Uitspraak
vonnis
RECHTBANK GELDERLAND
Team kanton en handelsrecht
Zittingsplaats Arnhem
zaaknummer / rolnummer: C/05/367788 / HA ZA 20-200
Vonnis van 12 mei 2021
in de zaak van
1. de besloten vennootschap met beperkte aansprakelijkheid
ZUSTERINDEBUURT B.V.,
statutair gevestigd te Maastricht,
2. de stichting
STICHTING ZUSTERINDEBUURT AMSTERDAM EN OMSTREKEN,
statutair gevestigd te Ede,
3. de stichting
STICHTING ZUSTERINDEBUURT ARNHEM EN OMSTREKEN,
statutair gevestigd te Ede,
4. de stichting
STICHTING ZUSTERINDEBUURT DEN HAAG EN OMSTREKEN,
statutair gevestigd te Ede,
5. de stichting
STICHTING ZUSTERINDEBUURT ROTTERDAM EN OMSTREKEN,
statutair gevestigd te Ede,
6. de stichting
STICHTING ZUSTERINDEBUURT ZWOLLE EN OMSTREKEN,
statutair gevestigd te Ede,
eiseressen,
advocaat mr. M.P.C. Bilderbeek en mr. M. Kalkwiek te Utrecht,
tegen
de naamloze vennootschap
MENZIS ZORGVERZEKERAAR N.V.,
gevestigd te Wageningen,
gedaagde,
advocaat mr. R.P. Scherer te Enschede.
Partijen zullen hierna ZIDB c.s. en Menzis genoemd worden.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- het tussenvonnis van 14 oktober 2020
- de akte overlegging producties 25 tot en met 29 tevens vermeerdering van eis
- de van de zijde van Menzis bij rolbericht overgelegde productie ‘memo contact met verzekerden over niet uitbetaalde declaraties’
- het proces-verbaal van mondelinge behandeling van 19 januari 2021.
1.2.
Ten slotte is vonnis bepaald.
2.De feiten
Voor de weergave van de feiten wordt verwezen naar het vonnis in incident van
22 juli 2020. Hieraan worden de volgende feiten toegevoegd:
2.1.
De Verordening (EU) 2016/679 van het Europees Parlement en de Raad van
27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (verder te noemen: AVG) bepaalt onder meer:
Artikel 4
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
1) “persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2) “verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
(…)
15) ”gegevens over gezondheid”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;
(…)
Artikel 6
Rechtmatigheid van de verwerking
1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a. a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
(…)
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
(…)
Artikel 9
Verwerking van bijzondere categorieën van persoonsgegevens
1. Verwerking van (…) gegevens over gezondheid (…) zijn verboden.
2. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:
a. a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden (…);
(…)
h) de verwerking is noodzakelijk voor (…) het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen;
2.2.
De Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) bepaalt onder meer:
Artikel 30 Uitzonderingen inzake gegevens over gezondheid
(…)
3 Gelet op artikel 9, tweede lid, onderdeel h, van de verordening, is het verbod om gegevens over gezondheid te verwerken niet van toepassing indien de verwerking geschiedt door:
a. (…)
b. verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht of financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover de verwerking noodzakelijk is voor:
1°. de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of
2°. de uitvoering van de overeenkomst van verzekering dan wel het assisteren bij het beheer en de uitvoering van de verzekering.
(…)
6 Bij algemene maatregel van bestuur kunnen omtrent de toepassing van het eerste lid en het derde lid, aanhef en onderdeel b, nadere regels worden gesteld.
2.3.
Artikel 87 Zorgverzekeringswet (Zvw) bepaalt, voor zover hier van belang:
1. Een zorgaanbieder die aan een verzekerde zorg of andere diensten, bedoeld in artikel 11, heeft verleend, en die de kosten daarvan krachtens een door hem met de zorgverzekeraar gesloten overeenkomst rechtstreeks bij die zorgverzekeraar in rekening brengt, verstrekt die zorgverzekeraar of een door die zorgverzekeraar aangewezen persoon de persoonsgegevens van de verzekerde, waaronder gegevens over gezondheid als bedoeld in artikel 4, onderdeel 15 van de Algemene verordening gegevensbescherming, die noodzakelijk zijn voor de uitvoering van de zorgverzekering of van deze wet, dan wel stelt hem deze gegevens voor dit doel voor inzage of het nemen van afschrift ter beschikking.
2. Een zorgaanbieder die aan een verzekerde zorg of andere diensten, bedoeld in artikel 11, heeft verleend en die de kosten daarvan bij de verzekerde in rekening brengt, verstrekt hem de persoonsgegevens, waaronder gegevens over gezondheid als bedoeld in artikel 4, onderdeel 15 van de Algemene verordening gegevensbescherming, die voor zijn zorgverzekeraar noodzakelijk zijn voor de uitvoering van de zorgverzekering of van deze wet.
3. (…)
4. Personen werkzaam ten behoeve van een zorgaanbieder als bedoeld in het eerste of tweede lid, verstrekken die zorgaanbieder de persoonsgegevens die hij nodig heeft om te kunnen voldoen aan zijn verplichtingen bedoeld in het eerste, tweede en derde lid.
5. (…)
6. Bij ministeriële regeling kan worden bepaald:
a. tot welke gegevens de verplichting, bedoeld in het eerste of tweede lid, zich in ieder geval uitstrekt;
(…)
e. in welke gevallen gegevens, bedoeld in het eerste of tweede lid, verder worden verwerkt met het oog op de uitvoering van de zorgverzekering of een aanvullende ziektekostenverzekering, voor zover deze gegevens niet worden gebruikt voor het beoordelen en accepteren van een aspirant-verzekerde voor een aanvullende verzekering en bovendien noodzakelijk zijn voor:
1°. de betaling aan een zorgaanbieder of de vergoeding van zorgkosten aan een verzekerde;
2°. de vaststelling van eigen bijdragen of nog openstaand verplicht of vrijwillig eigen risico;
3°. het uitoefenen van het verhaalsrecht; of
4°. het verrichten van controle of fraudeonderzoek.
2.4.
De Regeling van de Minister van Volksgezondheid, Welzijn en Sport van 1 september 2005, nr. Z/VV-2611957, houdende regels ter zake van de uitvoering van de Zorgverzekeringswet (verder te noemen: Rzv) bepaalt ten aanzien van het verrichten van controles voor de zorgverzekeraars onder meer het volgende:
Hoofdstuk 1. Definities en algemene bepalingen
Artikel 1
1. Deze regeling verstaat onder:
(…)
t.
formele controle: een onderzoek waarbij de zorgverzekeraar nagaat of het tarief dat door een zorgaanbieder voor een prestatie in rekening is gebracht:
formele controle: een onderzoek waarbij de zorgverzekeraar nagaat of het tarief dat door een zorgaanbieder voor een prestatie in rekening is gebracht:
1°. een prestatie betreft, welke is geleverd aan een bij die zorgverzekeraar verzekerde persoon;
2°. een prestatie betreft, welke behoort tot het verzekerde pakket van die persoon,
3°. een prestatie betreft, tot levering waarvan de zorgaanbieder bevoegd is, en
4°. het tarief betreft, dat voor die prestatie krachtens de Wet marktordening gezondheidszorg is vastgesteld of een tarief is dat voor die prestatie met de zorgaanbieder is overeengekomen;
u.
materiële controle: een onderzoek waarbij de zorgverzekeraar nagaat of de door de zorgaanbieder in rekening gebrachte prestatie is geleverd en die geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde;
materiële controle: een onderzoek waarbij de zorgverzekeraar nagaat of de door de zorgaanbieder in rekening gebrachte prestatie is geleverd en die geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde;
(…)
x.
detailcontrole: onderzoek door de zorgverzekeraar naar bij de zorgaanbieder berustende persoonsgegevens met betrekking tot eigen verzekerden ten behoeve van materiële controle of fraudeonderzoek;
detailcontrole: onderzoek door de zorgverzekeraar naar bij de zorgaanbieder berustende persoonsgegevens met betrekking tot eigen verzekerden ten behoeve van materiële controle of fraudeonderzoek;
(…)
ff.
gegevens over gezondheid: gegevens over gezondheid, als bedoeld in artikel 4, onderdeel 15 van de Algemene verordening gegevensbescherming.
gegevens over gezondheid: gegevens over gezondheid, als bedoeld in artikel 4, onderdeel 15 van de Algemene verordening gegevensbescherming.
(…)
Hoofdstuk 7. Verwerking persoonsgegevens
Artikel 7.1
1. Als persoonsgegevens, waaronder gegevens over gezondheid, die voor een zorgverzekeraar noodzakelijk zijn voor de uitvoering van de zorgverzekering of van de Zorgverzekeringswet worden aangemerkt de in artikel 7.2 bedoelde persoonsgegevens.
(…)
Artikel 7.2
De zorgverzekeraar beschikt ten behoeve van de in het voorgaande artikel aangegeven doelen en van de uitvoering van artikel 7.4a, over de volgende gegevens van de verzekerde:
a. naam, adres, postcode en woonplaats;
b. polisnummer, burgerservicenummer, geslacht en geboortedatum;
c. de prestatiebeschrijving van de aan de verzekerde geleverde prestatie;
d. wanneer en in voorkomend geval ten gevolge van welke catastrofe als bedoeld in artikel 33, eerste lid, onderdeel a, van de Zorgverzekeringswet, de prestatie is geleverd;
e. het voor de geleverde prestatie in rekening gebrachte tarief;
f. de gegevens die op grond van een declaratieregeling moeten worden verstrekt;
g. de gegevens die noodzakelijk zijn om vast te stellen of de prestatie behoort tot het verzekerde pakket van die verzekerde en
h. het bank- of girorekeningnummer;
i. overige gegevens die noodzakelijk zijn voor het verrichten van materiële controle dan wel fraudeonderzoek.
(…)
Artikel 7.3
1. De zorgaanbieder is verplicht tenzij bij of krachtens deze regeling anders wordt bepaald de in artikel 7.2, onderdeel a tot en met g, bedoelde gegevens te verstrekken aan:
a. de zorgverzekeraar, of een door die zorgverzekeraar daartoe aangewezen persoon, indien die zorgaanbieder het tarief voor de geleverde prestatie krachtens een door hem met de zorgverzekeraar gesloten overeenkomst rechtstreeks bij die zorgverzekeraar in rekening brengt;
b. de verzekerde, indien de zorgaanbieder het tarief voor de geleverde prestatie bij de verzekerde in rekening brengt.
