Uitspraken

Voor de beoordeling van de vorderingen van ZIDB c.s. en haar stelling dat Menzis jegens haar, ‘direct’ of ‘indirect’, onrechtmatig heeft gehandeld is allereerst van belang vast te stellen of (en zo ja, in hoeverre) Menzis de verlangde persoonsgegevens mag opvragen en of (en zo ja, in hoeverre) ZIDB c.s. die persoonsgegevens mag en/of moet verstrekken.

De rechtbank stelt voorop dat de zorgverzekeraar tot haar wettelijke taak heeft om de rechtmatigheid en doelmatigheid van de door zorgaanbieders in rekening gebrachte prestaties te controleren. Het uitvoeren van deze controletaak kan er toe leiden dat een zorgverzekeraar persoonsgegevens moet inzien en verwerken. Dat wordt op zichzelf ook niet door ZIDB c.s. betwist.

1. gegevens van de indicatiesteller:

- voor- en achternaam,

- BIG- nummer,

- kopie diploma,

2. een overzicht waaruit blijkt welke medewerker(s) zorg heeft c.q. hebben verleend, met daarbij per medewerker:

- voor- en achternaam,

- BIG- nummer,

- kopie diploma,

3. de indicatie, inhoudende een weergave van welke zorg is geïndiceerd en de omvang van de geïndiceerde zorg,

4. een overzicht van de data en tijdstippen waarop welke medewerker welke zorg heeft verleend.

Geen punt van geschil is dat de informatie die Menzis bij ZIDB c.s. per declaratie opvraagt, ziet op geïdentificeerde of identificeerbare personen en dat het daarmee gaat om persoonsgegevens in de zin van de AVG. Het gaat zowel om (medische) persoonsgegevens van de verzekerden als persoonsgegevens van de indicatiestellers en zorgverleners. De verwerking van persoonsgegevens is gebonden aan de regels die zijn opgenomen in de AVG en de UAVG. Daarbij ziet artikel 6 AVG op ‘gewone’ persoonsgegevens en artikel 9 AVG op ‘bijzondere’ persoonsgegevens, waaronder gegevens over gezondheid. Artikel 9 lid 2 AVG jo 30 lid 3 UAVG maakt - onder voorwaarden - voor onder meer zorgverzekeraars een uitzondering op het uit artikel 9 lid 1 AVG volgende verbod op verwerking van gezondheidsgegevens. Een zorgverzekeraar mag ingevolge artikel 30 lid 3 UAVG gezondheidsgegevens verwerken indien dit noodzakelijk is voor de uitvoering van de verzekering.

Uit artikel 4 AVG volgt dat onder het ‘verwerken’ van persoonsgegevens zowel het opvragen en verder gebruiken van persoonsgegevens, zoals Menzis doet, als het verstrekken van persoonsgegevens, zoals Menzis van ZIDB c.s. verwacht, wordt verstaan.

Artikel 4 AVG omschrijft eveneens wat onder ‘gegevens over gezondheid’ moet worden verstaan. Dezelfde term is ook omschreven in de inleidende overweging (35) van de AVG. Daarin staat dat de persoonsgegevens over gezondheid alle gegevens omvatten die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. Reeds vóór de inwerkingtreding van de AVG werd het begrip ‘gezondheid’ uit artikel 21 Wet bescherming persoonsgegevens (Wbp) ook al ruim uitgelegd (Kamerstukken II 1997-1998, 25892, nr. 3, p. 109), waarbij van belang is dat artikel 30 UAVG materieel van gelijke strekking wordt geacht als artikel 21 Wbp (Kamerstukken II 2017-2018, 34851 nr. 3, p. 95). Deze ruime uitleg van het begrip ‘gezondheid’ brengt mee dat de zorgverzekeraar in haar controle snel behoefte zal hebben aan gegevens die zijn aan te merken als persoonsgegevens over gezondheid.

Voor de uitvoering van haar wettelijke taak tot het controleren van de rechtmatigheid en doelmatigheid van de door zorgaanbieders in rekening gebrachte prestaties kan het voor Menzis noodzakelijk zijn om gegevens over de gezondheid te verwerken, zodat voor haar de uitzondering van artikel 30 derde lid UAVG van toepassing kan zijn. Dit betekent echter niet dat ZIDB c.s. als zorgaanbieder daarom ook zonder meer gehouden is om gegevens over de gezondheid van verzekerden aan Menzis te verstrekken. Voor de beantwoording van deze vraag is de Memorie van Toelichting bij de UAVG van belang, waarin de minister over de verhouding tussen artikel 30 UAVG en het medisch beroepsgeheim van artikel 7:457 BW het volgende opmerkt (Kamerstukken II 2017-2018, 34851 nr. 3, p. 95):

De wetgever heeft derhalve nadrukkelijk beoogd dat verstrekking van gezondheidsgegevens eerst moet worden getoetst aan de regels voor doorbreking van het medisch beroepsgeheim. Artikel 7:457 BW bepaalt dat de hulpverlener geen mededelingen aan derden mag doen over patiëntgegevens, tenzij de patiënt daarvoor toestemming geeft of als wet- of regelgeving de hulpverlener daartoe verplicht. Er moet dus een wettelijke basis zijn voor doorbreking van het medisch beroepsgeheim.

