Uitspraak
RECHTBANK AMSTERDAM
Bestuursrecht
zaaknummer: AMS 12/984
uitspraak van de meervoudige kamer in de zaak tussen
[naam], gevestigd te Amsterdam, eiseres
(gemachtigde: mr. A. van Eldijk),
en
het College Bescherming Persoonsgegevens (CBP), verweerder
(gemachtigde mr. H.A.H.D. de Vries).
Tevens heeft als belanghebbende aan het geding deelgenomen:
de Vereniging Zorgverzekeraars Nederland (ZN),
gevestigd te Zeist
(gemachtigde: mr. P. Algra).
Procesverloop
Bij besluit van 13 december 2011 (het bestreden besluit), bekend gemaakt door publicatie in de Staatscourant op 10 januari 2012 (2012, nr. 401), heeft verweerder de Gedragscode Verwerking persoonsgegevens Zorgverzekeraars (hierna: de Gedragscode) met bijbehorend Protocol Materiële Controle (hierna: het Protocol) van Zorgverzekeraars Nederland goedgekeurd.
Eiseres heeft tegen dit besluit beroep ingesteld.
Verweerder heeft een verweerschrift ingediend.
Het onderzoek ter zitting heeft plaatsgevonden op 21 februari 2013. Eiseres is vertegenwoordigd door haar gemachtigde. Verweerder is vertegenwoordigd door zijn bovengenoemde gemachtigde en mr. L.F. Markestein. Belanghebbende is eveneens vertegenwoordigd door haar gemachtigde.
De rechtbank heeft op grond van artikel 8:64 van de Algemene wet bestuursrecht (Awb) het onderzoek ter zitting geschorst en het vooronderzoek heropend om de gemachtigde van eiseres in de gelegenheid te stellen nadere stukken over te leggen en de gemachtigde van verweerder de gelegenheid te bieden te reageren op het nader beroepschrift van eiseres.
Nadat partijen de rechtbank toestemming hebben verleend zonder nadere zitting uitspraak te doen, heeft de rechtbank het onderzoek gesloten.
Overwegingen
1.1 Belanghebbende heeft verweerder op 29 december 2010 verzocht om afgifte van een verklaring als bedoeld in artikel 25 van de Wet bescherming persoonsgegevens (Wbp) voor de Gedragscode met het bijbehorend Protocol Materiële Controle.
1.2 Verweerder heeft bij ontwerpbesluit van 5 juli 2011 het voornemen bekend gemaakt te verklaren dat de Gedragscode een juiste uitwerking vormt van de Wbp en andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens. Het ontwerpbesluit, het verzoek van belanghebbende en de Gedragscode met de daarbij behorende toelichting hebben op grond van afdeling 3.4 van de Awb gedurende zes weken ter inzage gelegen. Daarvan is kennis gegeven in de Staatscourant van 13 juli 2011 (2011, nr 12593).
1.3 Eiseres heeft op 20 augustus 2011 een zienswijze tegen het ontwerpbesluit van 5 juli 2011 ingediend. Naar aanleiding van die zienswijze heeft belanghebbende een tweetal wijzigingen in de Gedragscode en de toelichting daarop aangebracht.
2.1 Verweerder heeft zich in het bestreden besluit op het standpunt gesteld dat de Gedragscode en het bijbehorend Protocol, gelet op de bijzondere kenmerken van de sector, een juiste uitwerking vormt van de Wbp en andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens. Daarbij heeft verweerder overwogen dat de Gedragscode gedragsregels voor zorgverzekeraars formuleert om een zorgvuldige omgang met persoonsgegevens betreffende iemands gezondheid te waarborgen.
2.2 Eiseres heeft zich op het standpunt gesteld dat verweerder ten onrechte een goedkeurende verklaring heeft afgegeven met betrekking tot de Gedragscode en het daarbij behorend Protocol. Verweerder heeft de bezwaren van eiseres onjuist beoordeeld. De Gedragscode voorziet ten onrechte niet in restrictieve, verbijzonderende afwijkende bepalingen voor de vermelding van medische persoonsgegevens op de declaratie. Eiseres keert zich met name tegen de verplichting voor zorgverleners bij de behandeling van psychische klachten op de declaratie diagnose-informatie te vermelden. De gedragscode maakt niet-gelegitimeerde inbreuken op vertrouwelijkheid en privacy bij de behandeling van psychische klachten mogelijk, aldus eiseres.