2. De zorgaanbieder is verplicht de in artikel 7.2, onderdeel i, bedoelde gegevens desgevraagd te verstrekken aan de zorgverzekeraar of aan een door die zorgverzekeraar daartoe aangewezen persoon.
(…)
Artikel 7.4
1. De zorgverzekeraar verricht materiële controle op de wijze zoals bepaald in de artikelen 7.2a tot en met 7.2c en 7.5 tot en met 7.9.
2. De zorgaanbieder is verplicht zijn medewerking te verlenen aan de overeenkomstig het eerste lid uitgevoerde materiële controle.
(…)
Artikel 7.5
1. De zorgverzekeraar stelt voorafgaand aan de uitvoering van materiële controle het doel ervan vast door te bepalen wanneer voldoende zekerheid is verkregen dat de door de zorgaanbieder in rekening gebrachte prestatie is geleverd of die geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde. Bij de vaststelling neemt de zorgverzekeraar het bij of krachtens de Wet marktordening gezondheidszorg door de Nederlandse Zorgautoriteit bepaalde met betrekking tot het uitvoeren van controles in acht.
2. De vaststelling door de zorgverzekeraar wanneer voldoende zekerheid is verkregen dat de geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde, geschiedt met inachtneming van het bepaalde in artikel 2.1 van het Besluit zorgverzekering en zodanig dat voor verzekerden en zorgaanbieders zoveel mogelijk inzichtelijk is welke maatstaven daarbij gelden.
(…)
Artikel 7.6
1. De zorgverzekeraar voert een algemene risicoanalyse uit op basis van gegevens waarover deze in verband met de uitvoering van de zorgverzekering beschikt.
2. De zorgverzekeraar stelt op basis van de in het eerste lid uitgevoerde algemene risicoanalyse een algemeen controleplan vast, waarin de objecten van materiële controle en de in te zetten controle-instrumenten zijn opgenomen.
3. Het naar aanleiding van de algemene risicoanalyse opgestelde algemene controleplan voorziet niet in de inzet van het controle-instrument detailcontrole.
4. Indien uit het uitgevoerde algemene controleplan blijkt dat het controledoel, bedoeld in artikel 7.5, eerste lid, is bereikt, kan alleen detailcontrole worden uitgevoerd als er van een ander dan de zorgverzekeraar afkomstige of uit de uitgevoerde controle voortvloeiende aanwijzingen zijn waaruit blijkt dat er sprake is van onvoldoende zekerheid.
Artikel 7.7
De zorgverzekeraar maakt informatie openbaar over het ingevolge artikel 7.5 vastgestelde controledoel en het ingevolge artikel 7.6 vastgestelde algemene controleplan op een zodanige wijze dat die informatie voor verzekerden en zorgaanbieders gemakkelijk verkrijgbaar is.
Artikel 7.8
1. De zorgverzekeraar voert geen detailcontrole uit, dan nadat is voldaan aan de volgende voorwaarden:
a. de zorgverzekeraar heeft een specifieke risicoanalyse verricht op de bevindingen uit het uitgevoerde algemene controleplan bedoeld in artikel 7.6, tweede lid;
b. de zorgverzekeraar heeft naar aanleiding van de specifieke risicoanalyse een specifiek controleplan en specifiek controledoel opgesteld, waarin de objecten van materiële controle en de methoden van detailcontrole zijn opgenomen;
c. het overeenkomstig onderdeel b vastgestelde specifieke doel van de materiële controle kan zonder detailcontrole niet worden bereikt;
d. uit het specifieke controleplan blijkt dat de detailcontrole niet verder gaat dan gelet op het met het onderzoeksdoel en de omstandigheden van het te onderzoeken geval noodzakelijk is;
e. de zorgverzekeraar heeft de zorgaanbieder voorafgaand aan de uitvoering van de detailcontrole toereikende – en op verzoek van de zorgaanbieder schriftelijke – informatie verstrekt waarin wordt gemotiveerd hoe is voldaan aan de in dit lid genoemde voorwaarden.
2. Indien bij de uitvoering van detailcontrole persoonsgegevens van verzekerden worden verwerkt, geschiedt dit onder verantwoordelijkheid van een medisch adviseur in opdracht van de zorgverzekeraar en is deze op voorafgaand verzoek van de zorgaanbieder aanwezig bij dit deel van de controle.
3. In afwijking van het eerste lid kan de zorgverzekeraar met betrekking tot een individuele verzekerde detailcontrole uitvoeren zonder dat de in dat lid genoemde voorwaarden van toepassing zijn, indien deze verzekerde ten behoeve van de materiële controle schriftelijk toestemming aan de zorgaanbieder heeft gegeven voor verstrekking van hem betreffende gegevens over gezondheid aan de zorgverzekeraar. De zorgverzekeraar verwerkt bij de detailcontrole niet meer gegevens dan gelet op het onderzoeksdoel en de omstandigheden van het geval noodzakelijk is.
4. De zorgverzekeraar informeert de zorgaanbieder over de zakelijke inhoud van de voorgenomen uitkomsten van de detailcontrole en stelt de zorgaanbieder in de gelegenheid daarop binnen een redelijke termijn te reageren. De zorgverzekeraar betrekt de reactie van de zorgaanbieder bij de vaststelling van de definitieve uitkomsten van de detailcontrole en bericht deze uitkomsten aan de zorgaanbieder.
2.5.
Menzis heeft in haar ‘Verzekeringsvoorwaarden Menzis Basis 2019’ onder ‘Verpleging en verzorging (wijkverpleegkundige)’, voor zover hier van belang, opgenomen:
Welke zorgaanbieder
U kunt naar een verpleegkundige of een verzorgende met opleidingsniveau 3 of hoger in dienst van een instelling die op grond van de Wet toelating zorginstellingen (WTZi) is toegelaten voor verpleging en verzorging (thuiszorginstelling) of die is toegelaten voor verblijf, verpleeg- of verzorgingshuis of een instelling voor gehandicaptenzorg, die extramurale zorg levert. U kunt ook naar een verpleegkundige of een verzorgende met opleidingsniveau 3 of hoger die in het bezit is van het KIWA-keurmerk voor zzp-ers in de zorg of het HKZ-NEN Keurmerk zzp-ers in Zorg & Welzijn.
2.6.
Menzis heeft een ‘Controlememorandum Materiële controle verpleging en verzorging (ZVW) Zusterindebuurt (controle vooraf)’ opgesteld (verder: het Controlememorandum). Hierin staat, voor zover hier van belang:
1.1. Aanleiding
In 2017 is er door het Talma Instituut onderzoek gedaan naar de niet-gecontracteerde zorg in de GGZ en Wijkverpleging. Daaruit blijkt een sterke volumegroei van de niet-gecontracteerde zorg. Specifiek voor Wijkverpleging blijkt dat de kosten per cliënt van de niet-gecontracteerde zorg hoger zijn dan voor gecontracteerde zorg. (…)
Uit een onderzoek van Arteria Consulting (januari 2018) is ook gebleken dat sinds de invoering van de wijkverpleging in de Zorgverzekeringswet de kosten ten aanzien van niet-gecontracteerde wijkverpleging enorm zijn gestegen. In 2017 bleken de kosten per cliënt bij niet-gecontracteerde wijkverpleging ongeveer twee keer zo hoog als bij gecontracteerde wijkverpleging. In 2015 was ongeveer 1% van de aanbieders niet-gecontracteerde. In 2017 ligt dit percentage op 6%.
De hogere kosten per cliënt kan betekenen dat de zorg ondoelmatig is geleverd, maar ook onrechtmatig is geleverd. Uit resultaten van al uitgevoerde controles en fraude onderzoeken blijkt dat een significant deel van de wijkverpleging wordt uitgevoerd door onvoldoende gekwalificeerd personeel en er inderdaad sprake is van ondoelmatige en onrechtmatige zorg.
(…)
1.2
Algemene controledoelstelling (artikel 7.5 Regeling zorgverzekering)
Menzis hanteert in abstracto als algemeen doel van de materiële controle het met voldoende betrouwbaarheid en nauwkeurigheid vaststellen of de gedeclareerde zorg feitelijk is geleverd en of de geleverde prestatie het meest aangewezen was gezien de gezondheidstoestand (gepast gebruik en voldoen aan de stand van de wetenschap en praktijk) van de verzekerde. Hiermee wordt bedoeld dat gecontroleerd wordt of:
de gedeclareerde zorg daadwerkelijk is geleverd;
de geleverde zorg voor de verzekerde gelet op het indicatiebesluit passend is en in overeenstemming met het zorgplan;
de gedeclareerde zorg Zvw-zorg betreft.
(…)
Menzis heeft in deze controle de volgende concrete controledoelen voor de genoemde risico’s en signalen.
1. Vaststellen dat er een indicatie aanwezig is, die opgesteld is door een bachelor of masteropgeleide verpleegkundige. (…)
Wanneer uit de aangeleverde informatie blijkt dat de indicatie aanwezig is en is gesteld door een bachelor of masteropgeleide verpleegkundige is het controledoel behaald.
2. Vaststellen of de feitelijke zorgverleners voldoen aan de kwaliteitscriteria, zoals gesteld in de verzekeringsvoorwaarden (minimaal opleidingsniveau verzorgende 3) (…)
Wanneer uit de aangeleverde informatie blijkt dat de verpleegkundige of verzorgende het gevraagde opleidingsniveau bezit is het controledoel behaald.
3. Vaststellen of de gefactureerde zorg overeenkomt met de geïndiceerde zorg. (…) Wanneer op basis van een bewijsstuk vastgesteld kan worden wat de geïndiceerde zorg is en deze overeenkomt met de gefactureerde zorg, is het controledoel behaald.
4. Vaststellen of de zorg feitelijk is geleverd; wanneer op basis van een bewijsstuk blijkt op welke dagen en welke momenten zorg is geleverd bij de betrokken verzekerden en dit overeenkomt met de declaraties betreffende deze verzekerden is het controledoel behaald.
1.3
Algemeen controleplan (artikel 7.6 Regeling zorgverzekering)
Om de hiervoor genoemde doelen te kunnen halen, is informatie nodig. Menzis verlangt daarom de volgende informatie van zorgaanbieders die een declaratie voor wijkverpleging indienen:
- De volgende gegeven van de indicatiesteller
o Voor- en achternaam;
o BIG-nummer
o Kopie diploma. Een kopie is noodzakelijk omdat het openbare BIG niet vermeld 1) de exacte kwalificatie (welk niveau verpleegkundige) en 2) de datum waarop de kwalificatie is verkregen.
