Seumeren

NBVA. 6 februari 2001diversemr. R. Wishaw, mw. mr. C. Zandee

Dienst Sociale Zaken en Werkgelegenheid Gemeente Rotterdam

De minister van Justitie De heer dr E.M.H. Hirsch Ballin Postbus EH Den Haag

Bestuurlijk Overleg Almere. onderzoek Digidoor; eindoordeel

Afdeling Sociale Zaken Gemeente Goes

Definitieve bevindingen MC/Lelystad

De minister van Veiligheid en Justitie. Postbus EH DEN HAAG. Wetgevingsadvies invoering flexibel cameratoezicht.

Ad 2. Verbetering regeling identiteitsvaststelling verdachten en veroordeelden Dit onderdeel van het wetsvoorstel bevat drie wijzigingen.

Inhoud van het wetsvoorstel

Minister van Financiën. Postbus EE Den Haag

de Minister van Sociale Zaken en Werkgelegenheid advies inzake concept-wetsvoorstel Invoeringswet Wet werk en inkomen naar arbeidsvermogen

ISD Optimisd Gemeenten Bernheze, Schijndel, Sint Michielgestel en Veghel

de Minister van Justitie de heer mr. E.H.M. Hirsch Ballin Postbus EH DEN HAAG

De Minister van Justitie

Op grond van de door verzoeker verstrekte informatie is de klacht als volgt geformuleerd:

De voorgestelde wijziging in artikel I B geven het CBP aanleiding tot het maken van de volgende op- en aanmerkingen.

De Staatssecretaris van Volksgezondheid, Welzijn en Sport

SCA Hygiene Products Zeist B.V. AANGETEKEND. Eindbrief onderzoek CBP. Geachte directie,

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Ook zet het CBP vraagtekens bij de noodzaak voor het van toepassing verklaren van het gehele hoofdstuk VIII van de AWBZ.

U heeft contact gezocht met het College bescherming persoonsgegevens (CBP) inzake het navolgende.

Het College bescherming persoonsgegevens (CBP) heeft een onderzoek gedaan naar aanleiding van de klacht bij brief van 10 maart 2006 A.

De Minister van Justitie

Afdeling Sociale Zaken en Werk Gemeente Groningen

POSTADRES BEZOEKADRES

KNVB. Woudenbergseweg AM ZEIST. Voorafgaand onderzoek Lijst 'Landelijk Voetbalverbod'; definitief besluit

31 mei 2012 z

Advies conceptwetsvoorstel Jeugd. Geachte,

z Rapport van definitieve bevindingen April 2011 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Protocol bescherming persoonsgegevens van de Trimclub ABC

Hieronder treft u het verloop van de zaak aan en de definitieve bevindingen van het CBP.

Gedragscode Persoonlijk Onderzoek. 21 december 2011

Privacy en letselschaderegeling

de Minister van VWS Graag vraag ik uw aandacht voor het volgende.

Klacht Op grond van de door verzoekster verstrekte gegevens is de klacht als volgt geformuleerd:

College bescherming persoonsgegevens. Rapport definitieve bevindingen

A Pensioen. Bij brief van 24 maart 1999 heeft u de Registratiekamer verzocht om een standpunt te geven over de volgende situatie.

College bescherming persoonsgegevens

College bescherming persoonsgegevens. Huisartsendienst Twente-Oost U.A. Rapport definitieve bevindingen

De Registratiekamer voldoet hierbij gaarne aan uw verzoek.

Klager bevindingen en beoordeling inzake klacht verzoeker/scholengemeenschap

College bescherming persoonsgegevens

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Transcriptie:

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Zorgverzekeraars Nederland DATUM 15 september 2008 CONTACTPERSOON 070-8888500 UW BRIEF VAN 23 juli 2008 UW KENMERK VERZ 2008 0122 ncre 1 B ONDERWERP Definitieve bevindingen Ambtshalve onderzoek aangaande toepassing Controle op Verzekering van VECOZO B.V. Geachte, Het College bescherming persoonsgegevens (CBP) heeft een onderzoek uitgevoerd naar de gegevensverwerking in het kader van de toepassing Controle Op verzekering (COV) die door VECOZO B.V. aan zorgverleners wordt aangeboden. Op grond van artikel 51 Wet bescherming persoonsgegevens (Wbp) ziet het CBP toe op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens de wet bepaalde. Op grond van artikel 60 Wbp kan het CBP een onderzoek instellen naar de wijze waarop ten aanzien van gegevensverwerkingen toepassing wordt gegeven aan het bepaalde bij of krachtens de wet. Verloop onderzoek Het CBP heeft bij brief van 25 februari 2008 VECOZO B.V. bericht dat het een onderzoek ging instellen naar de gegevensverwerking in het kader van de toepassing COV. Aanleiding voor het onderzoek was de publiciteit over het feit dat via deze toepassing mogelijk geheime adressen achterhaald zouden kunnen worden. In reactie op deze publiciteit heeft VECOZO B.V. op 14 december 2007 een tijdelijke maatregel getroffen. Besloten werd tijdelijk geen adres- en woonplaatsgegevens meer ter beschikking te stellen. Het oordeel in dit onderzoek ziet op de situatie dat wel adres- en woonplaatsgegevens via de toepassing COV aan zorgverleners verstrekt worden, de situatie derhalve van voor de tijdelijke maatregel. Het CBP heeft VECOZO B.V. in de brief van 25 februari 2008 een aantal vragen gesteld. Bij brief van 11 maart 2008 ontvangen op 26 maart 2008 heeft VECOZO B.V. op deze vragen geantwoord. Aangegeven werd dat de zorgverzekeraars verantwoordelijke in de zin van de Wbp zijn. Met VECOZO B.V. is een bewerkersovereenkomst in de zin van artikel 14 Wbp gesloten. Daarom heeft het CBP verdere correspondentie in dit onderzoek gericht aan Zorgverzekeraars Nederland, als vertegenwoordiger van de zorgverzekeraars. Op 14 april 2008 heeft het CBP aanvullende vragen aan Zorgverzekeraars Nederland gesteld. Hierop is op 25 april 2008 gereageerd. Op 9 juli 2008 heeft het CBP zijn voorlopige bevindingen van het huidige onderzoek schriftelijk aan ZN kenbaar gemaakt, waarop ZN op 23 juli 2008 schriftelijk heeft gereageerd. De inhoud van deze BIJLAGEN BLAD 1

reactie heeft niet geleid tot aanpassing van de voorlopige conclusie. Het CBP heeft zijn voorlopige conclusie dan ook overgenomen in zijn definitieve conclusie. Feiten De COV is een toepassing voor zorgverleners. Hiermee kunnen zij controleren of iemand verzekerd is, bij welke verzekeraar iemand verzekerd is en waarvoor iemand is verzekerd (hoofdverzekering en eventueel aanvullende verzekering). Deze toepassing faciliteert het elektronisch declareren. Bij deze applicatie wordt gebruik gemaakt van een beveiligde netwerkomgeving. Bevoegde en geautoriseerde zorgverleners krijgen toegang tot de applicatie. Via COV worden de volgende gegevens aan de zorgverlener getoond: Naam-, adres- en woonplaatsgegevens (NAW-gegevens) Geboortedatum AGB-code van de huisarts en naam huisarts (indien aanwezig) Zorgverzekeraar Verzekeringsnummer/relatienummer Hoofdverzekering met ingangsdatum en eventueel einddatum Aanvullende verzekering met ingangsdatum en eventueel datum van beëindiging Deze informatie wordt verstrekt omdat hiermee de verzekerden uniek geïdentificeerd kunnen worden. Gebleken is dat de zorgverleners met name in de grote steden waar veel mutaties plaatsvinden - moeite ondervinden met declareren als de adresgegevens niet verstrekt worden. Zolang de Wet gebruik BSN in de zorg nog niet bekrachtigd is, wordt het BSN/sofinummer niet getoond. Het is mogelijk bij een zorgverzekeraar te kiezen voor een geheim adres. Als de status geheim adres is aangevraagd, worden de adresgegevens van de verzekerden niet via de toepassing COV getoond. ZN geeft aan het als onaanvaardbaar te beschouwen als een bedreigd persoon zonder aanvullende waarborgen via zijn woonplaats of adresgegevens wordt getraceerd door degene tegen wie hij bescherming behoeft. De verzekeraars hebben maatregelen getroffen om het traceerbaarheidsrisico van een persoon behorend tot een kwetsbare groep af te dekken, aldus ZN. ZN acht het wenselijk aanvullend hierop een gedragsregel in de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars op te nemen zodat dergelijke zorgvuldigheidsmaatregelen een dwingend karakter krijgen. ZN geeft aan dat zorgverzekeraars veelal bepalingen in de polisvoorwaarden opnemen die betrokkenen informeren over de gegevensstromen in het kader van de toepassing COV. Daarnaast zou doorgaans het een en ander in het privacystatement beschreven worden. ZN kon geen voorbeelden van dergelijke passages in de polisvoorwaarden of het privacystatement van verzekeraars overleggen. ZN verzocht het CBP websites van zorgverzekeraars te raadplegen. Het CBP heeft websites van enkele zorgverzekeraars bezocht en concludeert dat er in de polisvoorwaarden en de privacystatements op die websites slechts heel algemeen wordt gesproken over hetgeen met de gegevens van verzekerden gebeurt. Geen informatie is gevonden BLAD 2