3.1 Op deze zaak is, gelet op het overgangsrecht van deel C, artikel 1, van de Wet aanpassing bestuursprocesrecht, de Awb van toepassing zoals deze wet luidde tot en met 31 december 2012. Het in beroep bestreden besluit is namelijk bekend gemaakt vóór 1 januari 2013.
3.2 Op grond van artikel 16 van de Wbp is de verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging verboden behoudens het bepaalde in deze paragraaf. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
3.3 Op grond van artikel 23, eerste lid, aanhef en onder f, van de Wbp is, onverminderd de artikelen 17 tot en met 22, het verbod om persoonsgegevens als bedoeld in artikel 16 te verwerken niet van toepassing voor zover dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het CBP ontheffing heeft verleend. Het CBP kan bij de verlening van ontheffing beperkingen en voorschriften opleggen.
3.4 Op grond van artikel 25, eerste lid, van de Wbp kunnen de organisatie of organisaties, die voornemens zijn een gedragscode vast te stellen, het CBP verzoeken te verklaren dat de daarin opgenomen regels, gelet op de bijzondere kenmerken van de sector of sectoren van de samenleving waarin deze organisaties werkzaam zijn, een juiste uitwerking vormen van deze wet of van andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens. Indien een gedragscode voorziet in beslechting van geschillen over de naleving ervan, kan het CBP de verklaring slechts afgeven indien is voorzien in waarborgen met betrekking tot de onafhankelijkheid.
4.1 Verweerder heeft zich in het nader verweerschrift van 11 oktober 2012 allereerst op het standpunt gesteld dat het beroep van eiseres niet-ontvankelijk dient te worden verklaard omdat niet is voldaan aan het vereiste dat het beroepschrift gronden bevat zoals neergelegd in artikel 6:5, eerste lid, van de Awb. De rechtbank volgt verweerder daarin niet. Bij brief van 31 maart 2012 heeft eiseres de rechtbank verzocht om een termijn voor het indienen van de gronden van het beroep. Abusievelijk heeft de rechtbank eiseres bij brief van 24 april 2013 bericht dat het beroepschrift gronden bevat en dat daarom het stellen van een termijn voor het indienen van gronden niet nodig is. Uit het dossier blijkt dat de rechtbank bij brief van 22 mei 2012 eiseres alsnog in de gelegenheid heeft gesteld om binnen vier weken de gronden van het beroep aan de rechtbank toe te sturen. Gebleken is dat deze brief, die niet aangetekend aan eiseres is verzonden, eiseres niet heeft bereikt. Bij brief van 13 augustus 2012 heeft de rechtbank eiseres alsnog in de gelegenheid gesteld binnen vier weken de gronden van het beroep in te dienen. Daarop heeft eiseres bij brief van 15 augustus 2012 de gronden van het beroep bij de rechtbank ingediend. Daarmee heeft eiseres naar het oordeel van de rechtbank voldaan aan het vereiste het beroep van gronden te voorzien.
4.2.1 Voor zover verweerder zich op het standpunt heeft gesteld dat geen procesbelang resteert bij de beoordeling van het onderhavige geschil nu de formele en materiële controle inmiddels is neergelegd in de Regeling zorgverzekering en niet langer afhankelijk is van zelfregulering en een goedkeuringsprocedure op grond van de Wbp, overweegt de rechtbank als volgt.
4.2.2 Verweerder heeft naar voren gebracht dat artikel 87 van de Zorgverzekeringswet de wettelijke grondslag biedt voor de Regeling zorgverzekering waarin de verwerking van persoonsgegevens bij de materiële controle is geformaliseerd.
4.2.3 Artikel 87, eerste en tweede lid, van de Zvw en artikel 68a, eerste en tweede lid, van de Wmg bevatten een algemene verplichting van zorgaanbieders om aan de zorgverzekeraar en de verzekerde de persoonsgegevens van de verzekerde, waaronder persoonsgegevens betreffende de gezondheid, te verstrekken, die noodzakelijk zijn voor de uitvoering van de verzekering of de wet. In deze bepalingen is niet nader gespecificeerd welke persoonsgegevens noodzakelijk zijn voor de uitvoering van de verzekering of de wet.