- Een overzicht waaruit blijkt welke medewerker(s) zorg heeft c.q. hebben verleend, voorzien van de volgende gegevens per medewerker:
o Voor- en achternaam;
o BIG-nummer
o Kopie diploma. Een kopie is noodzakelijk omdat het openbare BIG niet vermeld 1) de exacte kwalificatie (welk niveau verpleegkundige) en 2) de datum waarop de kwalificatie is verkregen.
De opgevraagde informatie betreft in geen geval een persoonsgegeven betreffende de verzekerde. Er is dus geen sprake van een detailcontrole.
1.4
Tussenconclusie algemene controle
Via de algemene controle wordt mogelijk controledoel 1 en controledoel 2 behaald. Controledoel 3 en 4 kunnen echter niet via een algemene controle worden behaald, omdat hier inhoudelijke gegevens betreffende de geleverde zorg voor zijn vereist. Omdat dit persoonsgegevens omtrent de gezondheid van verzekerden betreft, is hiervoor een detailcontrole noodzakelijk (artikel 7.8 lid 1 onder c Regeling zorgverzekering).
2.Detailcontrole
2.1
Specifieke risicoanalyse (artikel 7.8 lid 1 onder a Regeling zorgverzekering)
Controledoel 3 betreft het nagaan of de geïndiceerde zorg overeenkomt met de zorg die is geleverd. Is dit niet het geval, bijvoorbeeld omdat andere zorg of meer zorg is geleverd, komt de kosten voor die zorg niet voor vergoeding in aanmerking. Hiervoor is noodzakelijk dat Menzis inzicht heeft in de zorg die is geïndiceerd, en welke zorg is geleverd. Dit doel kan hiermee niet zonder detailcontrole worden bereikt.
Controledoel 4 betreft het nagaan of het gedeclareerde zorg ook daadwerkelijk is geleverd. Hiervoor is noodzakelijk dat Menzis enig bewijs krijgt van de geleverde zorg. Dit doel kan daarom niet zonder detailcontrole worden bereikt.
2.2
Specifiek controledoel (artikel 7.8 lid 1 onder b Regeling zorgverzekering)
De controledoelen komen overeen met controledoel 3 en 4 in hoofdstuk 1.2.
2.3
Specifiek controleplan (artikel 7.8 lid 1 onder b Regeling zorgverzekering)
Om het specifieke controledoel te kunnen bereiken, vraagt Menzis bij elke declaratie de volgende aanvullende gegevens op:
- De indicatie. Dit betreft niet de volledige indicatiestelling, maar een weergave van welke zorg is geïndiceerd en de omvang van de geïndiceerde zorg;
- Een overzicht van de data en tijdstippen waarop welke medewerker welke zorg heeft verleend. Dit heeft een tweeledig doel. Ten behoeve van controledoel 3 kan hieruit worden opgemaakt of de zorg qua inhoud en omvang overeenkomt met de indicatie. Ten behoeve van controledoel 4 blijkt hieruit of het aannemelijk is dat zorg daadwerkelijk is verleend.
In bovenstaande weergave wordt rekening gehouden met de proportionaliteit van de uitvraag, er wordt niet meer informatie opgevraagd dan noodzakelijk is (artikel 7.8 lid 1 onder d Regeling zorgverzekering.
3.Het geschil
3.1.
ZIDB c.s. heeft in haar hiervoor in 1.1. genoemde akte haar eis gewijzigd in die zin dat zij thans in de hoofdzaak vordert dat de rechtbank bij vonnis, voor zoveel mogelijk uitvoerbaar bij voorraad:
I. zal verklaren voor recht dat Menzis onrechtmatig heeft gehandeld en handelt door te proberen ZIDB c.s. te bewegen om (medische) persoonsgegevens te verstrekken op de gronden die zij aanvoert in haar brieven van 6 mei 2019, 3 juli 2019 en 1 november 2019,
II. zal verklaren voor recht dat Menzis onrechtmatig heeft gehandeld en handelt door haar verzekerden dekking te ontzeggen op de gronden die zij aanvoert in haar brieven van
6 mei 2019, 3 juli 2019 en 1 november 2019,
III. Menzis zal verbieden om dekking jegens haar verzekerden die zorg afnemen van
ZIDB c.s. op te schorten tot in rechte is komen vast te staan dat deze declaraties onrechtmatig zijn, op verbeurte van een dwangsom van € 10.000,00 per overtreding en
€ 1.000,00 per dag dat de overtreding voortduurt,
IV. Menzis zal veroordelen tot betaling van:
a. een bedrag van € 41.162,83 aan St. Zusterindebuurt Amsterdam en omstreken,
b. een bedrag van € 327.867,44 aan St. Zusterindebuurt Arnhem en omstreken,
c. een bedrag van € 851.566,10 aan St. Zusterindebuurt Den Haag en omstreken,
d. een bedrag van € 36.840,70 aan St. Zusterindebuurt Rotterdam en omstreken,
e. een bedrag van € 10.314,90 aan St. Zusterindebuurt Zwolle en omstreken,
dit alles te vermeerderen met de wettelijke handelsrente vanaf de vervaldata van iedere factuur tot de dag van algehele voldoening,
V. Menzis zal veroordelen tot betaling aan ZIDB c.s. van een bedrag van € 4.775,00 aan buitengerechtelijke kosten,
VI. Menzis zal veroordelen in de proceskosten en de nakosten.
3.2.
ZIDB c.s. legt aan haar vordering ten grondslag hetgeen zij reeds in het kader van het incident heeft gesteld en voegt daaraan het volgende toe. ZIDB c.s. stelt dat het onderzoek van Menzis onrechtmatig is, omdat Menzis zich niet aan de regels houdt die volgen uit de Rzv en de verdere uitwerking van die regels in de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars (verder: de Gedragscode) en het Protocol Materiële Controle van Zorgverzekeraars Nederland (verder: het Protocol) zoals opgesteld door de Brancheverorganisatie Zorgverzekeraars. De controlegegevens waar Menzis om vraagt betreffen persoonsgegevens van verzekerden en zorgverleners en het onderzoek betreft een detailcontrole, zodat, zonder toestemming van de verzekerden, een wettelijke grondslag voor het rechtstreeks verstrekken van persoonsgegevens van verzekerden aan Menzis ontbreekt. Als gevolg daarvan mag ZIDB c.s., zo stelt zij, niet meewerken aan het onderzoek en mag zij ook niet de gegevens verstrekken die zij op basis van de wet wel rechtstreeks aan Menzis zou mogen verstrekken. ZIDB c.s. stelt dat Menzis, door de verzekerden dekking te ontzeggen totdat ZIDB c.s. meewerkt aan dit onrechtmatige onderzoek, onrechtmatig jegens haar handelt door ongeoorloofde druk uit te oefenen. De machtigingen voor wijkverpleging die Menzis heeft afgegeven op basis van de zorgindicaties zijn volgens ZIDB c.s. voldoende om vast te stellen dat de geleverde zorg naar aard en omvang valt binnen de dekking van de zorgverzekering. De door de verzekerden ingediende declaraties zijn dan ook direct opeisbaar, zodat Menzis, door de betaling van die declaraties op te schorten, tekort schiet in de nakoming van de zorgverzekeringsovereenkomst jegens haar verzekerden. Ook dit levert een, ‘indirecte’, onrechtmatige daad jegens ZIDB c.s. op, aldus ZIDB c.s. Verder betwist ZIDB c.s.
dat de controle op het opleidingsniveau van de zorgverleners (de door Menzis vereiste inzet van zorgverleners niveau 3) een legitiem controledoel is, omdat het volgens ZIDB c.s. niet aan de zorgverzekeraar is om dekking afhankelijk te stellen van een dergelijk opleidings-vereiste. ZIDB c.s. stelt dat zij als gevolg van het onrechtmatig handelen van Menzis vermogensschade heeft geleden, ter grootte van de kosten van de door ZIDB c.s. geleverde zorg die niet door de verzekerden is betaald doordat Menzis aan hen dekking heeft ontzegd.
dat de controle op het opleidingsniveau van de zorgverleners (de door Menzis vereiste inzet van zorgverleners niveau 3) een legitiem controledoel is, omdat het volgens ZIDB c.s. niet aan de zorgverzekeraar is om dekking afhankelijk te stellen van een dergelijk opleidings-vereiste. ZIDB c.s. stelt dat zij als gevolg van het onrechtmatig handelen van Menzis vermogensschade heeft geleden, ter grootte van de kosten van de door ZIDB c.s. geleverde zorg die niet door de verzekerden is betaald doordat Menzis aan hen dekking heeft ontzegd.
3.3.
Menzis voegt aan haar reeds gevoerde verweer in het kader van het incident het volgende toe. Menzis betwist dat zij met de vooraf verleende machtiging heeft afgezien van haar recht om de declaraties eerst te controleren voordat zij tot betaling overgaat. De controle vooraf moet volgens Menzis mogelijk blijven, omdat uit de machtiging niet blijkt door wie en op welke manier de zorg waarvoor de machtiging is afgegeven wordt verleend. Menzis voert aan dat zij gerede twijfels heeft of de zorg is verleend door zorgverleners met het, in de polisvoorwaarden opgenomen, vereiste niveau 3. Uit de declaraties die zij heeft kunnen controleren trekt Menzis de conclusie dat bij een aanzienlijk deel van de gedeclareerde zorg niet aan deze voorwaarde is voldaan, zodat deze zorg niet onder de dekking van de zorgverzekering valt. ZIDB c.s. is volgens Menzis op grond van de wet verplicht om mee te werken aan de controle. Over de detailcontrole stelt Menzis dat zij daartoe in overeenstemming met de regelgeving direct mocht overgaan en dat artikel 7.3 onder 2 Rzv de wettelijke grondslag geeft voor de rechtstreekse verstrekking van de gevraagde persoonsgegevens van de verzekerden, nu deze vallen onder categorie i. van artikel 7.2 Rzv. Menzis stelt verder dat zij de controle uitvoert overeenkomstig de regels uit de Rzv, de Gedragscode en het Protocol. Van onrechtmatig handelen jegens ZIDB c.s., ‘direct’ of ‘indirect’, is dan ook geen sprake, aldus Menzis. Indien de rechtbank toch tot de conclusie komt dat Menzis onrechtmatig heeft gehandeld, betwist Menzis dat ZIDB c.s. hierdoor schade heeft geleden.
