Zorgverzekeraars leven de privacyregeling ggz in het algemeen goed na. Ook biedt de interne organisatie van zorgverzekeraars voldoende waarborgen voor correcte verwerking van medische persoonsgegevens.
Dat schrijft de Nederlandse Zorgautoriteit (NZa) in het rapport ‘Zorgverzekeraars, controles en privacyvoorschriften’. Niettemin ziet de NZa ook verbeterpunten. Zo kunnen verschillende verzekeraars hun beleid, organisatie en communicatie rond de naleving van privacy-regels verder versterken. Het gaat bijvoorbeeld om een duidelijke beschrijving van de wijze waarop de privacyregeling ggz wordt uitgevoerd. Ook is het nuttig het privacy-beleid in één document vast te leggen.
Een andere aanbeveling is dat zorgverzekeraars zich open en aanspreekbaar opstellen richting zorgaanbieders bij de uitvoering van controles. Alle verzekeraars hebben positief op de aanbevelingen gereageerd, zo stelt de NZa, sommige verzekeraars hebben de aanbevelingen al opgevolgd.
NZa heeft het onderzoek uitgevoerd na signalen dat de privacyregeling niet goed werd nageleefd. Uiteindelijk bleek één verzekeraar de privacyregeling ggz niet goed uit te voeren, omdat er diagnose-informatie werd opgevraagd waar dat niet mocht. De NZa heeft deze verzekeraar hierop gewezen en verplicht om tot en met maart 2017 periodiek aan de NZa te rapporteren over de juiste uitvoering van de privacyregeling ggz.
Principiële bezwaren
Inzage in medische persoonsgegevens kan voor zorgverzekeraars nodig zijn om te controleren of de gedeclareerde zorg is geleverd, onderdeel is van de verzekering en of deze passend is. Medische persoonsgegevens zijn echter gevoelige gegevens en in beginsel alleen toegankelijk voor de direct betrokkenen: de patiënt en zijn arts. Daarom zijn medische gegevens voor verzekeraars beperkt toegankelijk. Daarnaast kunnen patiënten met principiële bezwaren gebruik maken van de privacyregeling. Dat betekent dat er op de declaratie geen diagnose-informatie staat vermeld. Daar is een door de verzekerde en de zorgaanbieder getekende privacyverklaring voor nodig, die aan de verzekeraar wordt overlegd. In 2014 maakten ongeveer 900 cliënten gebruik van een privacyverklaring.