Artikel 7.2, in samenhang met artikel 7.1 van de Regeling zorgverzekering, bevat een uitwerking van de voor de uitvoering van de Zvw noodzakelijke persoonsgegevens. Daaronder vallen de prestatiebeschrijving van de aan de verzekerde geleverde prestatie wanneer de prestatie is geleverd en de gegevens die noodzakelijk zijn om vast te stellen of de prestatie behoort tot het verzekerde pakket van de verzekerde. Een verplichting om diagnose-informatie te verstrekken blijkt niet met zoveel woorden uit deze bepalingen.
De rechtbank stelt vast dat de Gedragscode een uitwerking vormt van de wettelijke regelingen en een ruimer terrein bestrijkt. De vraag welke verplichtingen voortvloeien uit artikel 87 van de Zvw is in de onderhavige procedure niet aan de orde. De vraag die in deze procedure wel aan de orde is, is of de Gedragscode een juiste uitwerking vormt van de Wbp en andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens.
De rechtbank stelt vast dat de Gedragscode een uitwerking vormt van de wettelijke regelingen en een ruimer terrein bestrijkt. De vraag welke verplichtingen voortvloeien uit artikel 87 van de Zvw is in de onderhavige procedure niet aan de orde. De vraag die in deze procedure wel aan de orde is, is of de Gedragscode een juiste uitwerking vormt van de Wbp en andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens.
4.2.4 Inmiddels heeft de Nederlandse Zorgautoriteit (NZa) de Regeling Declaratiebepalingen DBC’s in de curatieve GGZ vastgesteld. Verweerder heeft zich op het standpunt gesteld dat het procesbelang voor eiseres met die vaststelling is komen te vervallen. In de Regeling Declaratiebepallingen DBC’s wordt immers onder meer voorgeschreven welke gegevens met betrekking tot de geleverde zorg op de factuur moet worden vermeld. Zo dienen de zorgaanbieders op de declaraties de declaratiecode volgens de NZa-tariefgroepen te hanteren alsmede een DBC-prestatiecode ter specificatie van het geleverde zorgproduct. Verder dient van de geleverde zorg voor de cliënt een lekenomschrijving te worden opgenomen op de factuur. Daarnaast heeft de NZa in voornoemde regeling voorzien in een uitzondering op deze verplichtingen. Die uitzondering houdt in dat deze verplichtingen niet van toepassing zijn voor zover deze bepalingen zien op de tot de diagnose herleidbare gegevens en de cliënt en de zorgaanbieder gezamenlijk een verklaring hebben ondertekend. Tenslotte is geregeld dat de verplichtingen evenmin van toepassing zijn op de zogenoemde zelfbetalers. Dit naar aanleiding van de uitspraken van het College van Beroep voor het bedrijfsleven (CBB) van 2 augustus 2010 (ECLI:NL:CBB:2010:BN3056) en van 8 maart 2012 (ECLI:NL:CBB:2012:BV8297) in de beroepsprocedures van onder meer eiseres inzake een tariefbeschikking van de NZa. Nu door de NZa in de Regeling Declaratiebepalingen DBC’s is tegemoetgekomen aan de principiële bezwaren die eiseres mede in het kader van de onderhavige goedkeuringsprocedure heeft aangevoerd zijn met name de bezwaren met betrekking tot het vermelden van bijzondere persoonsgegevens op declaraties ondervangen, aldus verweerder.
4.2.5 Eiseres heeft in dat verband aangevoerd dat de door de NZa getroffen regeling naar aanleiding van de uitspraken van de CBB onjuist en onvolledig was en bijgevolg niet effectief waar het ging om de uitwisseling van diagnose-informatie op de declaratie. Verder is van belang dat, indien geen effectief gebruik wordt gemaakt van de uitzonderingsregeling, de Gedragscode bepalend is voor de bescherming van gegevens betreffende patiënten in de GGZ. Daar komt bij dat verweerder voorbij gaat aan de inbreuk die materiële controleprocedures zoals die in de Gedragscode zijn geregeld vormen op de privacy van de patiënt en op het beroepsgeheim van de zorgverlener, aldus eiseres.
