Een zorgverzekeraar mag niet zomaar (medische) persoonsgegevens van verzekerden opvragen bij niet-gecontracteerde zorgaanbieders. Zo oordeelde de Rechtbank Gelderland recent.
Niet-gecontracteerde zorgaanbieders dienen persoonsgegevens desgevraagd aan de verzekerde (dus niet de zorgverzekeraar) te verstrekken. De verzekerde kan dan de gegevens aan zijn zorgverzekeraar verstrekken.
Wanneer kan het wel rechtstreeks?
– Bij expliciete toestemming van de verzekerde kunnen de persoonsgegevens van de verzekerde rechtstreeks door de zorgaanbieder aan de zorgverzekeraar worden verstrekt.
– De verwerking moet noodzakelijk zijn voor het met een materiële controle gediende doel.
– Het doel kan niet op een andere wijze worden bereikt.
– Het doel kan niet worden bereikt op een wijze die de privacy van de (in dit geval) zorgverlener minder belast.
Belangrijk voor zorgaanbieders
De rechtbank oordeelt ook dat een zorgaanbieder bij het controleren door de verzekeraar van de bevoegd- en bekwaamheden van medewerkers niet slechts naar een kwaliteitsregister mag verwijzen. De verzekeraar mag, naast de naam en BIG-code, kopieën van de diploma’s van de indicatiestellers en de zorgverleners opvragen.