De vervolgvraag is dan of wet- of regelgeving ZIDB c.s. verplicht om het medisch beroepsgeheim te doorbreken. Artikel 87 Zvw bevat in het kader van de Zvw de waarborgen voor de privacy van verzekerden bij gegevensuitwisseling tussen zorgaanbieders en zorgverzekeraars. Met inachtneming van deze bepaling kan het beroepsgeheim van artikel 7:457 BW opzij worden gezet. De wetgever heeft in artikel 87 Zvw echter een onderscheid gemaakt tussen een gecontracteerde zorgaanbieder en een niet-gecontracteerde zorgaanbieder. Artikel 87 lid 1 Zvw bepaalt dat de gecontracteerde zorgaanbieder de persoonsgegevens van de verzekerde rechtstreeks aan de zorgverzekeraar moet verstrekken. Dit betreft dus een (wettelijk geregelde) doorbreking van het medisch beroepsgeheim. In het geval van een niet-gecontracteerde zorgaanbieder (zoals ZIDB c.s.) ligt het anders. Artikel 87 lid 2 bepaalt dat de zorgaanbieder de persoonsgegevens desgevraagd aan de verzekerde moet verstrekken, zodat de verzekerde de gegevens aan zijn zorgverzekeraar kan verstrekken. Bij expliciete toestemming van de verzekerde kunnen de persoonsgegevens van de verzekerde rechtstreeks door de zorgaanbieder aan de zorgverzekeraar worden verstrekt.

Menzis betoogt dat de wettelijke grondslag gevonden moet worden in artikel 7.3 lid 2 Rzv, waarin staat dat de zorgaanbieder verplicht is om de in artikel 7.2 onder i Rzv bedoelde gegevens desgevraagd te verstrekken aan de zorgverzekeraar.

Artikel 87 lid 6 Zvw bepaalt dat bij ministeriële regeling verdere voorschriften kunnen worden opgesteld over het verstrekken en het verder verwerken van persoonsgegevens van de verzekerde, waaronder voorschriften voor het verrichten van controle of fraudeonderzoek (artikel 87 lid 6 onder e, sub 4 Zvw). Daarvoor is de Rzv opgesteld, waarvan artikel 87 Zvw de grondslag vormt. De door Menzis aangehaalde artikelen zijn bij de wijziging van 30 juni 2010 aan de Rzv toegevoegd ten behoeve van de materiële controle. Over de noodzaak en de betekenis van deze wijziging heeft de minister van Volksgezondheid, Welzijn en Sport het volgende opgemerkt (Staatscourant 2010, 10581):

Naar het oordeel van de rechtbank kan deze wijziging in de Rzv, een ministeriële regeling ex artikel 87 Zvw, het in artikel 87 Zvw opgenomen verschil tussen een gecontracteerde zorgaanbieder en een niet-gecontracteerde zorgaanbieder in het verstrekken van persoonsgegevens van de verzekerde niet opheffen. Artikel 87 Zvw lid 6 (of een andere bepaling uit die wet) geeft geen grondslag om bij ministeriele regeling, zoals de Rzv, alsnog te bepalen dat de persoonsgegevens van de verzekerde rechtstreeks aan de zorgverzekeraar moeten of mogen worden verstrekt in plaats van via de verzekerde. Daarvoor is een wijziging van artikel 87 Zvw noodzakelijk. De wetgever heeft dit ook ingezien en getracht met wetsvoorstel 33980 (Wijziging van de Wet marktordening gezondheidszorg en enkele andere wetten in verband met het verbeteren van toezicht, opsporing, naleving en handhaving) artikel 87 Zvw te wijzigen, zodat ook voor niet-gecontracteerde zorgaanbieders een wettelijke grondslag bestaat om het medisch beroepsgeheim opzij te zetten om te voldoen aan de verplichting tot gegevensverstrekking, voor zover dat noodzakelijk is voor de uitvoering van de Zvw. Bij de voorgenomen herziening zorgstelsel (TK 2018-2019, 29689, nummer 941) heeft de minister wetsvoorstel 33980 aangehaald als noodzakelijk om de huidige beperktere mogelijkheden tot controle bij niet-gecontracteerde zorgaanbieders te veranderen. De minister schrijft dat de zorgverzekeraar bij de controle bij een niet-gecontracteerde zorgaanbieder de mogelijkheid moet krijgen om zonder tussenkomst van de verzekerde materiële controles te kunnen uitvoeren in het geval er concrete aanwijzingen zijn dat de declaraties mogelijk niet rechtmatig zijn. Het wetsvoorstel 33980 is echter ingetrokken, waarbij de minister in de brief van 2 juli 2019 aan de Tweede Kamer schrijft:

Het voorgaande leidt tot de conclusie dat een wettelijke grondslag voor doorbreking van het medisch beroepsgeheim voor een niet-gecontracteerde zorgaanbieder ontbreekt. Op grond van artikel 87 lid 2 Zvw bestaat de wettelijke verplichting van de niet-gecontracteerde zorgaanbieder bij een controle uit het verstrekken van de persoonsgegevens van de verzekerde aan die verzekerde, zodat de verzekerde deze gegevens aan de zorgverzekeraar kan verstrekken. Het medisch beroepsgeheim van artikel 7:457 BW staat eraan in de weg dat ZIDB c.s. de persoonsgegevens over de gezondheid van de verzekerden zonder hun toestemming rechtstreeks aan Menzis mag verstrekken. De vraag of (en in hoeverre) de opgevraagde gegevens vallen onder 7.2 onder a t/m h, zoals ZIDB c.s. stelt of onder categorie i, zoals Menzis stelt, behoeft daarom geen beantwoording meer.