3.4.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.
4.De beoordeling
4.1.
Voor de beoordeling van de vorderingen van ZIDB c.s. en haar stelling dat Menzis jegens haar, ‘direct’ of ‘indirect’, onrechtmatig heeft gehandeld is allereerst van belang vast te stellen of (en zo ja, in hoeverre) Menzis de verlangde persoonsgegevens mag opvragen en of (en zo ja, in hoeverre) ZIDB c.s. die persoonsgegevens mag en/of moet verstrekken.
4.2.
De rechtbank stelt voorop dat de zorgverzekeraar tot haar wettelijke taak heeft om de rechtmatigheid en doelmatigheid van de door zorgaanbieders in rekening gebrachte prestaties te controleren. Het uitvoeren van deze controletaak kan er toe leiden dat een zorgverzekeraar persoonsgegevens moet inzien en verwerken. Dat wordt op zichzelf ook niet door ZIDB c.s. betwist.
4.3.
In het vonnis in incident zijn onder 2.5., 2.9. en 2.11. de brieven geciteerd van respectievelijk 6 mei 2019, 1 november 2019 en 10 maart 2020, waarin Menzis in het kader van de door haar aangekondigde materiële controle ZIDB c.s. vraagt om verstrekking van persoonsgegevens.
Nadat Menzis het verzoek om salarisgegevens van de medewerkers heeft laten vallen, komt het, per ingediende declaratie, samengevat aan op de volgende gegevens:
1. gegevens van de indicatiesteller:
- voor- en achternaam,
- BIG- nummer,
- kopie diploma,
2. een overzicht waaruit blijkt welke medewerker(s) zorg heeft c.q. hebben verleend, met daarbij per medewerker:
- voor- en achternaam,
- BIG- nummer,
- kopie diploma,
3. de indicatie, inhoudende een weergave van welke zorg is geïndiceerd en de omvang van de geïndiceerde zorg,
4. een overzicht van de data en tijdstippen waarop welke medewerker welke zorg heeft verleend.
4.4.
Geen punt van geschil is dat de informatie die Menzis bij ZIDB c.s. per declaratie opvraagt, ziet op geïdentificeerde of identificeerbare personen en dat het daarmee gaat om persoonsgegevens in de zin van de AVG. Het gaat zowel om (medische) persoonsgegevens van de verzekerden als persoonsgegevens van de indicatiestellers en zorgverleners. De verwerking van persoonsgegevens is gebonden aan de regels die zijn opgenomen in de AVG en de UAVG. Daarbij ziet artikel 6 AVG op ‘gewone’ persoonsgegevens en artikel 9 AVG op ‘bijzondere’ persoonsgegevens, waaronder gegevens over gezondheid. Artikel 9 lid 2 AVG jo 30 lid 3 UAVG maakt - onder voorwaarden - voor onder meer zorgverzekeraars een uitzondering op het uit artikel 9 lid 1 AVG volgende verbod op verwerking van gezondheidsgegevens. Een zorgverzekeraar mag ingevolge artikel 30 lid 3 UAVG gezondheidsgegevens verwerken indien dit noodzakelijk is voor de uitvoering van de verzekering.
4.5.
Uit artikel 4 AVG volgt dat onder het ‘verwerken’ van persoonsgegevens zowel het opvragen en verder gebruiken van persoonsgegevens, zoals Menzis doet, als het verstrekken van persoonsgegevens, zoals Menzis van ZIDB c.s. verwacht, wordt verstaan.
4.6.
Artikel 4 AVG omschrijft eveneens wat onder ‘gegevens over gezondheid’ moet worden verstaan. Dezelfde term is ook omschreven in de inleidende overweging (35) van de AVG. Daarin staat dat de persoonsgegevens over gezondheid alle gegevens omvatten die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. Reeds vóór de inwerkingtreding van de AVG werd het begrip ‘gezondheid’ uit artikel 21 Wet bescherming persoonsgegevens (Wbp) ook al ruim uitgelegd (Kamerstukken II 1997-1998, 25892, nr. 3, p. 109), waarbij van belang is dat artikel 30 UAVG materieel van gelijke strekking wordt geacht als artikel 21 Wbp (Kamerstukken II 2017-2018, 34851 nr. 3, p. 95). Deze ruime uitleg van het begrip ‘gezondheid’ brengt mee dat de zorgverzekeraar in haar controle snel behoefte zal hebben aan gegevens die zijn aan te merken als persoonsgegevens over gezondheid.
4.7.
Geen punt van geschil is dat de in 4.3. onder 3 en 4 genoemde persoonsgegevens informatie geven over de lichamelijke of geestelijke toestand van de verzekerden, zodat deze zijn aan te merken als persoonsgegevens over hun gezondheid. Evenmin is geschilpunt dat dit niet geldt voor de in rov. 4.3. genoemde gegevens onder 1 en 2, over de namen, BIG-nummers en diploma’s van de indicatiestellers en zorgverleners.
Persoonsgegevens over de gezondheid van de verzekerden
4.8.
Voor de uitvoering van haar wettelijke taak tot het controleren van de rechtmatigheid en doelmatigheid van de door zorgaanbieders in rekening gebrachte prestaties kan het voor Menzis noodzakelijk zijn om gegevens over de gezondheid te verwerken, zodat voor haar de uitzondering van artikel 30 derde lid UAVG van toepassing kan zijn. Dit betekent echter niet dat ZIDB c.s. als zorgaanbieder daarom ook zonder meer gehouden is om gegevens over de gezondheid van verzekerden aan Menzis te verstrekken. Voor de beantwoording van deze vraag is de Memorie van Toelichting bij de UAVG van belang, waarin de minister over de verhouding tussen artikel 30 UAVG en het medisch beroepsgeheim van artikel 7:457 BW het volgende opmerkt (Kamerstukken II 2017-2018, 34851 nr. 3, p. 95):
Het onderhavige artikel bevat geen uitputtende regeling van de verwerking van gegevens over iemands gezondheid. Artikel 30 dient ook steeds in samenhang te worden bezien met het medisch beroepsgeheim (artikel 457 van Boek 7 van het Burgerlijk Wetboek en artikel 88 van de Wet op de beroepen in de individuele gezondheidszorg). Het kan zich voordoen dat in een geval waarin op grond van artikel 30 het verbod om medische gegevens te verwerken niet van toepassing is, het medische beroepsgeheim toch aan de gegevensverwerking in de weg kan staan. Dit betekent dat verstrekking van gezondheidsgegevens eerst moet worden getoetst aan de regels voor doorbreking van het medisch beroepsgeheim. Pas wanneer verstrekking van gezondheidsgegevens niet in strijd is met het medisch beroepsgeheim, komt men toen aan toetsing aan het onderhavige artikel. Als daaraan is voldaan (een beroep op de uitzondering op het algemene verbod van artikel 9, eerste lid, van de verordening is mogelijk), dan moet nog een grondslag aanwezig zijn in de zin van artikel 6 van de verordening.
4.9.
De wetgever heeft derhalve nadrukkelijk beoogd dat verstrekking van gezondheidsgegevens eerst moet worden getoetst aan de regels voor doorbreking van het medisch beroepsgeheim. Artikel 7:457 BW bepaalt dat de hulpverlener geen mededelingen aan derden mag doen over patiëntgegevens, tenzij de patiënt daarvoor toestemming geeft of als wet- of regelgeving de hulpverlener daartoe verplicht. Er moet dus een wettelijke basis zijn voor doorbreking van het medisch beroepsgeheim.
4.10.
De vervolgvraag is dan of wet- of regelgeving ZIDB c.s. verplicht om het medisch beroepsgeheim te doorbreken. Artikel 87 Zvw bevat in het kader van de Zvw de waarborgen voor de privacy van verzekerden bij gegevensuitwisseling tussen zorgaanbieders en zorgverzekeraars. Met inachtneming van deze bepaling kan het beroepsgeheim van artikel 7:457 BW opzij worden gezet. De wetgever heeft in artikel 87 Zvw echter een onderscheid gemaakt tussen een gecontracteerde zorgaanbieder en een niet-gecontracteerde zorgaanbieder. Artikel 87 lid 1 Zvw bepaalt dat de gecontracteerde zorgaanbieder de persoonsgegevens van de verzekerde rechtstreeks aan de zorgverzekeraar moet verstrekken. Dit betreft dus een (wettelijk geregelde) doorbreking van het medisch beroepsgeheim. In het geval van een niet-gecontracteerde zorgaanbieder (zoals ZIDB c.s.) ligt het anders. Artikel 87 lid 2 bepaalt dat de zorgaanbieder de persoonsgegevens desgevraagd
aan de verzekerdemoet verstrekken, zodat de verzekerde de gegevens aan zijn zorgverzekeraar kan verstrekken. Bij expliciete toestemming van de verzekerde kunnen de persoonsgegevens van de verzekerde rechtstreeks door de zorgaanbieder aan de zorgverzekeraar worden verstrekt.
aan de verzekerdemoet verstrekken, zodat de verzekerde de gegevens aan zijn zorgverzekeraar kan verstrekken. Bij expliciete toestemming van de verzekerde kunnen de persoonsgegevens van de verzekerde rechtstreeks door de zorgaanbieder aan de zorgverzekeraar worden verstrekt.
4.11.
Menzis betoogt dat de wettelijke grondslag gevonden moet worden in artikel 7.3 lid 2 Rzv, waarin staat dat de zorgaanbieder verplicht is om de in artikel 7.2 onder i Rzv bedoelde gegevens desgevraagd te verstrekken aan de zorgverzekeraar.
4.12.
Artikel 87 lid 6 Zvw bepaalt dat bij ministeriële regeling verdere voorschriften kunnen worden opgesteld over het verstrekken en het verder verwerken van persoonsgegevens van de verzekerde, waaronder voorschriften voor het verrichten van controle of fraudeonderzoek (artikel 87 lid 6 onder e, sub 4 Zvw). Daarvoor is de Rzv opgesteld, waarvan artikel 87 Zvw de grondslag vormt. De door Menzis aangehaalde artikelen zijn bij de wijziging van 30 juni 2010 aan de Rzv toegevoegd ten behoeve van de materiële controle. Over de noodzaak en de betekenis van deze wijziging heeft de minister van Volksgezondheid, Welzijn en Sport het volgende opgemerkt (Staatscourant 2010, 10581):
De regeling is noodzakelijk voor een tweeledig doel. Enerzijds geeft de regeling in combinatie met artikel 87 van de Zvw de volgens de Wbp noodzakelijke juridische grondslag voor de zorgverzekeraars om formele en materiële controle te mogen uitvoeren voor in de regeling opgenomen doelen. Anderzijds biedt het de zorgaanbieders het volgens de Wbp en het Burgerlijk Wetboek (geneeskundige behandelingsovereenkomst) noodzakelijke wettelijke voorschrift dat voor de zorgaanbieder aanwezig moet zijn om met een daartoe toereikende juridische grondslag te voldoen aan de verplichting het beroepsgeheim te doorbreken bij het verstrekken van medische persoonsgegevens aan de verzekeraar die volgens de procedure in de regeling formele en materiële controles uitvoert.