4.2.6 Bepalingen in een Gedragscode kunnen verder gaan dan de verplichtingen die rechtstreeks voortvloeien uit wet en regelgeving. De rechtbank stelt vast dat uit de Memorie van Toelichting bij de Wbp naar voren komt dat een gedragscode een vertaling dient te zijn van de wettelijke normen naar de informatiepraktijk van de betrokken sector en vooral op die punten waar de behoefte aan meer concrete waarborgen zich het meest voordoet. De algemene en flexibele normen van de wet dienen in een gedragscode een nauwkeuriger vertaling te krijgen in het licht van de desbetreffende sector. Dat betekent dat ook in dit verband de vraag aan de orde is of de Gedragscode een juiste uitwerking vormt van de Wbp en andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens. Naar het oordeel van de rechtbank heeft eiseres dan ook procesbelang bij een toetsing van de Gedragscode aan artikel 25, eerste lid, van de Wbp.
4.3.1 Eiseres heeft naar voren gebracht dat geen sprake is van een zelfstandige Gedragscode. Artikel 3.2.3 van de Gedragscode Financiële Instellingen bevat immers een voorrangsbepaling op grond waarvan de Gedragscode Financiële Instellingen tevens betrekking heeft op de verwerking van bijzondere, medische persoonsgegevens in de zorg. Voor een zelfstandige Gedragscode Zorgverzekeraars is het dan ook noodzakelijk dat artikel 3.2.3 buiten werking wordt gesteld, aldus eiseres.
4.3.2 Verweerder heeft zich daar tegenover op het standpunt gesteld dat daar waar voorheen voor zorgverzekeraars aanvullende gedragsregels in de vorm van een addendum bij de bestaande Gedragscode voor Financiële Instellingen golden de onderhavige Gedragscode een zelfstandig karakter heeft.
4.3.3 De rechtbank overweegt dat in deze procedure de goedkeuring van de hier voorliggende Gedragscode Zorgverzekeraars aan de orde is. Dat ook nog sprake zou zijn van andere gedragscodes waaraan zorgverzekeraars eveneens gebonden zijn is voor de beoordeling van het onderhavige goedkeuringsbesluit niet relevant. Daarbij neemt de rechtbank in aanmerking dat namens ZN is aangevoerd dat de Gedragscode uitsluitend in het leven is geroepen ten behoeve van de leden van ZN en dat alle zorgverzekeraars lid zijn van ZN. Sommige zorgverzekeraars maken echter ook deel uit van een multifunctioneel concern en zijn uit dien hoofde soms ook lid van het Verbond van Verzekeraars. Die zorgverzekeraars zijn dan ook aan twee gedragscodes gebonden. Met het oog daarop is overeengekomen dat indien een tegenstrijdigheid bestaat tussen beide gedragscodes, de Gedragscode van ZN voorrang heeft voor de zorgverzekeringsactiviteiten. Naar het oordeel van de rechtbank kan niet gezegd worden dat op dit punt sprake is van een onjuiste uitvoering van de Wbp. Deze grond van eiseres slaagt niet.
4.4.1 Eiseres heeft aangevoerd dat - in weerwil van het advies van verweerder - is nagelaten om de criteria voor de beoordeling van de proportionaliteit van de getrapte controle procedures in de Regeling zorgverzekering transparant uit te werken. Bepalingen, procedures en praktijken beschreven in de Gedragscode die een doorbreking vergen van het medisch beroepsgeheim van zorgverleners dan wel een inbreuk vormen op de privacy van patiënten moeten gelegitimeerd kunnen worden door verwijzing naar een wettelijke regeling. In de Regeling zorgverzekering wordt met name het proportionaliteitsvereiste onvoldoende uitgewerkt. Daarmee is de Regeling zorgverzekering in strijd met de Wbp en artikel 8 van het EVRM en is er geen basis voor goedkeuring van de Gedragscode.