De rechtbank volgt Menzis niet in haar stelling dat het aan ZIDB c.s. is om toestemming van de verzekerden te verkrijgen. Daartoe overweegt de rechtbank dat het indienen van (een kopie van) de declaratie door ZIDB c.s. gezien moet worden als een verzoek namens de verzekerde tot vergoeding van de declaratie aan de verzekerde. Menzis moet vaststellen of de declaratie voldoet aan de dekkingsvoorwaarden van de zorgverzekering. Het is aldus in de relatie tussen Menzis en de verzekerde, waar ZIDB c.s. verder buiten staat, dat Menzis haar controletaak uitoefent. Indien Menzis het ter uitoefening van haar controletaak nodig acht om persoonsgegevens op te vragen, ligt het op de weg van Menzis om aan haar verzekerde toestemming te vragen om de persoonsgegevens van de verzekerde bij ZIDB c.s. op te vragen. Menzis gaat daar in eerste instantie in haar brief van 6 mei 2019 ook vanuit, nu Menzis daarin schrijft dat ZIDB c.s. alleen met uitdrukkelijke toestemming van de verzekerde persoonsgegevens omtrent zijn/haar gezondheid mag overdragen aan Menzis en dat Menzis daarom de betrokken verzekerden heeft gevraagd om een toestemmingsverklaring te ondertekenen. De latere wijziging van standpunt van Menzis dat het aan ZIDB c.s. is om de toestemming te vragen, heeft ervoor gezorgd dat Menzis uiteindelijk geen toestemming aan de verzekerden heeft gevraagd.

De conclusie is dan dat Menzis de door haar opgevraagde gegevens zoals weergegeven in rov. 4.3., onder 3. en 4. (zorgindicatie en het overzicht van de data en tijdstippen waarop welke medewerker welke zorg heeft verleend), die informatie geven over de lichamelijke of geestelijke toestand van de verzekerden, niet bij ZIDB c.s. kan opeisen, althans niet zolang die verzekerden daarvoor niet, op instigatie van Menzis, hun toestemming hebben gegeven.

Op de beantwoording van de vraag of Menzis (wel) de in rov. 4.3. onder 1. en 2. genoemde, niet de gezondheid betreffende, gegevens van de door haar ingeschakelde indicatiestellers en zorgverleners bij ZIDB c.s. kan opeisen, is artikel 6 AVG van toepassing. Verwerking van die gegevens is rechtmatig indien aan bepaalde voorwaarden wordt voldaan. In het onderhavige geval kan de verwerking rechtmatig zijn indien de indicatiesteller of zorgverlener toestemming heeft gegeven (artikel 6 lid 1 onder a AVG) of indien de verwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van Menzis (artikel 6 lid 1 onder f AVG). Uit artikel 87 lid 4 Zvw valt op zichzelf een verplichting af te leiden voor de door ZIDB c.s. ingeschakelde indicatiestellers en zorgverleners om persoonsgegevens te verstrekken die ZIDB c.s. nodig heeft om te voldoen aan haar verplichtingen uit artikel 87 Zvw. Gesteld noch gebleken is dat de indicatiestellers en zorgverleners hieraan niet willen voldoen of daarvoor geen toestemming hebben gegeven. ZIDB c.s. heeft ook niet weersproken dat Menzis recht heeft op deze persoonsgegevens. Zij heeft alleen gesteld dat zij slechts aan een dergelijk verzoek kan voldoen als het verzoek zich beperkt tot de persoonsgegevens van de indicatiestellers en zorgverleners en Menzis zich houdt aan de regels zoals deze gelden voor een materiële controle. Naar het oordeel van de rechtbank is ZIDB c.s. de aangewezen partij om deze persoonsgegevens te verstrekken, omdat ZIDB c.s., in tegenstelling tot de verzekerde, de beschikking heeft over deze persoonsgegevens en precies weet welke (onder)zorgaanbieder zij heeft ingezet voor de wijkverpleging aan de verzekerden van Menzis. Van ZIDB c.s. als zorgaanbieder mag worden verwacht dat zij meewerkt aan het verstrekken van persoons-gegevens van de door haar ingeschakelde indicatiestellers en zorgverleners. De controle op rechtmatigheid en doelmatigheid van de verleende zorg door de zorgverzekeraars is immers onderdeel van het zorgstelsel. De verwerking van de persoonsgegevens van de indicatiestellers en zorgverleners is noodzakelijk voor de uitoefening van de op Menzis als zorgverzekeraar rustende controletaak, zodat reeds op die grond verwerking rechtmatig wordt geacht.