(…) Voldoet de verzekeraar aan de in de regeling gestelde eisen, dan is de zorgaanbieder gehouden medewerking te verlenen aan de materiële controle. De zorgaanbieder moet dan aan de zorgverzekeraar de voor het uitoefenen van materiële controle en het behalen van het bij die controle gestelde controledoel noodzakelijke persoonsgegevens verstrekken.
4.13.
Naar het oordeel van de rechtbank kan deze wijziging in de Rzv, een ministeriële regeling ex artikel 87 Zvw, het in artikel 87 Zvw opgenomen verschil tussen een gecontracteerde zorgaanbieder en een niet-gecontracteerde zorgaanbieder in het verstrekken van persoonsgegevens van de verzekerde niet opheffen. Artikel 87 Zvw lid 6 (of een andere bepaling uit die wet) geeft geen grondslag om bij ministeriele regeling, zoals de Rzv, alsnog te bepalen dat de persoonsgegevens van de verzekerde rechtstreeks aan de zorgverzekeraar moeten of mogen worden verstrekt in plaats van via de verzekerde. Daarvoor is een wijziging van artikel 87 Zvw noodzakelijk. De wetgever heeft dit ook ingezien en getracht met wetsvoorstel 33980 (Wijziging van de Wet marktordening gezondheidszorg en enkele andere wetten in verband met het verbeteren van toezicht, opsporing, naleving en handhaving) artikel 87 Zvw te wijzigen, zodat ook voor niet-gecontracteerde zorgaanbieders een wettelijke grondslag bestaat om het medisch beroepsgeheim opzij te zetten om te voldoen aan de verplichting tot gegevensverstrekking, voor zover dat noodzakelijk is voor de uitvoering van de Zvw. Bij de voorgenomen herziening zorgstelsel (TK 2018-2019, 29689, nummer 941) heeft de minister wetsvoorstel 33980 aangehaald als noodzakelijk om de huidige beperktere mogelijkheden tot controle bij niet-gecontracteerde zorgaanbieders te veranderen. De minister schrijft dat de zorgverzekeraar bij de controle bij een niet-gecontracteerde zorgaanbieder de mogelijkheid moet krijgen om zonder tussenkomst van de verzekerde materiële controles te kunnen uitvoeren in het geval er concrete aanwijzingen zijn dat de declaraties mogelijk niet rechtmatig zijn. Het wetsvoorstel 33980 is echter ingetrokken, waarbij de minister in de brief van 2 juli 2019 aan de Tweede Kamer schrijft:
De zorgaanbieders mogen op grond van hun medisch beroepsgeheim de gegevens over de verzekerde patiënt slechts aan de zorgverzekeraars geven met toestemming van de verzekerde patiënt of op grond van een wettelijke verplichting. De Zorgverzekeringswet (Zvw) bevat een wettelijke verplichting voor de zorgaanbieder om gegevens over de patiënt aan diens zorgverzekeraar te geven. Die wettelijke verplichting geldt bij gecontracteerde zorg of bij ongecontracteerde zorg met betaalovereenkomst. (…)
De verandering die met het wetsvoorstel werd geregeld was de uitbreiding van deze wettelijke verplichting in de Zvw tot ongecontracteerde zorg zonder betaalovereenkomst. Die uitbreiding gaat met de intrekking van het wetsvoorstel niet door.
4.14.
Het voorgaande leidt tot de conclusie dat een wettelijke grondslag voor doorbreking van het medisch beroepsgeheim voor een niet-gecontracteerde zorgaanbieder ontbreekt. Op grond van artikel 87 lid 2 Zvw bestaat de wettelijke verplichting van de niet-gecontracteerde zorgaanbieder bij een controle uit het verstrekken van de persoonsgegevens van de verzekerde aan die verzekerde, zodat de verzekerde deze gegevens aan de zorgverzekeraar kan verstrekken. Het medisch beroepsgeheim van artikel 7:457 BW staat eraan in de weg dat ZIDB c.s. de persoonsgegevens over de gezondheid van de verzekerden zonder hun toestemming rechtstreeks aan Menzis mag verstrekken. De vraag of (en in hoeverre) de opgevraagde gegevens vallen onder 7.2 onder a t/m h, zoals ZIDB c.s. stelt of onder categorie i, zoals Menzis stelt, behoeft daarom geen beantwoording meer.
4.15.
De rechtbank volgt Menzis niet in haar stelling dat het aan ZIDB c.s. is om toestemming van de verzekerden te verkrijgen. Daartoe overweegt de rechtbank dat het indienen van (een kopie van) de declaratie door ZIDB c.s. gezien moet worden als een verzoek namens de verzekerde tot vergoeding van de declaratie aan de verzekerde. Menzis moet vaststellen of de declaratie voldoet aan de dekkingsvoorwaarden van de zorgverzekering. Het is aldus in de relatie tussen Menzis en de verzekerde, waar ZIDB c.s. verder buiten staat, dat Menzis haar controletaak uitoefent. Indien Menzis het ter uitoefening van haar controletaak nodig acht om persoonsgegevens op te vragen, ligt het op de weg van Menzis om aan haar verzekerde toestemming te vragen om de persoonsgegevens van de verzekerde bij ZIDB c.s. op te vragen. Menzis gaat daar in eerste instantie in haar brief van 6 mei 2019 ook vanuit, nu Menzis daarin schrijft dat ZIDB c.s. alleen met uitdrukkelijke toestemming van de verzekerde persoonsgegevens omtrent zijn/haar gezondheid mag overdragen aan Menzis en dat Menzis daarom de betrokken verzekerden heeft gevraagd om een toestemmingsverklaring te ondertekenen. De latere wijziging van standpunt van Menzis dat het aan ZIDB c.s. is om de toestemming te vragen, heeft ervoor gezorgd dat Menzis uiteindelijk geen toestemming aan de verzekerden heeft gevraagd.
4.16.
De conclusie is dan dat Menzis de door haar opgevraagde gegevens zoals weergegeven in rov. 4.3., onder 3. en 4. (zorgindicatie en het overzicht van de data en tijdstippen waarop welke medewerker welke zorg heeft verleend), die informatie geven over de lichamelijke of geestelijke toestand van de verzekerden, niet bij ZIDB c.s. kan opeisen, althans niet zolang die verzekerden daarvoor niet, op instigatie van Menzis, hun toestemming hebben gegeven.
Naam, BIG-nummer en diploma van indicatiestellers en zorgverleners
4.17.
Op de beantwoording van de vraag of Menzis (wel) de in rov. 4.3. onder 1. en 2. genoemde, niet de gezondheid betreffende, gegevens van de door haar ingeschakelde indicatiestellers en zorgverleners bij ZIDB c.s. kan opeisen, is artikel 6 AVG van toepassing. Verwerking van die gegevens is rechtmatig indien aan bepaalde voorwaarden wordt voldaan. In het onderhavige geval kan de verwerking rechtmatig zijn indien de indicatiesteller of zorgverlener toestemming heeft gegeven (artikel 6 lid 1 onder a AVG) of indien de verwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van Menzis (artikel 6 lid 1 onder f AVG). Uit artikel 87 lid 4 Zvw valt op zichzelf een verplichting af te leiden voor de door ZIDB c.s. ingeschakelde indicatiestellers en zorgverleners om persoonsgegevens te verstrekken die ZIDB c.s. nodig heeft om te voldoen aan haar verplichtingen uit artikel 87 Zvw. Gesteld noch gebleken is dat de indicatiestellers en zorgverleners hieraan niet willen voldoen of daarvoor geen toestemming hebben gegeven. ZIDB c.s. heeft ook niet weersproken dat Menzis recht heeft op deze persoonsgegevens. Zij heeft alleen gesteld dat zij slechts aan een dergelijk verzoek kan voldoen als het verzoek zich beperkt tot de persoonsgegevens van de indicatiestellers en zorgverleners en Menzis zich houdt aan de regels zoals deze gelden voor een materiële controle. Naar het oordeel van de rechtbank is ZIDB c.s. de aangewezen partij om deze persoonsgegevens te verstrekken, omdat ZIDB c.s., in tegenstelling tot de verzekerde, de beschikking heeft over deze persoonsgegevens en precies weet welke (onder)zorgaanbieder zij heeft ingezet voor de wijkverpleging aan de verzekerden van Menzis. Van ZIDB c.s. als zorgaanbieder mag worden verwacht dat zij meewerkt aan het verstrekken van persoons-gegevens van de door haar ingeschakelde indicatiestellers en zorgverleners. De controle op rechtmatigheid en doelmatigheid van de verleende zorg door de zorgverzekeraars is immers onderdeel van het zorgstelsel. De verwerking van de persoonsgegevens van de indicatiestellers en zorgverleners is noodzakelijk voor de uitoefening van de op Menzis als zorgverzekeraar rustende controletaak, zodat reeds op die grond verwerking rechtmatig wordt geacht.
4.18.
Dit laat onverlet dat aan het verwerken van persoonsgegevens van de indicatiestellers en zorgverleners gezien het belang van bescherming van hun persoonlijke levenssfeer eisen worden gesteld. De verwerking moet noodzakelijk zijn voor het met de materiële controle gediende doel, het doel kan niet op een andere wijze worden bereikt (subsidiariteit) en het doel kan niet worden bereikt op een wijze die de privacy van de (in dit geval) zorgverlener minder belast (proportionaliteit). Dit volgt uit de AVG, de Rzv en de Gedragscode inclusief het Protocol. De verplichte medewerking van de zorgaanbieder is ingevolge artikel 7.4 Rzv gekoppeld aan de voorwaarde dat de zorgverzekeraar het onderzoek uitvoert zoals in de Rzv is bepaald, waarbij de eisen uit de Rzv door de zorgverzekeraars in het Protocol nader zijn ingevuld. Kort gezegd, aan de voorwaarden voor het verwerken van persoonsgegevens van de zorgverleners is voldaan indien Menzis handelt overeenkomstig de Rzv en het Protocol.