die duidelijk maakt dat naam-, adres- en woonplaatsgegevens van verzekerden door middel van deze toepassing voor een hele grote groep zorgverleners toegankelijk zijn. Juridisch kader Het juridisch kader voor deze gegevensverwerking wordt bepaald door de Wet bescherming persoonsgegevens (Wbp). Het onderzoek heeft zich gericht op de naleving van artikel 8 en artikel 33, Wbp. Grondslag Iedere verwerking van persoonsgegevens dient gebaseerd te zijn op ten minste één wettelijke grondslag. In artikel 8 Wbp zijn de mogelijke grondslagen limitatief opgesomd. De grondslag voor de gegevensverwerking ten behoeve van de verstrekking van verzekerdengegevens door de zorgverzekeraar aan zorgverleners kan gevonden worden in artikel 8, onder f Wbp. De zorgverzekeraar mag deze gegevens verstrekken aan de zorgverlener als dit noodzakelijk is voor het gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. Dit betekent dat enerzijds gekeken moet worden of de gegevensverwerking noodzakelijk is. Hierbij spelen de beginselen van proportionaliteit en subsidiariteit een belangrijke rol. Anderzijds moet beoordeeld worden of het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, niet prevaleert. Noodzakelijkheidseis De noodzakelijkheidseis impliceert een belangenafweging aan de hand van de omstandigheden van het concrete geval. Met andere woorden, staat de inbreuk op de persoonlijke levenssfeer van de betrokkene bij het gebruik van deze gegevens in verhouding tot het te beschermen belang van een ander en zijn er alternatieven. Op degene die persoonsgegevens verwerkt rust de plicht om een inbreuk op de persoonlijke levenssfeer van anderen te vermijden dan wel zo beperkt mogelijk te houden. De zorgverzekeraar zal zich er hierbij van moeten vergewissen dat deze gegevensverwerking noodzakelijk is voor het gerechtvaardigd belang van de zorgverzekeraars of de zorgverleners aan wie de gegevens worden verstrekt. Informatieplicht Artikel 33 Wbp omschrijft de informatieplicht die de verantwoordelijke heeft ten opzichte van de betrokkene als gegevens van hem worden verkregen. Vóór het verkrijgen van diens persoonsgegevens dient een betrokkene geïnformeerd te worden over de doeleinden van de verwerking. Tevens verstrekt de verantwoordelijke nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen, of het gebruik dat er van wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige gegevensverwerking te waarborgen. Een factor die hierbij van belang is, is dat de naam-, adresen woonplaatsgegevens aan zeer veel mensen verstrekt zullen worden. Alle zorgverleners hebben in beginsel toegang tot deze informatie. Het is daarom van groot belang dat de betrokkene hierover volledig geïnformeerd wordt. Dit stelt hem immers in staat om af te wegen of dit een al dan niet aanvaardbaar risico is. BLAD 3