4.4.2 Verweerder heeft zich op het standpunt gesteld dat ten gevolgde van de wijziging in de systematiek van de Regeling zorgverzekering de aanwezigheid van een door verweerder van een goedkeurende verklaring voorziene Gedragscode niet langer noodzakelijk is voor de rechtmatigheid van het bij materiële controle uitvoeren van detailcontrole. Daarbij heeft verweerder het standpunt ingenomen dat, voor zover eiseres meent dat in de Regeling zorgverzekering onvoldoende gevolg is gegeven aan de adviezen van verweerder, een procedure inzake de goedkeuring van de Gedragscode zich niet leent om bezwaar te maken tegen de Regeling zorgverzekering. De Regeling zorgverzekering voorziet in de vereiste grondslag voor verwerking van medische persoonsgegevens ten behoeve van materiële controle en de Gedragscode is daarmee in overeenstemming, aldus verweerder.
4.4.3 De rechtbank oordeelt als volgt. Voor zover de beroepsgronden van eiseres gericht zijn tegen de tekst van de Regeling zorgverzekering, opgenomen in de Gedragscode, kan dat beroep niet slagen nu de Gedragscode in zoverre geen uitwerking is van de wettelijke regeling. De Regeling zorgverzekering vormt de wettelijke basis voor de Gedragscode voor zover materiële controle is toegestaan. Voor zover het beroep van eiseres zich richt tegen de Regeling zorgverzekering is de rechtbank van oordeel dat dat beroep niet kan slagen nu de Regeling zorgverzekering niet ter beoordeling voorligt. De gemachtigde van verweerder heeft ter zitting desgevraagd uitgelegd dat het juist is dat in de Gedragscode zowel de letterlijke tekst van wet en regelgeving is opgenomen als de uitwerking daarvan. De rechtbank ziet dan ook geen aanleiding voor het oordeel dat het opnemen van de wettelijke bepaling in de Gedragscode onjuist is. Deze grond slaagt niet.
4.5.1 Eiseres heeft aangevoerd dat verweerder ten onrechte geen uitwerking heeft gegeven aan het oordeel van het CBB in de uitspraak van 2 augustus 2010. In de brief van verweerder aan het ministerie van Volksgezondheid, Welzijn en Sport (VWS) van 6 december 2006 heeft verweerder in het kader van de beoordeling van de DBC-declaratiestructuur in de GGZ het standpunt ingenomen dat het voorstel van het ministerie van VWS een substantiële aantasting inhoudt van de persoonlijke levenssfeer van GGZ-patiënten. Met het oog daarop had de Gedragscode moeten voorzien in een afwijkende, verbijzonderende regeling voor de vermelding van medische persoonsgegevens op de declaratie. Het standpunt van verweerder dat de uitspraken van het CBB inzake de tariefbeschikking van de NZa met betrekking tot de declaratiemethode slechts zien op de taken en verantwoordelijkheden van de NZa is onjuist volgens eiseres. Het CBB heeft ook geoordeeld dat diagnose-informatie bij de behandeling van psychische klachten aan de kern van het privé-leven van patiënten raakt en van zwaarwegend belang is voor zowel de patiënt als voor de zorgverlener. Het oordeel van het CBB dat het zwaarwegende belang van privacy en vertrouwelijkheid bij de behandeling van psychische klachten opweegt tegen het belang dat zorgverzekeraars hebben bij het verkrijgen van diagnose-informatie via de declaratieprocedures was niet alleen gebaseerd op overwegingen met betrekking tot proportionaliteit maar ook op overwegingen met betrekking tot subsidiariteit en had moeten worden meegenomen bij de bepalingen voor de geestelijke gezondheidszorg in de Gedragscode, aldus eiseres.
4.5.2 Verweerder heeft zich op het standpunt gesteld dat, anders dan eiseres meent, het oordeel van het CBB inzake de tariefbeschikking van de NZa in de onderhavige goedkeuringsprocedure geen rol speelt.