4.19.
De eerste vraag is dan of Menzis een materiële controle mocht starten. In artikel 1 lid 1 sub z Rzv is opgenomen dat onder een materiële controle wordt verstaan ”een onderzoek waarbij de zorgverzekeraar nagaat of de door de zorgaanbieder in rekening gebrachte prestatie is geleverd en die geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde”. Voorafgaand aan deze controle beschikt Menzis over de machtiging die zij heeft afgegeven, waarin op basis van de zorgindicatie is vastgesteld dat de betreffende verzekerde recht heeft op wijkverpleging en in welke omvang. Daarnaast beschikt Menzis over de declaratie met daarop de volgende informatie: de datum waarop de zorg is verleend, een prestatiecode en een tijdseenheid waarin de zorg is verleend. Het naast elkaar leggen van de machtiging en de declaratie geeft alleen antwoord op de vraag of de declaratie betrekking heeft op wijkverpleging en of de in de machtiging vastgestelde omvang van de zorg wel of niet wordt overschreden. Dit valt onder de formele controle zoals bedoeld in de Rzv.
4.20.
Ter zitting heeft Menzis bevestigd dat het te controleren doel met name ziet op de vraag of de zorg door een zorgverlener met het vereiste (opleidings)niveau is verleend en of de zorgindicatie door een wijkverpleegkundige met opleidingsniveau 5 is opgesteld.
Nu de declaraties geen zicht geven op wie de zorg daadwerkelijk heeft verleend, kan het te controleren doel niet worden behaald door middel van een formele controle. Ten aanzien van de aanleiding van de voorgenomen controle heeft Menzis gesteld dat zij signalen heeft ontvangen dat bij de wijkverpleging een deel van de zorg wordt uitgevoerd door zorgverleners met niveau 2 in plaats van het in de polisvoorwaarden vereiste niveau 3. ZIDB c.s. heeft ter zitting bevestigd dat bij wijkverpleging in het algemeen ook zorgtaken worden uitgevoerd door zorgverleners met niveau 2. Hoewel dit niet hoeft te betekenen dat ZIDB c.s. in haar zorgverlening bij de verzekerden van Menzis zorgverleners met niveau 2 heeft ingezet - ZIDB c.s. is bekend met de polisvoorwaarden van Menzis en stelt daar rekening mee te houden -, geeft dit, naar het oordeel van de rechtbank, wel voldoende aanleiding voor Menzis om dit te onderzoeken.
Nu de declaraties geen zicht geven op wie de zorg daadwerkelijk heeft verleend, kan het te controleren doel niet worden behaald door middel van een formele controle. Ten aanzien van de aanleiding van de voorgenomen controle heeft Menzis gesteld dat zij signalen heeft ontvangen dat bij de wijkverpleging een deel van de zorg wordt uitgevoerd door zorgverleners met niveau 2 in plaats van het in de polisvoorwaarden vereiste niveau 3. ZIDB c.s. heeft ter zitting bevestigd dat bij wijkverpleging in het algemeen ook zorgtaken worden uitgevoerd door zorgverleners met niveau 2. Hoewel dit niet hoeft te betekenen dat ZIDB c.s. in haar zorgverlening bij de verzekerden van Menzis zorgverleners met niveau 2 heeft ingezet - ZIDB c.s. is bekend met de polisvoorwaarden van Menzis en stelt daar rekening mee te houden -, geeft dit, naar het oordeel van de rechtbank, wel voldoende aanleiding voor Menzis om dit te onderzoeken.
4.21.
ZIDB c.s. betwist echter de legitimiteit van de controle en stelt daartoe dat Menzis bij wijkverpleging de door zorgverleners met niveau 2 verleende zorg niet van dekking mag uitsluiten omdat dit, volgens ZIDB c.s., in strijd is met de wet. Dat de zorgindicatie moet worden opgesteld door een wijkverpleegkundige met opleidingsniveau 5 is niet in geschil, zodat de naleving daarvan op zichzelf een te controleren doel is. Uit de verzekeringsvoorwaarden van Menzis (aangehaald onder 2.5.) volgt dat Menzis vereist dat de zorg wordt verleend door een verzorgende met opleidingsniveau 3 of hoger. In de Memorie van Toelichting op de Zvw (Tweede Kamer, vergaderjaar 2003-2004, 29763, nr. 3, p. 42) staat:
Samenvattend kan worden gesteld dat de wetgever bepaalt wat tot het pakket behoort. Het behoort tot de bevoegdheid van de zorgverzekeraar, in samenspraak met de verzekerde, te bepalen door wie en waar de verzekerde zorg verleend wordt.
Dit betekent dat de wetgever heeft bepaald dat wijkverpleging behoort tot het te verzekeren pakket. De bevoegdheid van de zorgverzekeraar om te bepalen door wie de zorg wordt verleend, brengt mee dat Menzis mag bepalen op welk niveau de wijkverpleging moet worden uitgevoerd om te komen tot dekking onder de door haar verstrekte zorgverzekering. Nu Menzis in haar polisvoorwaarden heeft bepaald dat de wijkverpleging moet worden verleend door een verzorgende met opleidingsniveau 3 of hoger, valt wijkverpleging die is verleend door een verzorgende met opleidingsniveau 2 buiten de dekking. Deze zorg behoeft niet te worden vergoed. Controle op de vraag of de gedeclareerde wijkverpleging is verleend door een verzorgende met opleidingsniveau 3 of hoger is daarmee een legitiem doel.
4.22.
Het onderzoek van Menzis richt zich dus in belangrijke mate op rechtmatigheid, hetgeen ook als doel duidelijk blijkt uit het Controlememorandum. Volgens het Protocol moet met een materiële controle voldoende zekerheid worden verworven dat sprake is van rechtmatigheid en doelmatigheid van de gedeclareerde zorg. Hoewel het Protocol voorschrijft (onder “2. Doel materiële controle”, “definitie”) dat het hierbij niet gaat om het verkrijgen van absolute zekerheid dat in alle gevallen sprake is van rechtmatigheid en doelmatigheid, schrijft het Protocol ook voor dat een zorgverzekeraar bij specifieke signalen dat zich bij een bepaalde zorgsoort of bepaalde zorgaanbieders gebreken voordoen wat betreft rechtmatigheid en doelmatigheid, zich kan richten op het verkrijgen van meer zekerheid dan de 95% norm van voldoende zekerheid (onder “2. Doel materiële controle”, “Specifieke signalen”) p. 9). Naar het oordeel van de rechtbank heeft Menzis in haar Controlememorandum voldoende toegelicht dat signalen uit de reeds uitgevoerde controles bij andere aanbieders van wijkverpleging haar ertoe brengen om te gaan voor een 100% controle. De vaststelling of de zorg is uitgevoerd door een zorgverlener met niveau 3 is noodzakelijk om vast te stellen of er recht is op dekking onder de zorgverzekering. Omdat ZIDB c.s. verschillende onderaannemers inzet voor het verlenen van de zorg, kan een controle bij slechts een beperkt aantal declaraties geen goed beeld geven, zodat, gelet ook op de (mogelijk vergaande) gevolgen voor de toekenning van gedeclareerde zorg als gevolg van de inzet van bijvoorbeeld zorgverleners met niveau 2, de rechtbank de noodzaak voor Menzis om alle door ZIDB c.s. ingeschakelde zorgverleners en indicerende verpleegkundigen te controleren, onderschrijft.
4.23.
Dat de controle van Menzis thans alle verzekerden betreft, die zorg geleverd krijgen via ZIDB c.s., acht de rechtbank niet in strijd met het uitgangspunt van het Protocol dat het onderzoek proportioneel moet zijn. Menzis is immers begonnen met een steekproef van 30 verzekerden, maar heeft dit vanwege de weigering van ZIDB c.s. om gegevens te verstrekken, opgeschaald naar alle verzekerden. Zoals reeds overwogen had ZIDB c.s. wel de gegevens betreffende de indicatiestellers en zorgverleners moeten verstrekken, mits ook overigens is voldaan aan het Protocol. Niet valt in te zien dat het Menzis in die situatie niet is toegestaan om het onderzoek op te schalen naar alle verzekerden. Het onderzoek richt zich immers niet specifiek op één bepaalde door ZIDB c.s. ingeschakelde onderaannemer die de zorg laat uitvoeren door een zorgverlener met niveau 2, nu de inzet van een zorgverlener met niveau 2 bij iedere verzekerde zou kunnen voorkomen.
4.24.
Menzis dient bij haar controle het lichtst mogelijke middel in te zetten dat noodzakelijk is voor het bereiken van het beoogde doel. Verstrekking van persoonsgegevens is pas aan de orde als voor het onderzoek niet kan worden volstaan met minder gedetailleerde gegevens. De vraag is dan ook of Menzis voor haar controle persoonsgegevens nodig heeft en meer in het bijzonder, of Menzis kopieën van de diploma’s van de indicatiestellers en zorgverleners nodig heeft. ZIDB c.s. betwist dat dit nodig is en stelt daartoe dat in het AGB-register is vastgelegd of de betrokkene beschikt over een hbo of mbo-diploma verpleegkunde, zodat Menzis het niveau van de indicatiestellers en zorgverleners aan de hand van de AGB-code kan controleren. Menzis stelt op dit punt dat niet alle zorgverleners een AGB-code hebben en dat uit het AGB-register weliswaar volgt welk niveau opleiding iemand heeft genoten, maar niet welke specifieke opleiding het betreft. Verder stelt Menzis dat zorgverleners met niveau 2 geen AGB-code kunnen krijgen, zodat een overzicht van de AGB-codes Menzis niet het gewenste inzicht kan geven of ZIDB c.s. voldoende gekwalificeerde zorgverleners heeft ingezet. De rechtbank acht met het voorgaande voldoende gemotiveerd dat het AGB-register niet volstaat en dat Menzis belang heeft bij het, naast de naam en BIG-code, opvragen van de kopieën van de diploma’s van de indicatiestellers en de zorgverleners. Daarbij acht de rechtbank van belang dat dit, ten opzichte van raadpleging van het AGB register, niet zonder meer een ernstige extra inbreuk op hun persoonlijke levenssfeer betekent. In het verlengde hiervan is het voor Menzis ook noodzakelijk om een overzicht te krijgen van het totaal aantal uren dat een zorgverlener in een bepaalde periode is ingezet bij Menzis verzekerden. Om een concreet beeld te krijgen of de per verzekerde ingediende declaraties voor vergoeding in aanmerking komen, dat wil zeggen of de zorg conform de polisvoorwaarden is verricht, zal Menzis ook moeten kunnen vaststellen hoeveel uren zorg de betreffende zorgverlener bij een afzonderlijke verzekerde heeft verleend. Dit betreft echter, zoals in rov. 4.16. overwogen, gegevens betreffende de gezondheid van die verzekerden, zodat Menzis zich voor die specifieke gegevens steeds tot de verzekerde moet wenden of toestemming aan de verzekerde moet vragen om die gegevens bij ZIDB c.s. op te vragen.