Dit laat onverlet dat aan het verwerken van persoonsgegevens van de indicatiestellers en zorgverleners gezien het belang van bescherming van hun persoonlijke levenssfeer eisen worden gesteld. De verwerking moet noodzakelijk zijn voor het met de materiële controle gediende doel, het doel kan niet op een andere wijze worden bereikt (subsidiariteit) en het doel kan niet worden bereikt op een wijze die de privacy van de (in dit geval) zorgverlener minder belast (proportionaliteit). Dit volgt uit de AVG, de Rzv en de Gedragscode inclusief het Protocol. De verplichte medewerking van de zorgaanbieder is ingevolge artikel 7.4 Rzv gekoppeld aan de voorwaarde dat de zorgverzekeraar het onderzoek uitvoert zoals in de Rzv is bepaald, waarbij de eisen uit de Rzv door de zorgverzekeraars in het Protocol nader zijn ingevuld. Kort gezegd, aan de voorwaarden voor het verwerken van persoonsgegevens van de zorgverleners is voldaan indien Menzis handelt overeenkomstig de Rzv en het Protocol.

De eerste vraag is dan of Menzis een materiële controle mocht starten. In artikel 1 lid 1 sub z Rzv is opgenomen dat onder een materiële controle wordt verstaan ”een onderzoek waarbij de zorgverzekeraar nagaat of de door de zorgaanbieder in rekening gebrachte prestatie is geleverd en die geleverde prestatie het meest was aangewezen gezien de gezondheidstoestand van de verzekerde”. Voorafgaand aan deze controle beschikt Menzis over de machtiging die zij heeft afgegeven, waarin op basis van de zorgindicatie is vastgesteld dat de betreffende verzekerde recht heeft op wijkverpleging en in welke omvang. Daarnaast beschikt Menzis over de declaratie met daarop de volgende informatie: de datum waarop de zorg is verleend, een prestatiecode en een tijdseenheid waarin de zorg is verleend. Het naast elkaar leggen van de machtiging en de declaratie geeft alleen antwoord op de vraag of de declaratie betrekking heeft op wijkverpleging en of de in de machtiging vastgestelde omvang van de zorg wel of niet wordt overschreden. Dit valt onder de formele controle zoals bedoeld in de Rzv.

Ter zitting heeft Menzis bevestigd dat het te controleren doel met name ziet op de vraag of de zorg door een zorgverlener met het vereiste (opleidings)niveau is verleend en of de zorgindicatie door een wijkverpleegkundige met opleidingsniveau 5 is opgesteld.
Nu de declaraties geen zicht geven op wie de zorg daadwerkelijk heeft verleend, kan het te controleren doel niet worden behaald door middel van een formele controle. Ten aanzien van de aanleiding van de voorgenomen controle heeft Menzis gesteld dat zij signalen heeft ontvangen dat bij de wijkverpleging een deel van de zorg wordt uitgevoerd door zorgverleners met niveau 2 in plaats van het in de polisvoorwaarden vereiste niveau 3. ZIDB c.s. heeft ter zitting bevestigd dat bij wijkverpleging in het algemeen ook zorgtaken worden uitgevoerd door zorgverleners met niveau 2. Hoewel dit niet hoeft te betekenen dat ZIDB c.s. in haar zorgverlening bij de verzekerden van Menzis zorgverleners met niveau 2 heeft ingezet - ZIDB c.s. is bekend met de polisvoorwaarden van Menzis en stelt daar rekening mee te houden -, geeft dit, naar het oordeel van de rechtbank, wel voldoende aanleiding voor Menzis om dit te onderzoeken.

ZIDB c.s. betwist echter de legitimiteit van de controle en stelt daartoe dat Menzis bij wijkverpleging de door zorgverleners met niveau 2 verleende zorg niet van dekking mag uitsluiten omdat dit, volgens ZIDB c.s., in strijd is met de wet. Dat de zorgindicatie moet worden opgesteld door een wijkverpleegkundige met opleidingsniveau 5 is niet in geschil, zodat de naleving daarvan op zichzelf een te controleren doel is. Uit de verzekeringsvoorwaarden van Menzis (aangehaald onder 2.5.) volgt dat Menzis vereist dat de zorg wordt verleend door een verzorgende met opleidingsniveau 3 of hoger. In de Memorie van Toelichting op de Zvw (Tweede Kamer, vergaderjaar 2003-2004, 29763, nr. 3, p. 42) staat:

Het onderzoek van Menzis richt zich dus in belangrijke mate op rechtmatigheid, hetgeen ook als doel duidelijk blijkt uit het Controlememorandum. Volgens het Protocol moet met een materiële controle voldoende zekerheid worden verworven dat sprake is van rechtmatigheid en doelmatigheid van de gedeclareerde zorg. Hoewel het Protocol voorschrijft (onder “2. Doel materiële controle”, “definitie”) dat het hierbij niet gaat om het verkrijgen van absolute zekerheid dat in alle gevallen sprake is van rechtmatigheid en doelmatigheid, schrijft het Protocol ook voor dat een zorgverzekeraar bij specifieke signalen dat zich bij een bepaalde zorgsoort of bepaalde zorgaanbieders gebreken voordoen wat betreft rechtmatigheid en doelmatigheid, zich kan richten op het verkrijgen van meer zekerheid dan de 95% norm van voldoende zekerheid (onder “2. Doel materiële controle”, “Specifieke signalen”) p. 9). Naar het oordeel van de rechtbank heeft Menzis in haar Controlememorandum voldoende toegelicht dat signalen uit de reeds uitgevoerde controles bij andere aanbieders van wijkverpleging haar ertoe brengen om te gaan voor een 100% controle. De vaststelling of de zorg is uitgevoerd door een zorgverlener met niveau 3 is noodzakelijk om vast te stellen of er recht is op dekking onder de zorgverzekering. Omdat ZIDB c.s. verschillende onderaannemers inzet voor het verlenen van de zorg, kan een controle bij slechts een beperkt aantal declaraties geen goed beeld geven, zodat, gelet ook op de (mogelijk vergaande) gevolgen voor de toekenning van gedeclareerde zorg als gevolg van de inzet van bijvoorbeeld zorgverleners met niveau 2, de rechtbank de noodzaak voor Menzis om alle door ZIDB c.s. ingeschakelde zorgverleners en indicerende verpleegkundigen te controleren, onderschrijft.