Beoordeling Het CBP constateert op basis van het voorgaande een groot risico voor mensen die reden hebben hun adres af schermen en niet zijn geïnformeerd over de omvangrijke verstrekking van hun naam-, adres- en woonplaatsgegevens. Grondslag De grondslag voor de gegevensverwerking ten behoeve van de verstrekking van verzekerdengegevens door de zorgverzekeraar aan zorgverleners kan alleen gevonden worden in 8, onder f Wbp. De noodzakelijkheidseis die in artikel 8, onder f, Wbp besloten ligt, veronderstelt dat de verantwoordelijke op de onderstaande vragen (MvT, p 86) een bevredigend antwoord heeft, daarbij rekening houdend met de eisen van proportionaliteit en subsidiariteit: 1. Is er werkelijk een belang dat verwerking van persoonsgegevens rechtvaardigt? 2. Wordt met de verwerking een inbreuk gemaakt op belangen of fundamentele rechten van degene wiens gegevens worden verwerkt en zo ja, dient dan afhankelijk van de ernst van de inbreuk gegevensverwerking niet achterwege te blijven? 3. Kan het doel dat met de verwerking wordt nagestreefd ook langs andere weg zonder verwerking worden bereikt? 4. Is de verwerking in de mate als beoogd evenredig aan het nagestreefde doel? Ad 1 Gesteld kan worden dat de zorgverzekeraars en zorgverleners daadwerkelijk belang hebben bij deze gegevensverwerking. In het kader van rechtstreekse digitale declaratie door zorgverleners bij de zorgverzekeraar is het van belang een persoon uniek te kunnen identificeren en te controleren bij welke verzekeraar iemand waarvoor is verzekerd. Men dient er zeker van te zijn dat de gegevens van de patiënt op de juiste plaats worden gedeclareerd. Ad 2 Naam-, adres- en woonplaatsgegevens worden voor een zeer grote groep toegankelijk gemaakt. De brede verspreiding van deze gegevensset kan grote gevolgen hebben voor een betrokkene die reden heeft zijn verblijfsplaats geheim te houden. Alle aangesloten zorgverleners kunnen deze informatie immers raadplegen. Als iemand niet weet dat zijn gegevens op deze wijze door de zorgverzekeraar verstrekt worden, kan hij hier geen bezwaar tegen maken. Hij moet daarom expliciet geïnformeerd worden over de gegevensverwerking. De gegevensverwerking dient achterwege te blijven als iemand een geheim adres aanvraagt omdat hij in een risicovolle situatie verkeert. Ad 3 In december 2007 bestond er geen mogelijkheid deze gegevensverwerking op een andere, minder ingrijpende wijze te laten plaatsvinden. Het CBP is van oordeel dat de gegevensset die verstrekt werd uitgebreid is, maar uit de reacties van de zorgverleners blijkt dat het voor het optimaal laten BLAD 4

functioneren van het elektronisch declareren nodig is ook de naam-, adres- en woonplaatsgegevens te verstrekken. Ad 4 Het is niet aannemelijk dat de verwerking in december 2007 op minder ingrijpende wijze kon plaatsvinden. Wel konden aanvullende waarborgen getroffen worden - zoals het goed informeren van de betrokkene - om de mogelijke negatieve gevolgen voor de betrokkene te verkleinen. Deze waarborgen dienen getroffen te worden. Het bovenstaande leidt tot het oordeel dat er in december 2007 alleen een geldige grondslag voor de gegevensverstrekking in het kader van de toepassing COV is te vinden als betrokkenen zorgvuldig waren geïnformeerd over het feit dat hun gegevens op deze wijze beschikbaar gesteld worden. Dit stelt betrokkenen immers in staat om, als hun individuele situatie hier aanleiding toe geeft, bezwaar te maken tegen de gegevensverwerking. Gezien het voorgaande handelen zorgverzekeraars in strijd met artikel 8 Wbp indien zij betrokkenen onvoldoende informeren over het via de toepassing COV beschikbaar stellen van hun naam-, adres- en woonplaatsgegevens aan andere zorgverleners Informatieplicht Uit de verkregen informatie en uit het bezoeken van websites van enkele zorgverzekeraars is niet gebleken dat zorgverzekeraars betrokkenen voldoende informeren over gegevensverstrekking in het kader van de toepassing COV. Betrokkenen kunnen in dat geval eigenlijk niet weten dat hun naam-, adres- en woonplaatsgegevens op deze wijze beschikbaar gesteld worden aan een grote groep zorgverleners. Iets dat wel noodzakelijk is om een zorgvuldige gegevensverwerking te waarborgen. Zorgverzekeraars handelen in strijd met artikel 33 Wbp indien zij betrokkenen onvoldoende informeren over gegevensverstrekking in het kader van de toepassing COV. Conclusie Zorgverzekeraars handelen middels de toepassing Controle op Verzekering in strijd met artikel 8 en 33 van de Wbp indien zij betrokkenen onvoldoende informeren over gegevensverstrekking in het kader van de toepassing COV. Hoogachtend, Het College bescherming persoonsgegevens, Voor het College, mw. mr. dr. J. Beuving collegelid BLAD 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback