Feedback

Zoekresultaat - inzien document

ECLI:NL:RBMNE:2019:3448

Instantie
Rechtbank Midden-Nederland
Datum uitspraak
23-07-2019
Datum publicatie
23-08-2019
Zaaknummer
AWB - 16 _ 3326
Rechtsgebieden
Bestuursrecht
Bijzondere kenmerken
Eerste aanleg - meervoudig
Inhoudsindicatie

Verzoek om handhaving gericht op de verwerking van medische gegevens door de zorgverzekeraars in Nederland.

Trefwoorden: Wet bescherming persoonsgegevens, handhaving, gedragscode, medische gegevens, 8 EVRM

Samenvatting:

Einduitspraak na bestuurlijke lus. Het verzoek om handhaving van eiseres bestaat uit twee onderdelen: zij stelt dat verweerster de zorgverzekeraars moet opdragen om volgens een goedgekeurde gedragscode te gaan werken en zij verzoekt verweerster op te treden tegen de wijze waarop de zorgverzekeraars op dit moment feitelijk medische persoonsgegevens verwerken en verzamelen, omdat deze werkwijze volgens haar in strijd is met de Wbp, het Handvest en artikel 8 van het EVRM. In de tussenuitspraak is al geoordeeld dat er geen wettelijke verplichting is aan te wijzen op grond waarvan de zorgverzekeraars gehouden zouden zijn om een gedragscode op te stellen en deze voor te leggen aan verweerster. In de tussenuitspraak is geconstateerd dat verweerster onvoldoende heeft gemotiveerd of de werkwijze van de zorgverzekeraars in overeenstemming is met de Wbp, 8 EVRM en het Handvest. Op hun website geven de zorgverzekeraars namelijk aan nog steeds met dezelfde gedragscode te werken die in een andere procedure niet is goedgekeurd door verweerster. Verweerster is in de gelegenheid gesteld het gebrek te herstellen. Zij heeft onderzoek gedaan naar de werkwijze van vier zorgverzekeraars. Verweerster heeft onderzocht of de werkwijze van de zorgverzekeraars in orde is op de volgende door de rechtbank - aan de hand van een eerdere uitspraak van de rechtbank Amsterdam over de gedragscode - geconstateerde knelpunten: digitale declaratie zonder diagnose-informatie, doelbindingsbeginsel in relatie tot marketingdoeleinden, ongeautoriseerde toegang tot persoonsgegevens, bewerkers en medisch beroepsgeheim. Verweerster heeft onderzoek gedaan naar deze knelpunten in de gedragscode en naar het privacybeleid van de zorgverzekeraars. Zij heeft vastgesteld dat de zorgverzekeraars niet alleen werken met de gedragscode, maar in aanvulling daarop ook werken met de Uniforme Maatregelen van Zorgverzekering Nederland. Verweerster komt tot de conclusie dat de werkwijze van de zorgverzekeraars materieel in orde is en geen overtreding oplevert, op één onderdeel na. Twee van de vier onderzochte zorgverzekeraars hebben hun autorisaties namelijk niet op orde. Verweerster heeft daarom een last onder dwangsom opgelegd tegen deze twee zorgverzekeraars. De rechtbank komt tot de conclusie dat de zorgverzekeraars gegevens verzamelen en verwerken conform de Wbp, het Handvest en artikel 8 van het EVRM. De gebreken in de besluitvorming zijn in een nieuw besluit voldoende hersteld. Het beroep van eiseres slaagt niet. Wel komt zij in aanmerking voor schadevergoeding vanwege overschrijding van de redelijke termijn.

Deze uitspraak is gepubliceerd in verband met een onderzoek van de Universiteit Utrecht.

Vindplaatsen
Rechtspraak.nl
Verrijkte uitspraak

Uitspraak

RECHTBANK MIDDEN-NEDERLAND

Zittingsplaats Utrecht

Bestuursrecht

zaaknummer: UTR 16/3326

uitspraak van de meervoudige kamer van 23 juli 2019 in de zaak tussen

[eiseres] , te [vestigingsplaats] , eiseres

(gemachtigde: J.M.T. Wijnberg),

en

de Autoriteit Persoonsgegevens, verweerster,

(gemachtigden: mr. J.M.A. Koster, mr. O.S. Nijveld, mr. W. van Steenbergen en M. Vijfvinkel),

en

Zilveren Kruis Achmea Zorgverzekering N.V., te Leiden, derde-partij, (gemachtigde: mr. G.J. Zwenne).


en

de Staat der Nederlanden (de Minister van Rechtsbescherming), verweerder,

Procesverloop

Bij besluit van 26 november 2015 (het primaire besluit) heeft het College bescherming persoonsgegevens (Cbp), de rechtsvoorganger van verweerster, het verzoek van eiseres om handhavend op te treden tegen het zonder goedgekeurde gedragscode verzamelen en verwerken van medische persoonsgegevens door de Nederlandse zorgverzekeringsmaatschappijen afgewezen.

Bij besluit van 1 juni 2016 (het bestreden besluit 1) heeft verweerster het bezwaar van eiseres ongegrond verklaard.

Eiseres heeft tegen het bestreden besluit beroep ingesteld.

Verweerster heeft een verweerschrift ingediend.

Het onderzoek ter zitting heeft plaatsgevonden op 10 maart 2017. Eiseres is verschenen, bijgestaan door haar gemachtigde en mr. A. van Eldijk. Verweerster heeft zich laten vertegenwoordigen door mr. [A] en mr. [B] .

Bij tussenuitspraak van 7 juli 20171 (de tussenuitspraak) heeft de rechtbank verweerster in de gelegenheid gesteld om binnen acht weken na verzending van de tussenuitspraak, met inachtneming van wat in de tussenuitspraak is overwogen, het geconstateerde gebrek in het bestreden besluit te herstellen.

Bij tweede tussenuitspraak van 21 augustus 2017 (de verlengingsuitspraak 1) heeft de rechtbank de termijn die zij verweerster heeft gegeven om het gebrek te herstellen, verlengd tot 26 weken na verzending van de tussenuitspraak.
Bij derde tussenuitspraak van 22 december 2017 (de verleningsuitspraak 2) heeft de rechtbank de termijn die zij verweerster heeft gegeven om het gebrek te herstellen, verlengd tot uiterlijk 15 februari 2018.

Verweerster heeft in reactie op de tussenuitspraak op 15 februari 2018 een nieuw besluit genomen (het bestreden besluit 2). Daarbij heeft zij het bezwaar van eiseres alsnog gegrond verklaard, het bestreden besluit 1 ingetrokken, het primaire besluit herroepen en beslist dat aan Coöperatie Menzis U.A. en Coöperatie VGZ U.A. een last onder dwangsom wordt opgelegd.

Eiseres heeft hierop een schriftelijke zienswijze gegeven.

Een tweede onderzoek ter zitting heeft plaatsgevonden op 15 februari 2019. Eiseres is vertegenwoordigd door haar gemachtigde en mr. A. van Eldijk. Verweerster heeft zich laten vertegenwoordigen door haar gemachtigden. Derde-partij is verschenen, bijgestaan door haar gemachtigde en [C] en [D] .

Overwegingen


Inleiding

1. Deze procedure is begonnen met een verzoek om handhaving van eiseres aan het Cbp. Waar de rechtbank het hierna heeft over verweerster, bedoelt zij ook het Cbp. Eiseres heeft verweerster verzocht om handhavend op te treden tegen het verzamelen en verwerken van medische persoonsgegevens door de Nederlandse zorgverzekeringsmaatschappijen zonder een goedgekeurde gedragscode. Verweerster heeft dat verzoek afgewezen, omdat er geen wettelijke verplichting bestaat voor de zorgverzekeringsmaatschappijen om te werken met een goedgekeurde gedragscode. In bezwaar heeft verweerster dit standpunt gehandhaafd. Eiseres heeft hiertegen beroep ingesteld. De rechtbank heeft verweerster in de tussenuitspraak gelijk gegeven op het punt dat er geen wettelijke verplichting bestaat voor de zorgverzekeraars om te werken met een gedragscode die door verweerster is goedgekeurd. Zij vindt echter wel dat verweerster nader onderzoek had moeten doen of de zorgverzekeraars feitelijk wel op juiste wijze, conform de Wet bescherming persoonsgegevens (Wbp) - zoals deze gold tot 25 mei 2018 - en overeenkomstig artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (het EVRM) en het Handvest van de grondrechten van de Europese Unie (het Handvest), gegevens verzamelen en verwerken. De zorgverzekeraars hebben namelijk op enig moment een uniforme gedragscode ter goedkeuring voorgelegd aan verweerster en verweerster heeft aan die gedragscode, na een uitspraak van de rechtbank Amsterdam2 daarover, haar goedkeuring alsnog onthouden. Eiseres heeft gesteld dat de zorgverzekeraars nog steeds werken volgens diezelfde eerder afgekeurde gedragscode en verweerster heeft dat niet betwist. Verweerster had daarom nader moeten onderzoeken of de werkwijze die de zorgverzekeraars nu hanteren wel in orde is.
Naar aanleiding van de tussenuitspraak heeft verweerster alsnog onderzoek gedaan en heeft zij geconcludeerd dat twee zorgverzekeraars hun autorisaties niet op orde hebben. Zij heeft daarom alsnog een last onder dwangsom opgelegd aan deze twee zorgverzekeraars. Voor het overige ziet verweerster geen overtreding aan de kant van de zorgverzekeraars. Eiseres ziet dat anders en handhaaft haar beroep.

Omvang beroep

2. Verweerster heeft na de tussenuitspraak onderzoek verricht en als gevolg van dat onderzoek een nieuw besluit op bezwaar genomen. Daarbij heeft zij het bestreden besluit 1 ingetrokken en het primaire besluit herroepen en alsnog lasten onder dwangsom opgelegd aan twee zorgverzekeraars. Het beroep van eiseres, gericht tegen het bestreden besluit 1 wordt, gelet op artikel 6:19 van de Awb, geacht ook gericht te zijn tegen het bestreden besluit 2. Omdat het bestreden besluit 1 is ingetrokken, is het beroep, voor zover gericht tegen dat besluit, niet-ontvankelijk. De rechtbank zal in deze uitspraak verder ingaan op de beroepsgronden die zijn gericht tegen het bestreden besluit 2.


Lasten onder dwangsom en invordering

3. In de nieuwe beslissing op bezwaar van 15 februari 2018 is aan twee zorgverzekeraars een last onder dwangsom is opgelegd. Tegen die besluitonderdelen konden deze zorgverzekeraars beroep instellen bij deze rechtbank. Eventuele beroepen zouden dan in deze toen al lopende beroepsprocedure behandeld worden. De rechtbank heeft echter geen beroep van één van beide betrokken zorgverzekeraars ontvangen. De rechtbank stelt verder vast dat de beroepsgronden van eiseres zich niet richten op het besluit van verweerster om lasten onder dwangsom op te leggen aan deze twee zorgverzekeraars. Dit zijn aparte besluitonderdelen van de beslissing op bezwaar van 15 februari 2018. Deze lasten onder dwangsom staan dan ook in rechte vast. .

4. Verweerster heeft de rechtbank vervolgens bericht dat zij op 9 januari 2019 verbeurde dwangsommen heeft ingevorderd bij Menzis U.A. Ingevolge artikel 5:39, eerste lid, van de Algemene wet bestuursrecht (Awb) heeft het beroep tegen een last onder dwangsom ook betrekking op een beschikking die strekt tot invordering van die dwangsom, voor zover de belanghebbende deze beschikking betwist. Hoewel, zoals uit overweging 3blijkt, het beroep van eiseres zich niet richt op de lasten onder dwangsom en er ook geen beroepen zijn van de zorgverzekeraars, zijn deze twee handhavingsbesluiten wél onderdeel van het bestreden besluit 2. Dit staat ook zo vermeld in dat besluit.
Verweerster heeft verder meegedeeld dat een belanghebbende die wil opkomen tegen het invorderingsbesluit beroep moet instellen bij deze rechtbank en dat dit beroep dan behandeld kan worden in het kader van deze lopende beroepsprocedure. De rechtbank vindt deze gang van zaken in dit geval echter niet wenselijk. In een tussenbeslissing van 7 februari 2019 heeft zij haar standpunt toegelicht, waarbij ten eerste van belang is dat de termijn om een rechtsmiddel aan te wenden tegen het besluit tot invordering voor de zitting nog niet was verstreken. Ten tweede is van belang dat als een belanghebbende beroep zou instellen tegen het invorderingsbesluit, het ook alleen maar kan gaan over deze invordering, omdat er geen beroep is ingesteld tegen de last onder dwangsom zelf.
Daarom heeft de rechtbank in de beslissing van 7 februari 2019 beslist dat een mogelijk beroep van een belanghebbende tegen het invorderingsbesluit, door verweerster zal moeten worden behandeld als bezwaar.
Geheime stukken

5. Verweerster heeft op 17 september 2018 nadere stukken ingediend die gaan over het onderzoek dat zij naar aanleiding van de tussenuitspraak heeft verricht. Daarbij heeft zij de rechtbank verzocht om beperkte kennisneming van een deel van deze stukken. Dit betekent dat zij heeft verzocht om deze stukken geheim te houden voor eiseres (en eventuele anderen), maar dat zij wel wil dat de rechtbank kennisneemt van deze stukken en deze bij de beoordeling van het beroep van eiseres betrekt. Zo’n verzoek om beperkte kennisneming kan alleen worden toegewezen als er gewichtige redenen bestaan waarom eiseres en eventuele anderen de inhoud van deze stukken niet zouden mogen kennen. Dit is geregeld in artikel 8:29, eerste lid, van de Awb. Verweerster heeft gemotiveerd waarom zij vindt dat deze stukken voor eiseres en anderen geheim zouden moeten blijven. Bij beslissing van 29 januari 2019 heeft de rechtbank beslist dat zulke zwaarwegende redenen voor een deel van de overgelegde stukken inderdaad bestaan. De beperking van de kennisneming van bijlage 1 bij A.9/C.12, bijlagen A.19/C.14, de (aanvullende) conceptbevindingen van de zorgverzekeraars en bijlagen D.1 en C.13, is met de door verweerster gegeven motivering volgens de rechtbank echter niet gerechtvaardigd. Eiseres heeft de rechtbank toestemming gegeven als bedoeld in artikel 8:29, vijfde lid, van de Awb om de stukken waarvan de geheimhouding wel is toegestaan bij de beoordeling van haar beroep te betrekken.