Dat de controle van Menzis thans alle verzekerden betreft, die zorg geleverd krijgen via ZIDB c.s., acht de rechtbank niet in strijd met het uitgangspunt van het Protocol dat het onderzoek proportioneel moet zijn. Menzis is immers begonnen met een steekproef van 30 verzekerden, maar heeft dit vanwege de weigering van ZIDB c.s. om gegevens te verstrekken, opgeschaald naar alle verzekerden. Zoals reeds overwogen had ZIDB c.s. wel de gegevens betreffende de indicatiestellers en zorgverleners moeten verstrekken, mits ook overigens is voldaan aan het Protocol. Niet valt in te zien dat het Menzis in die situatie niet is toegestaan om het onderzoek op te schalen naar alle verzekerden. Het onderzoek richt zich immers niet specifiek op één bepaalde door ZIDB c.s. ingeschakelde onderaannemer die de zorg laat uitvoeren door een zorgverlener met niveau 2, nu de inzet van een zorgverlener met niveau 2 bij iedere verzekerde zou kunnen voorkomen.

Menzis dient bij haar controle het lichtst mogelijke middel in te zetten dat noodzakelijk is voor het bereiken van het beoogde doel. Verstrekking van persoonsgegevens is pas aan de orde als voor het onderzoek niet kan worden volstaan met minder gedetailleerde gegevens. De vraag is dan ook of Menzis voor haar controle persoonsgegevens nodig heeft en meer in het bijzonder, of Menzis kopieën van de diploma’s van de indicatiestellers en zorgverleners nodig heeft. ZIDB c.s. betwist dat dit nodig is en stelt daartoe dat in het AGB-register is vastgelegd of de betrokkene beschikt over een hbo of mbo-diploma verpleegkunde, zodat Menzis het niveau van de indicatiestellers en zorgverleners aan de hand van de AGB-code kan controleren. Menzis stelt op dit punt dat niet alle zorgverleners een AGB-code hebben en dat uit het AGB-register weliswaar volgt welk niveau opleiding iemand heeft genoten, maar niet welke specifieke opleiding het betreft. Verder stelt Menzis dat zorgverleners met niveau 2 geen AGB-code kunnen krijgen, zodat een overzicht van de AGB-codes Menzis niet het gewenste inzicht kan geven of ZIDB c.s. voldoende gekwalificeerde zorgverleners heeft ingezet. De rechtbank acht met het voorgaande voldoende gemotiveerd dat het AGB-register niet volstaat en dat Menzis belang heeft bij het, naast de naam en BIG-code, opvragen van de kopieën van de diploma’s van de indicatiestellers en de zorgverleners. Daarbij acht de rechtbank van belang dat dit, ten opzichte van raadpleging van het AGB register, niet zonder meer een ernstige extra inbreuk op hun persoonlijke levenssfeer betekent. In het verlengde hiervan is het voor Menzis ook noodzakelijk om een overzicht te krijgen van het totaal aantal uren dat een zorgverlener in een bepaalde periode is ingezet bij Menzis verzekerden. Om een concreet beeld te krijgen of de per verzekerde ingediende declaraties voor vergoeding in aanmerking komen, dat wil zeggen of de zorg conform de polisvoorwaarden is verricht, zal Menzis ook moeten kunnen vaststellen hoeveel uren zorg de betreffende zorgverlener bij een afzonderlijke verzekerde heeft verleend. Dit betreft echter, zoals in rov. 4.16. overwogen, gegevens betreffende de gezondheid van die verzekerden, zodat Menzis zich voor die specifieke gegevens steeds tot de verzekerde moet wenden of toestemming aan de verzekerde moet vragen om die gegevens bij ZIDB c.s. op te vragen.