4.5.3 De rechtbank stelt vast dat het CBB in de al genoemde uitspraak van 2 augustus 2010 heeft geoordeeld dat het verstrekken aan zorgverzekeraars van diagnose-informatie over individuele patiënten inbreuk maakt op de medische privacy van die patiënten, waarbij het gaat om diagnoses die de kern van het privé-leven van de betrokken persoon raken, zodat informatie hierover zeer privacygevoelig is. Daar komt bij dat vertrouwelijkheid en geheimhouding bij de behandeling van psychische klachten van groot belang zijn. Weliswaar wordt het belang van beschikbaarheid van diagnose-informatie onderkend, maar dat betekent niet dat dit in alle gevallen de noodzaak meebrengt dat diagnose-informatie op declaraties wordt vermeld en onder ogen komt van personen voor wie geen medisch beroepsgeheim geldt en die niet onder medisch tuchtrecht vallen. Het CBB heeft overwogen dat het opleggen van een verplichting diagnose-informatie te verstrekken aan zorgverzekeraars, als uitgangspunt voor de elektronische verwerking van het declaratieverkeer tussen zorgverlener en zorgverzekeraar, in beginsel niet onrechtmatig behoeft te zijn, mits daarbij uitzonderingsmogelijkheden zijn ingebouwd.
4.5.4 Met eiseres is de rechtbank van oordeel dat verweerder dit oordeel van het CBB met betrekking tot de betekenis van privacy, vertrouwelijkheid en beroepsgeheim bij de behandeling van psychische klachten had moeten betrekken bij de verbijzondering van bepalingen voor de geestelijke gezondheidszorg in de Gedragscode. Tevens had het op de weg van verweerder gelegen daar de mogelijkheid om uitzonderingsbepalingen op te nemen bij te betrekken. Met die uitzonderingen kan dan worden afgeweken van die verplichting tot verstrekking van diagnose informatie, rekening houdend met de inbreuk op de vertrouwelijkheid en geheimhouding. Daarbij acht de rechtbank met name van belang dat gelet op het bepaalde in artikel 25 van de Wbp op verweerder de taak van toezichthouder op naleving van de Wbp rust. De Gedragscode betreft immers een regeling van de zorgverzekeraars over de wijze waarop de persoonsgegevens worden geregistreerd. De rechtbank neemt daarbij tevens in aanmerking dat het individuele belang dat gemoeid is met eerbiediging van het privéleven als grondrecht is verankerd in artikel 8 van het Verdrag ter bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) en dat de privacygevoelige gegevens waar het hier om gaat een bijzondere bescherming vergen, zoals het CBB heeft overwogen in de uitspraak van 8 maart 2012. De Gedragscode dient voor een ieder transparant te zijn ten aanzien van de waarborgen voor het op juiste wijze verwerken van de persoonsgegevens in de systemen. De rechtbank stelt vast dat de Gedragscode geen uitzonderingsregels zoals hiervoor genoemd bevat en daarmee onvoldoende waarborgen zoals hiervoor bedoeld. Daarmee bestaat de mogelijkheid dat de geheimhoudingsplicht ten aanzien van gezondheidsgegevens niet wordt nageleefd wanneer die gegevens worden ingevoerd in een gedigitaliseerd systeem. Daarbij acht de rechtbank van belang dat digitale verwerking van persoonsgegevens de mogelijkheid met zich brengt dat derden tot die gegevens toegang krijgen en de gegevens bijvoorbeeld gebruikt kunnen worden voor marketingdoeleinden waarmee de doelbinding onvoldoende is verzekerd. De beroepsgrond slaagt.
4.6.1 Eiseres heeft aangevoerd dat in de Gedragscode de noodzakelijkheid van de verwerking van bijzondere medische persoonsgegevens niet is aangetoond. Verder laat de Gedragscode volgens eiseres ruimte voor het gebruik van medische persoonsgegevens bij marketingactiviteiten. Daarbij heeft eiseres zich op het standpunt gesteld dat het opnemen van zorgbemiddeling in de Gedragscode moet worden aangemerkt als een vorm van ‘functioncreep’.
4.6.2 Verweerder heeft hier tegenover aangevoerd dat het verwerken van persoonsgegevens in het kader van een formele en materiële controle met de wijziging van de Regeling zorgverzekering wettelijk verankerd is. Voor het verwerken van persoonsgegevens is dan ook een wettelijke grondslag aanwezig. Bij het vaststellen van de regelingen heeft een toetsing aan het noodzakelijkheids- en rechtvaardigheidsvereiste al plaatsgevonden en deze hoeft in het kader van het goedkeuren van de Gedragscode niet nogmaals plaats te vinden. Uit artikel 3 en 4 van de Gedragscode blijkt dat de verwerking van persoonsgegevens is gekoppeld aan bepaalde doelen en bijbehorende werkprocessen. De verwerking van persoonsgegevens door de zorgverzekeraar vindt plaats op grond van artikel 3.3 van de Gedragscode met inachtneming van de beginselen voor verwerking van persoonsgegevens. Ook blijkt uit artikel 3.4 van de Gedragscode dat moet zijn voldaan aan het noodzakelijkheidcriterium van artikel 8 van de Wbp. Verweerder betwist dan ook dat de Gedragscode het risico van ‘function creep’ met zich brengt.
4.6.3 De rechtbank volgt verweerder niet in het standpunt dat voor het verwerken van medische persoonsgegevens voldoende waarborgen zijn neergelegd in wet- en regelgeving. Daarbij neemt de rechtbank in aanmerking dat, zoals hiervoor is overwogen, de Gedragscode geen uitzonderingsregels bevat die de vertrouwelijkheid en geheimhouding bij de behandeling van psychische klachten waarborgen. Met eiseres is de rechtbank van oordeel dat de uitzonderingsbepaling met betrekking tot het doelbindingsbeginsel zoals die is opgenomen in artikel 3.13 van de Gedragscode onvoldoende is gespecificeerd. In dit artikel is onvoldoende duidelijk uitgewerkt door wie het doelbindingsbeginsel opzijgezet kan worden. De omstandigheid dat, zoals verweerder stelt, de tekst van artikel 3.13 van de Gedragscode waarin is neergelegd dat in uitzonderlijke situaties kan worden afgeweken van de vereiste doelbinding in overeenstemming is met artikel 43 van de Wbp maakt dat niet anders. De beroepsgrond slaagt.
4.7.1 Eiseres heeft aangevoerd dat voor de in de Gedragscode geïntroduceerde functionele eenheden voor verschillende nieuwe bedrijfsprocessen de onderbouwing, motivering, legitimering en uitwerking ontbreekt waardoor een ondoorzichtig labyrint van Chinese muren ontstaat.
4.7.2 Verweerder stelt zich op het standpunt dat het koppelen van de verwerking van persoonsgegevens aan specifieke bedrijfsprocessen en bedrijfsonderdelen duidelijkheid schept en een nadere borging van de privacy betekent omdat ongeautoriseerd gebruik daardoor voorkomen wordt.
4.7.3 De rechtbank heeft hiervoor geoordeeld bevat de Gedragscode onvoldoende waarborgen bevat dat de persoonsgegevens op juiste wijze in de systemen worden verwerkt. Dit betekent dat de rechtbank verweerder niet volgt in het standpunt dat met het koppelen van de verwerking van persoonsgegevens aan specifieke bedrijfsprocessen en bedrijfsonderdelen ongeautoriseerd gebruik van de persoonsgegevens wordt voorkomen. De daardoor opgeworpen ‘Chinese muren’ zijn daartoe onvoldoende. Deze grond slaagt.
4.8.1 Eiseres heeft aangevoerd dat op grond artikel 3.10 van de Gedragscode het opleggen van heldere, transparante en eenduidige verplichtingen aan bewerkers niet mogelijk is. In artikel 3.10 van de Gedragscode is neergelegd dat zorgverzekeraars gerechtigd zijn om bij de verwerking van persoonsgegevens gebruik te maken van een bewerker.
4.8.2 Verweerder heeft zich op het standpunt gesteld dat de wijze waarop feitelijk uitvoering wordt gegeven aan de Gedragscode niet in de onderhavige goedkeuringsprocedure voorligt en dat daartoe andere rechtsmiddelen openstaan.
4.8.3 Het oordeel van de rechtbank dat de noodzakelijkheid en de doelbinding in de Gedragscode onvoldoende zijn uitgewerkt betekent dat ook de aan de verwerkers op te leggen verplichtingen nader dienen te worden omschreven in de Gedragscode. Deze grond slaagt.