6. Verweerster heeft vervolgens in reactie op de tussenbeslissing de rechtbank bericht dat zij haar verzoek om beperkte kennisneming voor de documenten A.9/C.12, A.19/C.14, D.1 en C.13 en voor de (aanvullende) conceptbevindingen aanpast. Zij heeft daarom van de documenten A.9/C.12, A.19/C.14 en D.1 nieuwe versies overgelegd. Voor de geheimhouding van document C.13 heeft verweerster een aanvullende motivering gegeven. Verder heeft verweerster gelakte versies van de aanvullende conceptbevindingen (genummerd als bijlagen A.37-a, A.38-a, A.39-a, A.39-b, A.40-a en A.40-b) verstrekt. Zij heeft haar verzoek om beperkte kennisneming opnieuw gemotiveerd.

7. De rechtbank heeft bij beslissing van 13 februari 2019 geoordeeld dat zij de beperking van de kennisneming van de omschrijvingen op de inventarislijsten bijlagen B.2-b.3, C.5, C.6, C.8 en D.7 nog steeds niet gerechtvaardigd vindt. De beperking van de kennisneming van de overige informatie vindt de rechtbank wel gerechtvaardigd.

8. Op de zitting heeft verweerster in reactie daarop aan eiseres een document overhandigd met daarop de omschrijvingen op de inventarislijsten bijlagen B.2-b.3, C.5, C.6, C.8 en D.7.

Eiseres heeft zich op de zitting op het standpunt gesteld dat verweerster in een te laat stadium met nieuwe documenten is gekomen en dat zij om die reden geen toestemming geeft voor beperkte kennisneming van die documenten. Ook maakt zij bezwaar tegen het op de zitting nog overleggen van nieuwe stukken. Zij vindt dat verweerster niet transparant heeft gehandeld en dat de besluitvorming van verweerster daardoor niet goed controleerbaar is.

9. De rechtbank stelt vast dat zij gelet op deze weigering van eiseres geen kennis kan nemen van document C.13 en de weggelakte delen van de aanvullende conceptbevindingen (genummerd als bijlagen A.37-a, A.38-a, A.39-a, A.39-b, A.40-a en A.40-b). Deze informatie zal dus niet bij de beoordeling van het beroep van eiseres worden betrokken.
Voor zover eiseres zich verzet tegen het overleggen van nieuwe gelakte versies van A.9/C.12, A.19/C.14 en D.1 en van de omschrijvingen op de inventarislijsten bijlagen B.2-b.3, C.5, C.6, C.8 en D.7 overweegt de rechtbank dat het gaat om stukken die verweerster wel eerder heeft overgelegd, maar in een beperktere vorm met meer weglakkingen. Dat verweerster pas in een laat stadium nieuwe versies van documenten, met meer informatie daarop, heeft overgelegd, is het gevolg van de beslissingen van de rechtbank. Het gaat hier dus niet om geheel nieuwe stukken, zoals eiseres betoogt.
De rechtbank heeft verder beoordeeld of eiseres door het laat overleggen van deze nieuwe versie van de gedingstukken in haar procesbelang is geschaad. Dat is naar het oordeel van de rechtbank niet het geval. Het gaat hier namelijk niet om omvangrijke stukken met veel nieuwe informatie. Eiseres heeft ook niet gesteld dat zij niet adequaat op deze stukken heeft kunnen reageren vanwege de omvang daarvan in combinatie met tijdgebrek. Zij heeft ook niet gevraagd om extra tijd om de stukken alsnog te bestuderen. Het gaat er haar, zo heeft zij ter zitting verklaard, vooral om een signaal af te geven dat verweerster stukken te laat heeft ingediend en dat zij dat niet correct vindt. Dat vindt de rechtbank, in het licht van het feit dat verweerster de stukken alleen maar zo laat heeft ingediend in reactie op de beslissingen van de rechtbank, niet voldoende om deze stukken niet bij de beoordeling te betrekken. Voor vooral de inventarislijsten geldt bovendien dat verweerster deze juist heeft overgelegd om een helder inzicht te bieden hoe het onderzoek is ingericht. De rechtbank laat deze stukken dan ook toe. Het betoog van eiseres slaagt niet.
De tussenuitspraak

10. In de tussenuitspraak heeft de rechtbank geoordeeld dat er geen wettelijke verplichting bestaat voor de zorgverzekeraars om te werken met een gedragscode die door verweerster is goedgekeurd. Verweerster had – zo is in de inleiding al toegelicht – wel aanleiding moeten zien om meer onderzoek te doen bij de zorgverzekeraars naar hun feitelijke werkwijze, die nog steeds, zo is onbetwist gesteld, conform de niet goedgekeurde gedragscode zou zijn. De rechtbank heeft vervolgens aan de hand van de uitspraak van de rechtbank Amsterdam van 13 november 2013 knelpunten gesignaleerd in de gedragscode die zouden kunnen doorwerken in de werkwijze van de zorgverzekeraars. Het eerste knelpunt gaat erover dat de zorgverzekeraars in de gedragscode bij digitale afhandeling van vergoedingen geen uitzonderingsregels hebben opgenomen om diagnose-informatie bij psychische klachten niet te verstrekken, terwijl er wel in zo’n uitzonderingsregel zou moeten zijn voorzien. Het tweede knelpunt gaat over de mogelijkheid dat bij digitale verwerking van persoonsgegevens, onbevoegde personen toegang kunnen krijgen tot deze gegevens en deze zouden kunnen worden gebruikt voor bijvoorbeeld marketingdoeleinden. Daarmee is de doelbinding in de gedragscode onvoldoende verzekerd. De rechtbank wijst er ten derde op dat met het koppelen van de verwerking van persoonsgegevens aan specifieke bedrijfsprocessen en bedrijfsonderdelen ongeautoriseerd gebruik van de persoonsgegevens niet noodzakelijkerwijs wordt voorkomen. Wat de verplichtingen van de verwerkers zijn, vindt de rechtbank ook niet voldoende beschreven in de gedragscode. Tot slot worden er in de gedragscode niet voldoende waarborgen geboden dat de medische persoonsgegevens niet onder ogen van anderen kunnen komen. Verweerster had op deze gesignaleerde knelpunten in de gedragscode, die dus kunnen doorwerken in de werkwijze van de zorgverzekeraars, nader onderzoek moeten doen. De rechtbank heeft verweerster in de gelegenheid gesteld dit alsnog te doen.
Toetsingskader rechtbank

11. De rechtbank moet in deze einduitspraak beslissen of verweerster voldoende onderzoek heeft gedaan naar de feitelijke werkwijze van de zorgverzekeraars en of zij tot de conclusie heeft kunnen komen dat er, op het hiervoor gesignaleerde probleem met de autorisaties na, geen andere overtredingen zijn begaan. Deze uitspraak bouwt voort op de tussenuitspraak.
De rechtbank blijft bij alles wat zij in de tussenuitspraak heeft overwogen en beslist, tenzij hierna uitdrukkelijk anders wordt overwogen. Het staat de rechtbank namelijk ook niet vrij om terug te komen van zonder voorbehoud gegeven oordelen in de tussenuitspraak. Dit is alleen anders in zeer uitzonderlijke gevallen. De rechtbank verwijst hiervoor naar de uitspraken van de Afdeling bestuursrechtspraak van de Raad van State (ABRvS) van 12 juli 2017, 15 augustus 2012 en 24 augustus 20113.
Dit betekent dat de rechtbank dus niet meer ingaat op het betoog van eiseres dat de zorgverzekeraars moeten gaan werken volgens een goedgekeurde uniforme gedragscode. In overweging 9 van de tussenuitspraak heeft de rechtbank dit betoog namelijk al besproken en heeft zij geconcludeerd dat er geen wettelijke verplichting bestaat die de zorgverzekeraars daartoe verplicht. De rechtbank komt niet terug van dit standpunt en verwijst naar de tussenuitspraak.
Is het onderzoek zorgvuldig uitgevoerd?

12. Verweerster heeft naar aanleiding van de tussenuitspraak onderzoek gedaan bij de vier grootste zorgverzekeraars. Zij heeft de in de tussenuitspraak gesignaleerde knelpunten als volgt benoemd: digitale declaratie zonder diagnose-informatie, doelbindingsbeginsel in relatie tot marketingdoeleinden, ongeautoriseerde toegang tot persoonsgegevens, bewerkers en medisch beroepsgeheim. Verweerster heeft onderzoek gedaan naar deze knelpunten in de gedragscode en naar het privacybeleid van de zorgverzekeraars. Zij heeft vastgesteld dat de zorgverzekeraars niet alleen werken met de gedragscode, maar in aanvulling daarop ook werken met de Uniforme Maatregelen van Zorgverzekering Nederland (ZN). Daarnaast hanteren zorgverzekeraars uitgebreide sets aan documenten waarin zij hun privacybeleid uiteenzetten en ook de controle op dat beleid. Er is bij de zorgverzekeraars volgens verweerster actief aandacht voor privacy. Dat de zorgverzekeraars op hun website vermelden dat zij werken met een gedragscode die niet is goedgekeurd, betekent nog niet dat de zorgverzekeraars in strijd met de Wbp handelen. Verweerster heeft in het bestreden besluit per knelpunt beschreven hoe de zorgverzekeraars feitelijk werken en geconcludeerd dat deze feitelijke werkwijze, op één onderdeel na, te weten de autorisaties, in overeenstemming is met de Wbp. Omdat bij twee van de vier zorgverzekeraars de autorisaties van medewerkers niet in orde waren, heeft verweerster tegen die twee zorgverzekeraars handhavend opgetreden. Voor verdere handhaving ziet verweerster echter geen aanleiding.

12. Eiseres betoogt dat het onderzoek dat verweerster heeft gedaan niet zorgvuldig is en geen goede uitwerking is van de tussenuitspraak. Zij geeft daarvoor verschillende redenen. Ten eerste heeft verweerster zich beperkt tot vier zorgverzekeraars en daarmee heeft zij niet de werkwijze van álle zorgverzekeraars in Nederland onderzocht, terwijl dat volgens eiseres wel had gemoeten. Ten tweede zijn te veel delen van het onderzoek voor eiseres niet toegankelijk, omdat zij onder de geheimhouding vallen. Eiseres heeft daarom geen inzicht in dat onderzoek en vindt het onderzoek om die reden niet transparant en niet zorgvuldig. Ten derde heeft verweerster volgens eiseres haar reactie op de bevindingen van het onderzoek niet voldoende bij de beoordeling betrokken. Ten vierde heeft verweerster volgens eiseres niet de juiste onderzoeksvragen gesteld. Eiseres noemt als voorbeeld dat bij de vraag of de doelbinding door de zorgverzekeraars ten onrechte wordt doorbroken, alleen is gekeken naar de vraag of de zorgverzekeraars medische gegevens voor markettingdoeleinden gebruiken. Dit is volgens eiseres een te beperkte vraag omdat al duidelijk is dat dat niet mag. Volgens eiseres had verweerster ook onderzoek moeten doen naar de vraag voor welke doeleinden de medische gegevens, verkregen zonder toestemming van de patiënten en met doorbreking van het beroepsgeheim, juist wél gebruikt mogen worden. Deze welbepaalde doeleinden zijn volgens eiseres onbenoemd gebleven, waarmee het onderzoek geen juiste en zorgvuldige uitwerking is van de tussenuitspraak.

12. De rechtbank is het niet eens met eiseres. Zij stelt vast dat het handhavingsverzoek van eiseres van 3 mei 2015 door verweerster breed is opgevat. Naast de vraag of de zorgverzekeraars mogen werken zonder goedgekeurde gedragscode, is het verzoek ook opgevat als een verzoek om de feitelijke werkwijze van de zorgverzekeraars onder de loep te nemen. De rechtbank verwijst naar overweging 4 van de tussenuitspraak waar de reikwijdte van het handhavingsverzoek van eiseres is besproken. Ter uitvoering van de tussenuitspraak heeft verweerster een uitgebreid onderzoek opgezet bij de vier grootse zorgverzekeraars. De keuze van verweerster om het onderzoek uit te voeren bij vier zorgverzekeraars, waarbij 88% van de verzekerden is aangesloten, is gelet op de omvang en de breedte van het verzoek naar het oordeel van de rechtbank heel redelijk. Eiseres lijkt haar standpunt dat alle zorgverzekeraars onderzocht hadden moeten worden opnieuw te koppelen aan haar wens om een uniforme gedragscode tot stand te brengen. Zoals uit de tussenuitspraak volgt, bestaat daarvoor geen wettelijke basis.
Uit het bestreden besluit 2 onder randnummers 29 en 88 blijkt voorts dat de kritiekpunten van eiseres zijn betrokken bij de besluitvorming. Dat zij niet tot een ander standpunt van verweerster hebben geleid, maakt niet dat verweerster hiervan geen notie heeft genomen.
De rechtbank heeft vervolgens kennis genomen van de door verweerster overgelegde stukken die inzicht geven over de manier waarop zij bij de zorgverzekeraars onderzoek heeft gedaan, welke vragen zij heeft gesteld en wat de reacties daarop zijn geweest van de zorgverzekeraars en tot slot welke conclusies verweerster daaruit heeft getrokken. Daarbij heeft de rechtbank ook kennis genomen van de documenten waarvoor beperkte kennisneming gerechtvaardigd is, en waarvoor eiseres haar toestemming heeft gegeven als bedoeld in artikel 8:29, vijfde lid, van de Awb. De rechtbank komt tot de conclusie dat verweerster de opdracht in de tussenuitspraak zorgvuldig heeft opgevat en ook op zorgvuldige wijze heeft uitgevoerd. Zij heeft de elementen waarop nader onderzoek verricht moest worden, mogen uitleggen zoals zij dat heeft gedaan. Dat eiseres een ander onderzoek had gewild en dat zij vindt dat er andere vragen gesteld hadden moeten worden, volgt naar het oordeel van de rechtbank niet uit het handhavingsverzoek. Dit kan ook niet uit de tussenuitspraak worden afgeleid.
De rechtbank stelt verder vast dat eiseres de beschikking heeft over een groot deel van het onderzoek dat verweerster heeft verricht. Eiseres had voldoende informatie over het onderzoek om haar standpunt dat dit onderzoek niet zorgvuldig is uitgevoerd, concreet te kunnen onderbouwen. Zij heeft echter nagelaten om iets specifieks tegenover de bevindingen van verweerster te stellen en stelt slechts in algemene bewoordingen dat dit onderzoek niet transparant zou zijn. Dit is niet genoeg voor de rechtbank om tot een andere conclusie te komen dan hiervoor verwoord en te oordelen dat het onderzoek onzorgvuldig zou zijn.
Het betoog van eiseres slaagt niet.


Bespreking van de knelpunten


Digitale declaratie

15. Eiseres betoogt dat verweerster zich ten onrechte op het standpunt heeft gesteld dat de digitale declaratieprocedure van de zorgverzekeraars in orde is. De zorgverzekeraars hebben namelijk niet toegelicht op welke wijze kan worden gedeclareerd zonder herleiding tot de diagnose. Dit is een probleem dat in 2010 al door het College van Beroep voor het bedrijfsleven (CBb) is vastgesteld4. Verweerster gaat hier volgens eiseres opnieuw aan voorbij. Ten onrechte verwijst verweerster naar een onderzoek uit 2016 van de Nederlandse Zorg autoriteit (NZa). Volgens eiseres lost de procedure met de privacyverklaring, die door de zorgverzekeraars is ingevoerd, niets op, omdat daarop nog steeds een tarief staat vermeld waaruit de diagnose kan worden afgeleid. De diagnose behandelcombinatie (dbc) en het daarbij behorende tarief geven volgens eiseres teveel informatie over de diagnose.

16. Verweerster heeft onderzocht hoe de zorgverzekeraars omgaan met de vermelding van diagnose-informatie bij psychische klachten bij digitale declaraties. De NZa heeft voorzien in de mogelijkheid van digitale declaratie zonder diagnose-informatie, dus zonder dbc-code. Er is een regeling opgesteld op grond waarvan GGZ-patiënten die met hun zorgaanbieder een privacyverklaring hebben getekend, geen tot de diagnose herleidbare informatie op de factuur hoeven te vermelden. Bovendien maakt de NZa het mogelijk dat de zorgaanbieder een afwijkend tarief in rekening brengt, zonder dat dit herleidbaar is naar de diagnose. Verweerster heeft op de zitting toegelicht dat er bijvoorbeeld een vrij bedrag in rekening kan worden gebracht of dat ervoor gekozen kan worden om een bedrag in meerdere keren te declareren om zo indirecte herkenning via de dbc-code te voorkomen. Verweerster heeft verwezen naar het onderzoek naar de werking van deze regeling, dat de NZa in 2016 in samenspraak met verweerster heeft uitgevoerd. De NZa heeft geconcludeerd dat deze regeling goed werkt en verweerster heeft ook geen klachten meer ontvangen over ontoelaatbare diagnoseherkenning bij digitale declaratie. Op basis daarvan is zij tot de conclusie gekomen dat de zorgverzekeraars geen overtreding begaan bij digitale declaratie.

16. De rechtbank heeft in de tussenuitspraak, onder verwijzing naar de overwegingen 4.5.3 en 4.5.4 van de uitspraak van de rechtbank Amsterdam, in overweging 13 - kort gezegd - overwogen dat de gedragscode moet voorzien in uitzonderingsregels om diagnose-informatie bij psychische klachten niet te verstrekken. Dit om te voorkomen dat diagnose-informatie onder ogen komt van mensen voor wie geen medisch beroepsgeheim geldt en die niet onder het medisch tuchtrecht vallen.
Zoals eerder overwogen hoeft de werkwijze van de zorgverzekeraars niet via een gedragscode te zijn geregeld, maar moet deze werkwijze wel in orde zijn. De werkwijze van de zorgverzekeraars moet dus voorzien in de mogelijkheid om bij psychische klachten zonder diagnose-informatie digitaal te kunnen declareren.
Verweerster heeft toegelicht dat in die mogelijkheid is voorzien met de privacyregeling van de NZa en heeft met voorbeelden toegelicht hoe deze regeling feitelijk werkt. Eiseres vindt deze regeling niet voldoende, maar heeft, ondanks verzoek daartoe, niet duidelijk gemaakt waarom deze regeling in haar ogen niet deugt en in strijd is met de Wbp. Een onderbouwing van haar stelling dat de regeling misleidend en onvolkomen zou zijn, ontbreekt.
De rechtbank vindt dat verweerster met de gegeven toelichting in het bestreden besluit 2 het in de tussenuitspraak geconstateerde gebrek op het punt van de digitale declaratie bij psychische klachten heeft hersteld. Het betoog van eiseres slaagt niet.
Doelbinding (in relatie tot marketing)

16. Verweerster heeft naar aanleiding van de tussenuitspraak onderzocht of de persoonsgegevens door zorgverzekeraars voor marketingdoeleinden worden gebruikt. Dat is volgens haar niet het geval. Eén verzekeraar maakt hierop een uitzondering, namelijk voor een specifiek gezondheidsprogramma. Dit gebeurt uitsluitend op basis van uitdrukkelijke toestemming van de deelnemers. Verweerster heeft onderzoek gedaan naar de interne werkprocessen van de zorgverzekeraars over marketingacties en geconstateerd dat zowel de marketinguitingen, als het interne beoordelingsproces dat daaraan voorafgaat, bij geen van de zorgverzekeraars is gebaseerd op persoonsgegevens over de gezondheid. De werkprocessen zijn dus zo ingericht dat er geen persoonsgegevens over de gezondheid voor marketingdoeleinden worden verwerkt. Ook bij het specifieke hiervoor genoemde gezondheidsprogramma heeft de betreffende zorgverzekeraar maatregelen getroffen om de privacy van de betrokkenen te waarborgen.
Verweerster heeft verder ook onderzoek gedaan naar eventuele verstrekkingen van (bijzondere) persoonsgegevens door zorgverzekeraars aan derden, waarbij de doelbinding wordt doorbroken. Daarvan is alleen in bijzondere gevallen sprake. Het gaat dan om verzoeken van politie of justitie, dan wel informatieverzoeken van een wettelijke toezichthouder of de Belastingdienst. Hiervoor zijn protocollen en er bestaat een wettelijke verplichting om deze gegevens te verstrekken, namelijk artikel 8, aanhef en onder c, van de Wbp. Deze verstrekkingen zijn volgens verweerster allemaal in overeenstemming met artikel 43, aanhef en onder b, c, en d, van de Wbp. Alle zorgverzekeraars maken in het geval van een verstrekking als hier aan de orde, gebruik van de Uniforme Maatregel 8 van ZN, naast interne beleidsdocumenten. De Uniforme Maatregel 8 bevat volgens verweerster een voldoende specifieke uitwerking van artikel 3.13 van de gedragscode voor zorgverzekeraars. Verweerster heeft op dit punt geen overtreding van de Wbp geconstateerd.

16. Eiseres betoogt dat de rechtbank Amsterdam, in haar uitspraak van 13 november 2013, heeft overwogen dat welbepaalde verwerkingsdoelstellingen in de gedragscode ontbreken, wat kan leiden tot ‘function creep’. Hiermee wordt bedoeld dat de functie en het gebruik van informatie verandert en wordt verwerkt of wordt verzameld voor een ander doel dan oorspronkelijk is beoogd. Volgens eiseres ontbreken deze welbepaalde verwerkingsdoeleinden nog steeds in de Uniforme verwerkingsprocedures van ZN. De zorgverzekeraars zijn ook na 2013 gegevens blijven verwerken los van kenbare, welbepaalde doelstellingen. Verweerster heeft te beperkt uitvoering gegeven aan de tussenuitspraak door alleen te kijken naar het gebruik van medische persoonsgegevens voor markettingdoeleinden. De zorgverzekeraars hadden volgens eiseres eerst welbepaalde verwerkingsdoelstellingen moeten verwoorden in een publiekelijk kenbare regeling. Volgens eiseres legt verweerster de uitzondering van artikel 43 van de Wbp te ruim uit. Ook bij fraudeonderzoek heeft de burger namelijk recht op doelbinding en voorzienbaarheid. Het beschikbaar stellen van bijzondere persoonsgegevens kan alleen op basis van een wettelijk voorschrift dat voldoet aan de vereisten van voorzienbaarheid en doelbinding. Het voorschrift moet bovendien ook nog getoetst worden aan de kernwaarden van het privacyrecht (subsidiariteit, proportionaliteit en noodzakelijkheid). Ook twijfelt eiseres eraan of de personen die meedoen aan het specifieke gezondheidsprogramma wel weten waarvoor zij tekenen en vindt zij om die reden dat hun toestemming niet rechtsgeldig kan zijn. Eiseres ziet in dit specifieke programma ook een risico op ‘function creep’. Verweerster had verder moeten onderzoeken of deze gegevens niet zouden worden door geleverd aan derden en of er geen data-lekken zouden ontstaan als gevolg van dit gezondheidsprogramma. Ook geanonimiseerde gezondheidsgegevens zijn volgens eiseres door andere partijen makkelijk te herleiden tot personen. Verweerster had volgens eiseres meer onderzoek moeten doen naar de toegang en koppeling van medische persoonsgegevens bij zorgverzekeraars.|

16. De rechtbank onderschrijft het standpunt van eiseres dat verzekeraars handelen in strijd met het doelbindingsbeginsel niet. Van belang is dat in artikel 21, eerste lid, onder b, onder 2° van de Wbp expliciet voor zorgverzekeraars een uitzondering op het verbod om medische persoonsgegevens te verwerken is gemaakt. Zij mogen ter uitvoering van de overeenkomst van verzekering medische persoonsgegevens verwerken. Verweerster heeft het knelpunt in de doelbinding, zoals in overweging 13 van de tussenuitspraak, mogen opvatten als een opdracht om te onderzoeken door wie het doelbindingsbeginsel kan worden doorbroken en in welk geval. Zij heeft dus niet, zoals eiseres betoogt, een algemeen onderzoek hoeven doen waarvoor de zorgverzekeraars medische persoonsgegevens gebruiken, omdat de wet hierin gelet op de hiervoor genoemde bepaling in de Wbp al voorziet. Verweerster heeft zich in haar onderzoek mogen richten op de mogelijke doorbreking van de doelbinding voor markettingdoeleinden en voor de opsporing en het tegengaan van fraude. Verweerster heeft voldoende uiteengezet dat er geen medische persoonsgegevens worden ingezet voor marketingdoeleinden. Eiseres heeft daar niets tegenover gesteld. Haar twijfel of de mensen die meedoen aan een speciaal gezondheidsprogramma wel beseffen waar zij mee hebben ingestemd, is in dit verband niet relevant. Deze situatie valt namelijk onder de uitzondering van artikel 23, eerste lid, aanhef en onder a, van de Wbp, dat bepaalt dat mensen toestemming kunnen geven voor het gebruik van hun gegevens.
Aanvankelijk hadden de zorgverzekeraars artikel 43 van de Wbp één op één overgenomen in de gedragscode onder 3.13. Dit vond de rechtbank echter niet voldoende gespecificeerd. Met de toelichting in het bestreden besluit 2 dat de doelbinding in de praktijk alleen wordt doorbroken voor controle en toezicht, conform Uniforme Maatregel 8 en alleen als er een wettelijke verplichting voor is, heeft verweerster voorzien in een specificatie die de rechtbank wel voldoende vindt.
De werkwijze van de zorgverzekeraars is niet in strijd met de Wbp en het gebrek in de tussenuitspraak op dit punt is hersteld.
Ook volgt de rechtbank eiseres niet in haar standpunt dat er meer onderzoek zou moeten worden gedaan naar bijvoorbeeld het gezondheidsprogramma dat door verweerster is genoemd. Uit het handhavingsverzoek van eiseres en de tussenuitspraak volgt dat namelijk niet. Eiseres rekt het onderzoek met haar standpunt teveel op.
Het betoog van eiseres treft dan ook geen doel.
Ongeautoriseerde toegang tot persoonsgegevens

16. Verweerster heeft onderzoek gedaan naar de manier waarop ongeautoriseerd gebruik van persoonsgegevens, vooral door marketingmedewerkers, in de praktijk wordt voorkomen. De toegang tot systemen waarin persoonsgegevens zijn opgeslagen, wordt geregeld op basis van autorisaties. Hoewel de zorgverzekeraars allen een eigen beleid hebben over de inrichting van die autorisaties, ligt aan dit beleid bij alle zorgverzekeraars ten grondslag dat een medewerker alleen die autorisaties krijgt toebedeeld, die noodzakelijk zijn voor zijn werkzaamheden. Alle zorgverzekeraars hanteren als uitgangspunt dat persoonsgegevens over de gezondheid niet mogen worden gebruikt voor marketingdoeleinden. Dit is ook vastgelegd in Uniforme Maatregel Direct Marketing 04, die door alle zorgverzekeraars wordt toegepast. Daarnaast heeft verweerster onderzoek gedaan naar de wijze waarop het autorisatiebeleid feitelijk wordt uitgevoerd. Daarbij is vastgesteld dat bij twee zorgverzekeraars de autorisaties voor onder andere markettingmedewerkers niet in orde was. Er is niet vastgesteld dat deze medewerkers ook daadwerkelijk medische gegevens hebben bewerkt voor marketingacties. Verweerster heeft voor deze twee zorgverzekeraars vastgesteld dat zij hebben gehandeld in strijd met artikel 13 van de Wbp en aan hun daarom een last onder dwangsom opgelegd. Verweerster heeft geen andere overtredingen op het punt van de autorisaties gesignaleerd.

16. Eiseres betoogt dat verweerster het punt over de geheimhouding en de autorisaties verkeerd heeft getoetst. Bepalend mag volgens haar niet zijn of de medewerker de gegevens nodig heeft voor zijn werkzaamheden, maar wat het doel is waarvoor deze medische gegevens worden verkregen. Omdat er geen specifieke doelstellingen over de verwerking van medische gegevens zijn vastgelegd in de gedragscode, komt het oordeel over de vraag wanneer het noodzakelijk is dat medewerkers over medische gegevens beschikken feitelijk te liggen bij de medisch adviseur. Er is niet onderzocht of het voldoende zou kunnen zijn als medewerkers beschikken over geaggregeerde data. Het onderzoek is op dit punt niet zorgvuldig en compleet geweest, want het verschaft volgens eiseres niet de toetsing of bepaalde verwerkingsprocedures nodig zijn voor welbepaalde doelstellingen.

16. In overweging 13 van de tussenuitspraak heeft de rechtbank verwezen naar rechtsoverweging 4.7.3 van de rechtbank Amsterdam, waarin deze rechtbank heeft geoordeeld dat zij verweerster niet volgt in haar standpunt dat met het koppelen van de verwerking van persoonsgegevens aan specifieke bedrijfsprocessen en bedrijfsonderdelen ongeautoriseerd gebruik van de persoonsgegevens al wordt voorkomen. Verweerster heeft vervolgens de autorisaties bij de zorgverzekeraars onderzocht en tegen twee zorgverzekeraars op dit punt handhavend opgetreden. Bij het beantwoorden van de vraag of ongeautoriseerd gebruik van persoonsgegevens binnen de organisatie van zorgverzekeraars voldoende wordt voorkomen, is van belang om de buitengrens van de Wbp voor ogen te houden: het gaat hier om het verwerken van medische persoonsgegevens ter uitvoering van de zorgovereenkomst. Dat is de doelbinding die de wet bepaalt. Door middel van autorisaties hebben de zorgverzekeraars hun werkproces intern ingericht, om er voor te zorgen dat zo min mogelijk medewerkers toegang hebben tot de medische persoonsgegevens. Verweerster heeft toegelicht dat de zorgverzekeraars daarom werken met Functionele Eenheden. Een Functionele Eenheid is een eenheid van deskundige medewerkers binnen de organisatie van een zorgverzekeraar, die voor specifieke doeleinden en onder verantwoordelijkheid van de medisch adviseur betrokken zijn bij de verwerking van de persoonsgegevens over iemands gezondheid. Naar het oordeel van de rechtbank is niet gebleken dat binnen deze Functionele Eenheden over méér informatie wordt beschikt dan nodig voor de uitvoering van de specifieke taak van de eenheid. De zorgverzekeraars hebben, op twee na, voldoende maatregelen genomen om het risico op inbreuk op de privacy zo klein mogelijk te maken, zoals voorgeschreven in artikel 13 van de Wbp. De rechtbank vindt niet dat verweerster gehouden was verdergaande handhavende maatregelen te nemen op dit punt. Zij volgt eiseres niet in haar standpunt dat verweerster onderzoek had moeten doen naar de specifieke doelstellingen waarvoor de gegevens worden verwerkt, omdat deze doelstelling in de wet is gegeven. Evenmin is nader onderzoek nodig naar de vraag of voor specifieke onderzoeken gebruik zou kunnen worden gemaakt van geaggregeerde data. Op de zitting heeft verweerster namelijk bevestigd dat bij de verstrekking van de gegevens tussen de verschillende Functionele Eenheden zo veel mogelijk rekening wordt gehouden met artikel 13 van de Wbp en alleen waar nodig gegevens worden verwerkt. Bovendien gaat het bij de verwerking van gegevens vooral om het primaire proces bij de zorgverzekeraars, het uitvoeren van de zorgovereenkomst, waarbij niet met geaggregeerde data kan worden volstaan. Dat het handhavingsverzoek van eiseres ook betrekking heeft op de wijze waarop zorgverzekeraars intern onderzoeken uitvoeren met medische gegevens, blijkt niet uit dat verzoek en is ook geen logisch vervolg op wat in de tussenuitspraak is geoordeeld. Ook hier rekt eiseres de reikwijdte van haar handhavingsverzoek teveel op en valt, wat zij in dit verband stelt, buiten de omving van het geding als bedoeld in artikel 8:69 van de Awb.
Het betoog van eiseres faalt.
Bewerkers

16. Verweerster heeft onderzoek gedaan naar overeenkomsten van zorgverzekeraars met bewerkers. Daarbij heeft zij geconcludeerd dat alle zorgverzekeraars modelcontracten hanteren voor de overeenkomsten die zij sluiten met bewerkers. Verweerster heeft kennisgenomen van de standaardbepalingen die de zorgverzekeraars opnemen in de overeenkomsten met bewerkers. Alle zorgverzekeraars hebben met deze bepalingen een nadere invulling gegeven aan de gedragscode. In alle modelcontracten worden bewerkers expliciet gewezen op de bijzondere eisen die gelden op grond van de Wbp over de verwerking van medische persoonsgegevens. De zorgverzekeraars verplichten bewerkers om technologische en organisatorische maatregelen te treffen ter beveiliging van persoonsgegevens over de gezondheid en zich ook overigens aan de Wbp te houden. Uit elk van de overgelegde modelcontracten volgt dat de zorgverzekeraar toeziet op de correcte naleving van de Wbp. Op grond van het onderzoek naar de overeenkomsten die zorgverzekeraars sluiten met bewerkers, constateert verweerster dat door de zorgverzekeraars is voldaan aan de verplichtingen die zijn neergelegd in de Wbp.

16. Eiseres wijst erop dat het bestreden besluit 2 geen conclusies bevat over de positie van Vektis die als zelfstandig rechtspersoon de data, inclusief dbc-informatie, van alle zorgverzekeraars ontvangt en verwerkt. Ook is verweerster niet ingegaan op de positie van buitenlandse bewerkers die bij de verwerking van medische persoonsgegevens gehouden zijn en gehouden moeten worden aan dezelfde vereisten als de verantwoordelijke. Eiseres ziet een probleem bij bewerkers die niet gehouden zijn aan de toepasselijke nationale of Europese regelgeving, waarbij zij vooral doelt op bewerkers uit de Verenigde Staten die gehouden kunnen worden aan de Freedom Act (voorheen de Patriot Act). Op dit punt is het onderzoek van verweerster volgens eiseres onvoldoende.