Het Protocol schrijft verder voor welke stappen moeten worden genomen bij een materiële controle. Deze stappen komen overeen met de artikelen 7.5 tot en met 7.9 van de Rzv. ZIDB c.s. betwist dat Menzis dit stappenplan heeft gevolgd en, meer in het bijzonder, dat Menzis direct mocht overgaan tot een detailcontrole. In afwijking van haar eerdere standpunt in de correspondentie met ZIDB c.s., heeft ter zitting bevestigd dat een deel van haar controle ziet op een detailcontrole. De rechtbank stelt voorop dat uit de definities van de Rzv (opgenomen onder 2.4.) volgt dat een detailcontrole niet alleen ziet op de persoonsgegevens van de verzekerde betreffende de gezondheid. Dit betekent dat een onderzoek een detailcontrole wordt, zodra daarin persoonsgegevens van verzekerden worden betrokken. Artikel 7.8 lid 1 onder c Rzv bepaalt dat een zorgverzekeraar direct over mag gaan tot een detailcontrole, indien het vastgestelde specifieke doel van de materiële controle zonder detailcontrole niet kan worden bereikt. Bij specifieke signalen mag een zorgverzekeraar direct een specifieke risicoanalyse maken en overgaan tot een detailcontrole, mits de detailcontrole (dat wil zeggen de verwerking van de persoons-gegevens van de verzekerde) noodzakelijk is.

In het Controlememorandum (opgenomen onder 2.6.) zijn de algemene controledoelen opgenomen, inhoudende een rechtmatigheidstoetsing. Controledoelen 1 en 2 betreffen de vraag of de indicatie en de verleende zorg is geleverd door zorgverleners met de kwalificatie zoals opgenomen in de verzekeringsvoorwaarden. Met doel 3 en 4 wil Menzis onderzoeken of de gedeclareerde zorg overeenkomt met de zorgindicatie en of de zorg feitelijk is geleverd. Naar het oordeel van de rechtbank heeft Menzis voldoende gemotiveerd dat een detailcontrole nodig is om de controledoelen 3 en 4 te realiseren. Zoals al eerder is overwogen zorgt het opvragen/verwerken van persoonsgegevens van de verzekerden direct voor een overgang naar een detailcontrole. De geformuleerde doelen 3 en 4 zijn niet haalbaar zonder informatie over de verzekerden. Dat Menzis deze gegevens betreffende de gezondheid van de verzekerden niet bij ZIDB c.s. kon opeisen, doet niet ter zake bij de vraag of Menzis de stap naar een detailcontrole mocht maken.

Het Protocol verplicht de zorgverzekeraar niet om de specifieke risicoanalyse en de vastgelegde specifieke controledoelen aan de zorgaanbieder te verstrekken. De stelling van ZIDB c.s. dat Menzis haar het Controlememorandum eerder had moeten verstrekken gaat dus niet op. Artikel 7.8 lid 1 onder e Rzv schrijft slechts voor dat de zorgverzekeraar de zorgaanbieder voorafgaand aan de uitvoering van de detailcontrole toereikende informatie verstrekt waaruit blijkt hoe aan de voorwaarden van artikel 7.8 lid 1 wordt voldaan. Menzis heeft naar het oordeel van de rechtbank aan deze informatieplicht voldaan met haar brieven van 6 mei 2019, 1 november 2019 en 10 maart 2020 (waarbij ook het Controlememorandum is verstrekt), weergegeven onder 2.5., 2.9. en 2.11. van het vonnis in incident van 22 juli 2020.

Tot slot heeft Menzis ten aanzien van de materiële controle onweersproken gesteld dat zij op haar website algemene informatie heeft opgenomen over de wijze waarop zij uitvoering geeft aan haar (materiële) controletaak. De vermelding op de website zorgt samen met de informatie in de hiervoor genoemde brieven dat Menzis heeft voldaan aan de uit artikel 7.7 Rzv voortvloeiende verplichting tot het openbaar maken van informatie over het controledoel en het vastgestelde controleplan.

Het voorgaande leidt tot de conclusie dat het doel van de controle niet op een andere manier kan worden bereikt (noodzaak en subsidiariteit) en dat voor het bereiken van het controledoel niet een lichter middel kan worden ingezet (proportionaliteit), omdat inzage in de diploma’s noodzakelijk wordt geacht. Menzis voert dan ook de controle uit overeenkomstig de regels uit het Protocol. Dit leidt tot de vaststelling dat ZIDB c.s., ingevolge artikel 7.4 lid 2 Rzv, verplicht is om de in rov. 4.3 onder 1. en 2. genoemde persoonsgegevens van de indicatiestellers en zorgverleners (voor- en achternaam, BIG- nummer, kopie diploma) aan Menzis te verstrekken ten behoeve van de materiële controle. Dat Menzis ten aanzien van de medische persoonsgegevens van de verzekerden niet de aangewezen route heeft bewandeld door deze niet bij hen zelf op te vragen, doet daar niet aan af. Het ten onrechte bij ZIDB c.s. opvragen van de medische persoonsgegevens van de verzekerden heeft niet tot gevolg dat ZIDB c.s. daarom niet mag voldoen aan dat deel van het onderzoek waartoe zij, op grond van de geldende regelgeving, wel gehouden is.