4.9.1 Eiseres heeft aangevoerd dat het beginsel van doelbinding wordt aangetast bij de verwerking van medische gegevens onder verantwoordelijkheid van een medisch adviseur met een beroepsgeheim zoals geregeld in de Gedragscode. De medisch adviseurs zijn verantwoordelijk voor de verwerking en gebruik van medische gegevens door medewerkers van functionele bedrijfseenheden bij zorgverzekeraars die een geheimhoudingsverklaring hebben ondertekend. Dat betekent volgens eiseres een uitholling van artikel 16 van de Wbp omdat het daarmee mogelijk wordt dat een onbepaalde groep medewerkers medische gegevens gaan verwerken en gebruiken onder verantwoordelijkheid van een enkele medisch adviseur die gehouden is aan het beroepsgeheim.
4.9.2 Verweerder heeft zich op het standpunt gesteld dat de noodzakelijkheid en legitimiteit wettelijk is verankerd in de Regeling zorgverzekering, de Zvw, de Algemene wet bijzondere ziektekosten en de Wet marktordening gezondheidszorg. Het invoeren van een constructie waarbij medewerkers onder de verantwoordelijkheid van een medisch adviseur persoonsgegevens verwerken maakt dat volgens verweerder niet anders.
4.9.3 De rechtbank is met eiseres van oordeel dat de Gedragscode niet voldoende waarborgen bevat om te voorkomen dat de medische persoonsgegevens onder ogen van anderen komen. Daarbij neemt de rechtbank in aanmerking dat de goedkeuring van de Gedragscode verstrekkende gevolgen heeft voor de privacy van patiënten en het beroepsgeheim van zorgverleners. Tevens acht de rechtbank in dit verband van belang dat het CBB in de uitspraak van 2 augustus 2010 heeft geoordeeld dat de verwerking van diagnose-informatie die betrekking heeft op de behandeling van psychische klachten door personeel van zorgverzekeraars dat niet gehouden is aan het medisch beroepsgeheim onvoldoende recht doet aan het belang van de patiënten. Deze grond slaagt.
4.10.1 Een aantal van de gronden van eiseres slaagt. De rechtbank oordeelt dat verweerder , mede gelet op het bepaalde in artikel 8 van het EVRM, in redelijkheid niet tot goedkeuring van de Gedragscode heeft kunnen overgaan. Het beroep is gegrond en de rechtbank vernietigt het bestreden besluit. De rechtbank ziet geen aanleiding de rechtsgevolgen van het bestreden besluit in stand te laten of zelf in de zaak te voorzien. Verweerder zal daarom een nieuw besluit moeten nemen met inachtneming van deze uitspraak. De rechtbank stelt hiervoor een termijn van zes weken.
4.10.2 Omdat de rechtbank het beroep gegrond verklaart, bepaalt de rechtbank dat verweerder aan eiseres het door haar betaalde griffierecht vergoedt.
De rechtbank veroordeelt verweerder in de door eiseres gemaakte proceskosten. Deze kosten stelt de rechtbank op grond van het Besluit proceskosten bestuursrecht voor de door een derde beroepsmatig verleende rechtsbijstand vast op € 944,- (1 punt voor het indienen van het beroepschrift, 1 punt voor het verschijnen ter zitting, met een waarde per punt van € 472,- en een wegingsfactor 1).
Beslissing
De rechtbank
- verklaart het beroep gegrond;
- vernietigt het bestreden besluit;
- draagt verweerder op binnen zes weken na de dag van verzending van deze uitspraak een nieuw besluit te nemen op het bezwaar met inachtneming van hetgeen in deze uitspraak is overwogen;
- draagt verweerder op het betaalde griffierecht van € 310.- aan eiseres te vergoeden;
- veroordeelt verweerder in de proceskosten van het geding tot een bedrag van € 944,- , te betalen aan eiseres.
Deze uitspraak is gedaan door mr. A.D. Reiling, voorzitter, mrs. M. de Rooij en A.W.C.M. van Emmerik, leden, in aanwezigheid van M.E. Sjouke, griffier.
De beslissing is in het openbaar uitgesproken op 13 november 2013.
de griffier
de voorzitter
Rechtsmiddel
Tegen deze uitspraak kan binnen zes weken na de dag van verzending daarvan hoger beroep worden ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State.