4.25.
Het Protocol schrijft verder voor welke stappen moeten worden genomen bij een materiële controle. Deze stappen komen overeen met de artikelen 7.5 tot en met 7.9 van de Rzv. ZIDB c.s. betwist dat Menzis dit stappenplan heeft gevolgd en, meer in het bijzonder, dat Menzis direct mocht overgaan tot een detailcontrole. In afwijking van haar eerdere standpunt in de correspondentie met ZIDB c.s., heeft ter zitting bevestigd dat een deel van haar controle ziet op een detailcontrole. De rechtbank stelt voorop dat uit de definities van de Rzv (opgenomen onder 2.4.) volgt dat een detailcontrole niet alleen ziet op de persoonsgegevens van de verzekerde betreffende de gezondheid. Dit betekent dat een onderzoek een detailcontrole wordt, zodra daarin persoonsgegevens van verzekerden worden betrokken. Artikel 7.8 lid 1 onder c Rzv bepaalt dat een zorgverzekeraar direct over mag gaan tot een detailcontrole, indien het vastgestelde specifieke doel van de materiële controle zonder detailcontrole niet kan worden bereikt. Bij specifieke signalen mag een zorgverzekeraar direct een specifieke risicoanalyse maken en overgaan tot een detailcontrole, mits de detailcontrole (dat wil zeggen de verwerking van de persoons-gegevens van de verzekerde) noodzakelijk is.
4.26.
In het Controlememorandum (opgenomen onder 2.6.) zijn de algemene controledoelen opgenomen, inhoudende een rechtmatigheidstoetsing. Controledoelen 1 en 2 betreffen de vraag of de indicatie en de verleende zorg is geleverd door zorgverleners met de kwalificatie zoals opgenomen in de verzekeringsvoorwaarden. Met doel 3 en 4 wil Menzis onderzoeken of de gedeclareerde zorg overeenkomt met de zorgindicatie en of de zorg feitelijk is geleverd. Naar het oordeel van de rechtbank heeft Menzis voldoende gemotiveerd dat een detailcontrole nodig is om de controledoelen 3 en 4 te realiseren. Zoals al eerder is overwogen zorgt het opvragen/verwerken van persoonsgegevens van de verzekerden direct voor een overgang naar een detailcontrole. De geformuleerde doelen 3 en 4 zijn niet haalbaar zonder informatie over de verzekerden. Dat Menzis deze gegevens betreffende de gezondheid van de verzekerden niet bij ZIDB c.s. kon opeisen, doet niet ter zake bij de vraag of Menzis de stap naar een detailcontrole mocht maken.
4.27.
Het Protocol verplicht de zorgverzekeraar niet om de specifieke risicoanalyse en de vastgelegde specifieke controledoelen aan de zorgaanbieder te verstrekken. De stelling van ZIDB c.s. dat Menzis haar het Controlememorandum eerder had moeten verstrekken gaat dus niet op. Artikel 7.8 lid 1 onder e Rzv schrijft slechts voor dat de zorgverzekeraar de zorgaanbieder voorafgaand aan de uitvoering van de detailcontrole toereikende informatie verstrekt waaruit blijkt hoe aan de voorwaarden van artikel 7.8 lid 1 wordt voldaan. Menzis heeft naar het oordeel van de rechtbank aan deze informatieplicht voldaan met haar brieven van 6 mei 2019, 1 november 2019 en 10 maart 2020 (waarbij ook het Controlememorandum is verstrekt), weergegeven onder 2.5., 2.9. en 2.11. van het vonnis in incident van 22 juli 2020.
4.28.
Tot slot heeft Menzis ten aanzien van de materiële controle onweersproken gesteld dat zij op haar website algemene informatie heeft opgenomen over de wijze waarop zij uitvoering geeft aan haar (materiële) controletaak. De vermelding op de website zorgt samen met de informatie in de hiervoor genoemde brieven dat Menzis heeft voldaan aan de uit artikel 7.7 Rzv voortvloeiende verplichting tot het openbaar maken van informatie over het controledoel en het vastgestelde controleplan.
4.29.
Het voorgaande leidt tot de conclusie dat het doel van de controle niet op een andere manier kan worden bereikt (noodzaak en subsidiariteit) en dat voor het bereiken van het controledoel niet een lichter middel kan worden ingezet (proportionaliteit), omdat inzage in de diploma’s noodzakelijk wordt geacht. Menzis voert dan ook de controle uit overeenkomstig de regels uit het Protocol. Dit leidt tot de vaststelling dat ZIDB c.s., ingevolge artikel 7.4 lid 2 Rzv, verplicht is om de in rov. 4.3 onder 1. en 2. genoemde persoonsgegevens van de indicatiestellers en zorgverleners (voor- en achternaam, BIG- nummer, kopie diploma) aan Menzis te verstrekken ten behoeve van de materiële controle. Dat Menzis ten aanzien van de medische persoonsgegevens van de verzekerden niet de aangewezen route heeft bewandeld door deze niet bij hen zelf op te vragen, doet daar niet aan af. Het ten onrechte bij ZIDB c.s. opvragen van de medische persoonsgegevens van de verzekerden heeft niet tot gevolg dat ZIDB c.s. daarom niet mag voldoen aan dat deel van het onderzoek waartoe zij, op grond van de geldende regelgeving, wel gehouden is.
Onrechtmatige daad
4.30.
In de brief van 1 november 2019 schrijft Menzis aan ZIDB c.s. dat zij stopt met het betalen van declaraties zonder dat zij voorafgaand kan controleren of de gedeclareerde zorg feitelijk is verleend en of er sprake is van de inzet van gekwalificeerd personeel. Voor deze controle vooraf vraagt Menzis aan ZIDB c.s. de toezending van dezelfde gegevens die Menzis aan ZIDB c.s. vraagt in het kader van de materiële/detailcontrole. Menzis stelt in het vooruitzicht dat, indien ZIDB c.s. de gevraagde informatie niet meestuurt met een declaratie, Menzis niet kan beoordelen of de gedeclareerde zorg voor vergoeding in aanmerking komt en daarom de desbetreffende declaratie niet zal vergoeden. Menzis schrijft tot slot dat zij erop vertrouwt dat ZIDB c.s. waar nodig toestemming van de verzekerde vraagt voor de verstrekking van de gegevens. Zoals in rov. 4.14. is geoordeeld, ontbreekt een wettelijke grondslag voor ZIDB c.s. om haar medisch beroepsgeheim te doorbreken en moet Menzis voor de toestemming van de verzekerde zorgen (zie 4.15.). Onder deze omstandigheden handelt Menzis onrechtmatig door van ZIDB c.s. meer te vragen dan waartoe ZIDB c.s. gehouden en bevoegd is en aan de weigering van ZIDB c.s. om die gegevens te verstrekken de consequentie te verbinden dat de declaratie wordt afgewezen. Daarmee is naar het oordeel van rechtbank reeds sprake van het uitoefenen van ongeoorloofde druk. Dat betekent dat het feit dat Menzis heeft nagelaten om haar verzekerden actief te benaderen om alsnog toestemming te verkrijgen om de persoonsgegevens van de verzekerden te mogen verwerken, verder geen bespreking behoeft. Datzelfde geldt voor de vraag of Menzis alleen met het doel om druk uit te oefenen is overgegaan tot het vooraf controleren van alle declaraties.
4.31.
Ten aanzien van de namen, BIG-nummers en kopieën van de diploma’s van de indicatiestellers en zorgverleners heeft te gelden dat Menzis deze gegevens bij ZIDB c.s. mocht opvragen en dat ZIDB c.s. deze gegevens moest verstrekken, nu Menzis bij de materiële controle/detailcontrole de regels uit de Rzv en het Protocol in acht heeft genomen, zodat op dit punt geen sprake is van onrechtmatig handelen vanwege het uitoefenen van ongeoorloofde druk.
4.32.
Dit neemt niet weg dat het stopzetten van de betaling van de declaraties in afwachting van de persoonsgegevens van de indicatiestellers en zorgverleners een indirecte onrechtmatige daad zou kunnen opleveren. Zoals reeds is overwogen in het vonnis in incident (rov. 4.11. tot en met 4.13.) vormt de contractsverhouding tussen Menzis en haar verzekerden een schakel waarmee de belangen van ZIDB c.s. zijn verbonden en staat het Menzis daarom niet onder alle omstandigheden vrij om de belangen te verwaarlozen die ZIDB c.s. kan hebben bij een correcte nakoming van de zorgovereenkomsten door Menzis (vgl. Hoge Raad 11 juli 2014, ECLI:NL:HR:2014:1646). Omstandigheden die moeten worden meegewogen zijn dat het tot de taken van een zorgverzekeraar behoort om te controleren of een ingediende declaratie behoort tot het verzekerd pakket, dat de controle op het opleidingsniveau van de indicatiestellers en zorgverleners legitiem wordt geacht en dat de verzekerden van Menzis aan ZIDB c.s. slechts het bedrag zijn verschuldigd dat door Menzis aan hen wordt vergoed, zodat het stopzetten van de betaling van de declaraties rechtstreeks effect heeft op ZIDB c.s. (zie voor dit laatste 2.2. en 4.13. van het vonnis in incident).
4.33.
Ten aanzien van de stelling van ZIDB c.s. dat Menzis in het kader van de zorgverzekeringsovereenkomst met haar verzekerden niet het recht toekomt om een declaratie vóór uitbetaling te controleren, overweegt de rechtbank als volgt. Menzis heeft toegelicht dat de vooraf verleende machtiging ziet op de vaststelling dat de verzekerde op grond van de zorgindicatie redelijkerwijs is aangewezen op wijkverpleging en op de omvang van deze wijkverpleging. De rechtbank volgt Menzis in haar betoog dat deze machtiging niet kan worden gezien als een toezegging tot betaling van de declaraties, maar als een vaststelling dat een verzekerde wijkverpleging in een bepaalde omvang nodig heeft, dat die wijkverpleging behoort tot het verzekerd pakket en dat die wijkverpleging, indien bij de uitvoering daarvan wordt voldaan aan de polisvoorwaarden, zal worden vergoed. De conclusie is dan ook dat de vooraf verleende machtiging Menzis niet het recht heeft ontnomen om de declaraties voorafgaand aan betaling te controleren. Een zorgverzekeraar kan er vanuit het kostenaspect voor kiezen om de aanzienlijke hoeveelheid declaraties die zij ontvangt (zeker bij een veelal langdurige zorgbehoefte zoals wijkverpleging) direct uit te betalen en pas later (en dan alleen als daarvoor aanwijzingen zijn) over te gaan tot een controle. Dit betekent niet dat de zorgverzekeraar de declaratie niet vóór uitbetaling mag controleren. Dat Menzis in eerdere jaren de declaraties van verzekerden voor door ZIDB c.s. geleverde zorg zonder voorafgaande controle heeft uitbetaald, maakt dus niet dat Menzis daarmee heeft afgezien van haar recht om zich ervan te vergewissen of een ingediende declaratie valt binnen het verzekerd pakket. Menzis heeft gemotiveerd gesteld dat zij achteraf controleert waar het kan en vooraf controleert als dat nodig is en dat zij deze noodzaak tot controle vooraf baseert op door haar ontvangen signalen dat andere niet gecontracteerde zorgaanbieders op het gebied van wijkverpleging niet voldoen aan de door Menzis vereiste opleidingsvereisten van de zorgverleners.
4.34.
ZIDB c.s. betoogt in dit verband voorts dat de Zvw en de polisvoorwaarden niet bepalen binnen welke termijn Menzis de kosten van zorg aan de verzekerde moet vergoeden, zodat Menzis ingevolge artikel 6:38 BW haar betalingsverplichting terstond had moeten nakomen. ZIDB c.s. verwijst daarbij ook naar de “Beleidsregel toezichtkader zorgplicht zorgverzekeraars” van de Nederlandse zorgautoriteit. Ten aanzien van verplichtingen voor verzekeraars bij een restitutiepolis is in deze beleidsregel onder punt 7.5 opgenomen dat de zorgverzekeraar de kosten van zorg die zijn verzekerden hebben gemaakt ‘prompt’ aan hen moet vergoeden. Naar het oordeel van de rechtbank gaat dit niet zo ver dat dit betekent dat een zorgverzekeraar niet eerst mag controleren of de declaratie onder de dekking valt. Ten aanzien van de vooraf verleende machtiging is al geoordeeld dat deze niet gezien kan worden als een toezegging om de declaratie direct na indiening te betalen. Menzis behoudt het recht om de declaratie eerst te controleren. Declaraties waarvan (na controle) vast staat dat deze onder de verzekeringsdekking vallen, moeten vervolgens wel – zoals Nza vereist – ‘prompt’ worden betaald.
4.35.
De materiële controle en de controle voorafgaande aan de betaling kunnen dan ook niet tot de conclusie leiden dat Menzis de zorgverzekeringsovereenkomst niet behoorlijk nakomt, nog daargelaten dat ZIDB c.s. de stelling van Menzis dat de verzekerden niet bij haar klagen over het uitblijven van de betaling van declaraties, onvoldoende heeft weersproken. Verder heeft Menzis toegezegd dat zij, indien blijkt dat de geleverde zorg voldoet aan de voorwaarden voor verzekeringsdekking, de declaraties zal uitbetalen. Daar komt bij dat ZIDB c.s. ook niet die informatie heeft verstrekt die zij wel behoorde te verstrekken, namelijk de persoonsgegevens van de zorgverleners, terwijl uit de stellingen van Menzis volgt dat zij juist daar onderzoek naar wil doen, omdat Menzis twijfels heeft of ZIDB c.s. zorgverleners met het juiste opleidingsniveau inzet. De rechtbank komt dan ook tot de conclusie dat geen sprake is van een indirecte onrechtmatige daad. Daarbij geeft de rechtbank Menzis nog wel in overweging dat, hoewel dat nu (nog) niet het geval is, haar ‘stilzitten’ op een gegeven moment wel tot consequenties zou kunnen leiden.
4.36.
Het voorgaande leidt tot de conclusie dat de rechtbank de onder I. gevorderde verklaring voor recht zal toewijzen voor zover die betrekking heeft op het verstrekken van (medische) persoonsgegevens van verzekerden. Nu ten aanzien van de onder II. gevorderde verklaring voor recht geen onrechtmatig handelen van Menzis is komen vast te staan, zal die verklaring voor recht worden afgewezen. Hetzelfde lot treft het onder III. gevorderde verbod tot opschorten van de verzekeringsdekking.
Schadevergoeding
4.37.
Zoals uit het voorgaande volgt, heeft Menzis onrechtmatig gehandeld door persoonsgegevens van de verzekerden bij ZIDB c.s. op te vragen zonder een wettelijke grondslag en het mede aan de weigering van ZIDB c.s. tot verstrekking van die gegevens verbinden van consequenties te weten het (nog) niet uitbetalen van declaraties van verzekerden. De vraag is of dit onrechtmatig handelen tot schade bij ZIDB c.s. heeft geleid.
4.38.
De stelling van ZIDB c.s. dat zij schade heeft geleden bestaande uit het gevorderde totaalbedrag van de ingediende en niet uitgekeerde declaraties wordt verworpen.
Immers, niet staat vast dat deze declaraties (al) (volledig) zouden zijn uitbetaald als de onrechtmatige daad niet zou hebben plaatsgevonden en Menzis de medische persoonsgegevens direct bij de verzekerden zou hebben opgevraagd. Daarvoor is immers allereerst vereist dat de gedeclareerde zorg (volledig) onder de dekking van de zorgverzekering valt, waarvoor onder meer het nog niet beslechte twistpunt van belang is welk opleidingsniveau de zorgverleners en indicatiestellers hebben. ZIDB c.s. erkent dat mogelijk tenminste een deel van hen niet het vereiste niveau heeft. Daarnaast hangt het onder meer af van het soort polis dat een verzekerde heeft (natura of restitutie) of de verzekerde recht heeft op een volledige vergoeding of slechts op een (vooraf) vastgesteld deel van de kosten van de verleende zorg. Voorts heeft Menzis, zoals overwogen, toegezegd dat zij de declaraties alsnog zal uitbetalen indien en voor zover blijkt dat de geleverde zorg voldoet aan de voorwaarden voor verzekeringsdekking. Dat er dan nog een verschil is in de situatie met en zonder onrechtmatige daad heeft ZIDB c.s. niet onderbouwd. ZIDB c.s. heeft niet (onderbouwd) gesteld dat Menzis nu al tot uitbetaling zou zijn overgegaan indien Menzis de onrechtmatige daad niet had begaan en zich direct (voor een toestemmings-verklaring) tot de verzekerden had gericht voor de medische persoonsgegevens. Dat staat ook niet zonder meer vast nu mag worden aangenomen dat daarvoor enige tijd nodig is. Bovendien heeft de rechtbank overwogen dat Menzis wel gerechtigd was de namen, BIG-nummers en kopieën van de diploma’s van de indicatiestellers en zorgverleners bij ZIDB c.s. op te vragen en zijn ook deze gegevens nog niet verstrekt. Dat Menzis zonder de verstrekking van die gegevens al tot betaling zou zijn overgegaan kan zonder nadere onderbouwing, die ontbreekt, niet worden aangenomen. Dat en in hoeverre de onrechtmatige daad van Menzis verder tot vertraging zal leiden of heeft geleid en dat en in hoeverre dat dan tot schade bij ZIDB c.s. leidt, heeft ZIDB c.s. verder niet concreet gemaakt. Voorshands kan er niet van worden uitgegaan dat Menzis, naar aanleiding van dit vonnis en de in het dictum opgenomen verklaring voor recht, niet alsnog ‘prompt’ de juiste weg zal bewandelen om de medische persoonsgegevens die zij nodig heeft voor de beoordeling van de declaraties te krijgen. Zoals overwogen in rov. 4.35 kan ‘stilzitten’ van Menzis en het nalaten die stappen te nemen mogelijk tot een nieuwe onrechtmatige daad leiden en tot aansprakelijkheid van de schade die daardoor dan ontstaat.
4.39.
Het vorenstaande leidt tot de conclusie dat de door ZIDB c.s. gevorderde schadevergoeding wordt afgewezen. Nu ZIDB c.s. ook verder niet heeft onderbouwd dat en welke schade zij door het onrechtmatige handelen van Menzis heeft geleden is ook verwijzing naar een schadestaatprocedure niet aan de orde.
4.40.
De rechtbank gaat ervan uit dat het weglaten van de vordering ten aanzien van buitengerechtelijke kosten van in totaal € 4.775,00 in de laatste vermeerdering van eis van ZIDB c.s. op een vergissing berust, omdat dit deel van de vordering wel in de op de zitting van 9 juni 2020 genomen vermeerdering van eis is meegenomen. Deze kosten komen echter evenmin voor toewijzing in aanmerking, nu ZIDB c.s. op geen enkele wijze onderbouwd heeft dat zij kosten heeft gemaakt die niet moeten worden aangemerkt als betrekking hebbend op verrichtingen waarvoor de proceskostenveroordeling wordt geacht een vergoeding in te sluiten.
4.41.
Aangezien elk van partijen als op enige punten in het ongelijk gesteld is te beschouwen, zullen de proceskosten worden gecompenseerd op de hierna te vermelden wijze.
5.De beslissing
De rechtbank
5.1.
verklaart voor recht dat Menzis onrechtmatig heeft gehandeld en handelt door te proberen ZIDB c.s. te bewegen om medische persoonsgegevens van haar verzekerden te verstrekken op de gronden die zij aanvoert in haar brieven van 6 mei 2019, 3 juli 2019 en
1 november 2019,
5.2.
compenseert de kosten van deze procedure tussen partijen, in die zin dat iedere partij de eigen kosten draagt.
5.3.
wijst het meer of anders gevorderde af.
Dit vonnis is gewezen door mr. M.J.P. Heijmans, mr. T.P.E.E. van Groeningen en mr. K. van Vlimmeren-van Ommen en in het openbaar uitgesproken op 12 mei 2021.
Bij afwezigheid van de voorzitter getekend door de oudste rechter.