In de brief van 1 november 2019 schrijft Menzis aan ZIDB c.s. dat zij stopt met het betalen van declaraties zonder dat zij voorafgaand kan controleren of de gedeclareerde zorg feitelijk is verleend en of er sprake is van de inzet van gekwalificeerd personeel. Voor deze controle vooraf vraagt Menzis aan ZIDB c.s. de toezending van dezelfde gegevens die Menzis aan ZIDB c.s. vraagt in het kader van de materiële/detailcontrole. Menzis stelt in het vooruitzicht dat, indien ZIDB c.s. de gevraagde informatie niet meestuurt met een declaratie, Menzis niet kan beoordelen of de gedeclareerde zorg voor vergoeding in aanmerking komt en daarom de desbetreffende declaratie niet zal vergoeden. Menzis schrijft tot slot dat zij erop vertrouwt dat ZIDB c.s. waar nodig toestemming van de verzekerde vraagt voor de verstrekking van de gegevens. Zoals in rov. 4.14. is geoordeeld, ontbreekt een wettelijke grondslag voor ZIDB c.s. om haar medisch beroepsgeheim te doorbreken en moet Menzis voor de toestemming van de verzekerde zorgen (zie 4.15.). Onder deze omstandigheden handelt Menzis onrechtmatig door van ZIDB c.s. meer te vragen dan waartoe ZIDB c.s. gehouden en bevoegd is en aan de weigering van ZIDB c.s. om die gegevens te verstrekken de consequentie te verbinden dat de declaratie wordt afgewezen. Daarmee is naar het oordeel van rechtbank reeds sprake van het uitoefenen van ongeoorloofde druk. Dat betekent dat het feit dat Menzis heeft nagelaten om haar verzekerden actief te benaderen om alsnog toestemming te verkrijgen om de persoonsgegevens van de verzekerden te mogen verwerken, verder geen bespreking behoeft. Datzelfde geldt voor de vraag of Menzis alleen met het doel om druk uit te oefenen is overgegaan tot het vooraf controleren van alle declaraties.

Ten aanzien van de namen, BIG-nummers en kopieën van de diploma’s van de indicatiestellers en zorgverleners heeft te gelden dat Menzis deze gegevens bij ZIDB c.s. mocht opvragen en dat ZIDB c.s. deze gegevens moest verstrekken, nu Menzis bij de materiële controle/detailcontrole de regels uit de Rzv en het Protocol in acht heeft genomen, zodat op dit punt geen sprake is van onrechtmatig handelen vanwege het uitoefenen van ongeoorloofde druk.

Dit neemt niet weg dat het stopzetten van de betaling van de declaraties in afwachting van de persoonsgegevens van de indicatiestellers en zorgverleners een indirecte onrechtmatige daad zou kunnen opleveren. Zoals reeds is overwogen in het vonnis in incident (rov. 4.11. tot en met 4.13.) vormt de contractsverhouding tussen Menzis en haar verzekerden een schakel waarmee de belangen van ZIDB c.s. zijn verbonden en staat het Menzis daarom niet onder alle omstandigheden vrij om de belangen te verwaarlozen die ZIDB c.s. kan hebben bij een correcte nakoming van de zorgovereenkomsten door Menzis (vgl. Hoge Raad 11 juli 2014, ECLI:NL:HR:2014:1646). Omstandigheden die moeten worden meegewogen zijn dat het tot de taken van een zorgverzekeraar behoort om te controleren of een ingediende declaratie behoort tot het verzekerd pakket, dat de controle op het opleidingsniveau van de indicatiestellers en zorgverleners legitiem wordt geacht en dat de verzekerden van Menzis aan ZIDB c.s. slechts het bedrag zijn verschuldigd dat door Menzis aan hen wordt vergoed, zodat het stopzetten van de betaling van de declaraties rechtstreeks effect heeft op ZIDB c.s. (zie voor dit laatste 2.2. en 4.13. van het vonnis in incident).

Ten aanzien van de stelling van ZIDB c.s. dat Menzis in het kader van de zorgverzekeringsovereenkomst met haar verzekerden niet het recht toekomt om een declaratie vóór uitbetaling te controleren, overweegt de rechtbank als volgt. Menzis heeft toegelicht dat de vooraf verleende machtiging ziet op de vaststelling dat de verzekerde op grond van de zorgindicatie redelijkerwijs is aangewezen op wijkverpleging en op de omvang van deze wijkverpleging. De rechtbank volgt Menzis in haar betoog dat deze machtiging niet kan worden gezien als een toezegging tot betaling van de declaraties, maar als een vaststelling dat een verzekerde wijkverpleging in een bepaalde omvang nodig heeft, dat die wijkverpleging behoort tot het verzekerd pakket en dat die wijkverpleging, indien bij de uitvoering daarvan wordt voldaan aan de polisvoorwaarden, zal worden vergoed. De conclusie is dan ook dat de vooraf verleende machtiging Menzis niet het recht heeft ontnomen om de declaraties voorafgaand aan betaling te controleren. Een zorgverzekeraar kan er vanuit het kostenaspect voor kiezen om de aanzienlijke hoeveelheid declaraties die zij ontvangt (zeker bij een veelal langdurige zorgbehoefte zoals wijkverpleging) direct uit te betalen en pas later (en dan alleen als daarvoor aanwijzingen zijn) over te gaan tot een controle. Dit betekent niet dat de zorgverzekeraar de declaratie niet vóór uitbetaling mag controleren. Dat Menzis in eerdere jaren de declaraties van verzekerden voor door ZIDB c.s. geleverde zorg zonder voorafgaande controle heeft uitbetaald, maakt dus niet dat Menzis daarmee heeft afgezien van haar recht om zich ervan te vergewissen of een ingediende declaratie valt binnen het verzekerd pakket. Menzis heeft gemotiveerd gesteld dat zij achteraf controleert waar het kan en vooraf controleert als dat nodig is en dat zij deze noodzaak tot controle vooraf baseert op door haar ontvangen signalen dat andere niet gecontracteerde zorgaanbieders op het gebied van wijkverpleging niet voldoen aan de door Menzis vereiste opleidingsvereisten van de zorgverleners.

ZIDB c.s. betoogt in dit verband voorts dat de Zvw en de polisvoorwaarden niet bepalen binnen welke termijn Menzis de kosten van zorg aan de verzekerde moet vergoeden, zodat Menzis ingevolge artikel 6:38 BW haar betalingsverplichting terstond had moeten nakomen. ZIDB c.s. verwijst daarbij ook naar de “Beleidsregel toezichtkader zorgplicht zorgverzekeraars” van de Nederlandse zorgautoriteit. Ten aanzien van verplichtingen voor verzekeraars bij een restitutiepolis is in deze beleidsregel onder punt 7.5 opgenomen dat de zorgverzekeraar de kosten van zorg die zijn verzekerden hebben gemaakt ‘prompt’ aan hen moet vergoeden. Naar het oordeel van de rechtbank gaat dit niet zo ver dat dit betekent dat een zorgverzekeraar niet eerst mag controleren of de declaratie onder de dekking valt. Ten aanzien van de vooraf verleende machtiging is al geoordeeld dat deze niet gezien kan worden als een toezegging om de declaratie direct na indiening te betalen. Menzis behoudt het recht om de declaratie eerst te controleren. Declaraties waarvan (na controle) vast staat dat deze onder de verzekeringsdekking vallen, moeten vervolgens wel – zoals Nza vereist – ‘prompt’ worden betaald.

De materiële controle en de controle voorafgaande aan de betaling kunnen dan ook niet tot de conclusie leiden dat Menzis de zorgverzekeringsovereenkomst niet behoorlijk nakomt, nog daargelaten dat ZIDB c.s. de stelling van Menzis dat de verzekerden niet bij haar klagen over het uitblijven van de betaling van declaraties, onvoldoende heeft weersproken. Verder heeft Menzis toegezegd dat zij, indien blijkt dat de geleverde zorg voldoet aan de voorwaarden voor verzekeringsdekking, de declaraties zal uitbetalen. Daar komt bij dat ZIDB c.s. ook niet die informatie heeft verstrekt die zij wel behoorde te verstrekken, namelijk de persoonsgegevens van de zorgverleners, terwijl uit de stellingen van Menzis volgt dat zij juist daar onderzoek naar wil doen, omdat Menzis twijfels heeft of ZIDB c.s. zorgverleners met het juiste opleidingsniveau inzet. De rechtbank komt dan ook tot de conclusie dat geen sprake is van een indirecte onrechtmatige daad. Daarbij geeft de rechtbank Menzis nog wel in overweging dat, hoewel dat nu (nog) niet het geval is, haar ‘stilzitten’ op een gegeven moment wel tot consequenties zou kunnen leiden.

Het voorgaande leidt tot de conclusie dat de rechtbank de onder I. gevorderde verklaring voor recht zal toewijzen voor zover die betrekking heeft op het verstrekken van (medische) persoonsgegevens van verzekerden. Nu ten aanzien van de onder II. gevorderde verklaring voor recht geen onrechtmatig handelen van Menzis is komen vast te staan, zal die verklaring voor recht worden afgewezen. Hetzelfde lot treft het onder III. gevorderde verbod tot opschorten van de verzekeringsdekking.

Zoals uit het voorgaande volgt, heeft Menzis onrechtmatig gehandeld door persoonsgegevens van de verzekerden bij ZIDB c.s. op te vragen zonder een wettelijke grondslag en het mede aan de weigering van ZIDB c.s. tot verstrekking van die gegevens verbinden van consequenties te weten het (nog) niet uitbetalen van declaraties van verzekerden. De vraag is of dit onrechtmatig handelen tot schade bij ZIDB c.s. heeft geleid.

Het vorenstaande leidt tot de conclusie dat de door ZIDB c.s. gevorderde schadevergoeding wordt afgewezen. Nu ZIDB c.s. ook verder niet heeft onderbouwd dat en welke schade zij door het onrechtmatige handelen van Menzis heeft geleden is ook verwijzing naar een schadestaatprocedure niet aan de orde.

De rechtbank gaat ervan uit dat het weglaten van de vordering ten aanzien van buitengerechtelijke kosten van in totaal € 4.775,00 in de laatste vermeerdering van eis van ZIDB c.s. op een vergissing berust, omdat dit deel van de vordering wel in de op de zitting van 9 juni 2020 genomen vermeerdering van eis is meegenomen. Deze kosten komen echter evenmin voor toewijzing in aanmerking, nu ZIDB c.s. op geen enkele wijze onderbouwd heeft dat zij kosten heeft gemaakt die niet moeten worden aangemerkt als betrekking hebbend op verrichtingen waarvoor de proceskostenveroordeling wordt geacht een vergoeding in te sluiten.

Aangezien elk van partijen als op enige punten in het ongelijk gesteld is te beschouwen, zullen de proceskosten worden gecompenseerd op de hierna te vermelden wijze.