16. In de tussenuitspraak heeft de rechtbank in overweging 13 verwezen naar rechtsoverweging 4.8.3 van de uitspraak van de rechtbank Amsterdam waarin deze rechtbank heeft geoordeeld dat in de gedragscode nader moet worden omschreven wat de verplichtingen van de bewerkers zijn. Verweerster heeft op dit punt onderzoek gedaan en heeft vastgesteld dat door middel van modelcontracten wordt geregeld dat bewerkers zich houden aan de wettelijke kaders die voor de verantwoordelijke gelden. Verweerster heeft in reactie op de beroepsgrond van eiseres op de zitting verklaard dat zij bij haar onderzoek geen buitenlandse bewerkers heeft aangetroffen. Zij heeft toegelicht dat als al gebruik zou worden gemaakt van buitenlandse bewerkers via contracten kan worden voorzien in het vereiste privacybeschermingsniveau.
De rechtbank is van oordeel dat verweerster het geconstateerde gebrek op het punt van de bewerkers heeft hersteld. Het betoog van eiseres dat ziet op mogelijk buitenlandse bewerkers treft geen doel, omdat er geen buitenlandse bewerkers zijn aangetroffen. Het betoog van eiseres over Vektis als zelfstandige valt, zoals verweerster ter zitting terecht heeft opgemerkt, buiten de reikwijdte van het handhavingsverzoek van eiseres en daarmee ook buiten de reikwijdte van de tussenuitspraak. Verweerster heeft ter uitvoering van de tussenuitspraak alleen onderzoek hoeven doen naar Vektis, in haar rol als bewerker, die in opdracht van de zorgverzekeraars gegevens voor de verantwoordelijke verwerkt. Als bewerker voldoet zij, volgens verweerster aan de vereisten van de Wbp. Eiseres heeft daartegen niets ingebracht dat op het tegendeel wijst.
Het betoog van eiseres faalt.
Medisch beroepsgeheim

16. Verweerster heeft onderzoek gedaan naar de eisen die uit de Wbp, de Zorgverzekeringswet (Zvw) en de Regeling zorgverzekering (Rzv) voortvloeien en heeft geconstateerd dat deze wetten geheimhoudingsbepalingen bevatten om te voorkomen dat zorgverzekeraars de gegevens over de gezondheid ook kunnen gebruiken voor overige producten. Uit deze bepalingen volgt niet dat persoonsgegevens over de gezondheid in alle gevallen moeten worden verwerkt door een persoon die is gehouden aan het medisch beroepsgeheim. De zorgverzekeraars hebben Functionele Eenheden ingericht onder verantwoordelijkheid van een medisch adviseur. Op deze medische adviseurs rust een beroepsgeheim. Voor de overige medewerkers rust op grond van privaatrechtelijke overeenkomsten een geheimhoudingsplicht. Artikel 87, vijfde lid, van de Zvw bevat bovendien ook een wettelijke geheimhoudingsplicht voor medewerkers van zorgverzekeraars. Over de rol van de medisch adviseur is van belang dat de Wbp en de Zvw voorschrijven dat het verwerken van persoonsgegevens noodzakelijk moet zijn voor het doel waarvoor ze worden verwerkt. Het noodzakelijkheidsvereiste brengt mee dat zorgverzekeraars waarborgen dat de beoordeling of interpretatie van de noodzaak tot de verlening van persoonsgegevens over de gezondheid plaatsvindt door iemand met voldoende (medische) kennis van zaken. Deze rol hebben de zorgverzekeraars binnen de Functionele Eenheden toebedeeld aan de medisch adviseurs. Zij zijn betrokken bij het opstellen van werkprotocollen, geven adviezen in de dossiers die afwijken van de werkinstructies en geven invulling aan de vraag welke persoonsgegevens over de gezondheid voor de uitvoering van welke werkzaamheden noodzakelijk zijn. De zorgverzekeraars hebben met hun invulling van de rol van de medische adviseurs gewaarborgd dat de beoordeling of interpretatie van de noodzaak tot de verwerking van persoonsgegevens over de gezondheid in overeenstemming met de Wbp en de Zvw plaatsvindt door iemand met voldoende (medische) kennis. De Rzv bevat verder regels voor de uitvoering van een detailcontrole. Deze vindt plaats onder verantwoordelijkheid van een medisch adviseur in opdracht van de zorgverzekeraars. Hiermee is gewaarborgd dat bij de uitvoering van de detailcontrole voldoende deskundigheid beschikbaar is en adequaat (door de medisch adviseur) wordt gemotiveerd. De vraag of de zorgverzekeraars in overeenstemming de Rzv handelen, maakte onderdeel uit van het eerdergenoemde onderzoek uit 2016 van de NZa. De NZa heeft toen geconcludeerd dat de zorgverzekeraars op dit punt geen overtreding begaan en verweerster heeft geen aanknopingspunten gevonden om aan de bevindingen van de NZa te twijfelen.

16. Eiseres betoogt dat de zorgverzekeraars hun verwerking zo zouden moeten inrichten dat er in het geheel geen diagnose op individueel niveau wordt verwerkt ofwel deze verwerking alleen plaatsvindt door mensen die zijn gehouden aan een beroepsgeheim. De materiële controle mag alleen worden gedaan door mensen met een beroepsgeheim en de gegevens mogen volgens eiseres niet worden opgeslagen of doorgegeven voor enig ander gebruik. Eiseres heeft op de zitting betoogd dat de zorgverzekeraars voor een grofmaziger systeem van financiering zouden kunnen kiezen, waardoor niet via dbc-codes zicht is op de diagnose van verzekerden en waardoor meer recht zou worden gedaan aan de privacy.

16. De rechtbank heeft in de tussenuitspraak in overweging 13 verwezen naar rechtsoverweging 4.9.3 van de uitspraak van de rechtbank Amsterdam, waarin de rechtbank heeft overwogen dat de gedragscode niet voldoende waarborgen biedt dat de medische persoonsgegevens niet onder ogen van anderen komen. Verweerster heeft in haar onderzoek gekeken hoe de zorgverzekeraars er feitelijk voor zorgdragen dat de medische persoonsgegevens niet onder ogen van anderen komen. Zij heeft zich terecht op het standpunt gesteld dat er geen wettelijke bepaling is aan te wijzen op basis waarvan moet worden geconcludeerd dat alleen personen met een medische beroepsgeheim toegang zouden mogen hebben tot de individuele medische persoonsgegevens. De rechtbank volgt verweerster in haar standpunt dat de zorgverzekeraars met hun geheimhoudingscontracten waarborgen dat medische persoonsgegevens niet met anderen worden gedeeld. Daarbij zijn de medewerkers van de zorgverzekeraars ook gebonden aan de geheimhoudingsbepaling van artikel 87, vijfde lid, van de Zvw. Gelet op de toelichting van verweerster in het bestreden besluit 2 komt de rechtbank tot de slotsom dat de zorgverzekeraars op het punt van het medisch beroepsgeheim niet handelen in strijd met de Wbp en dat verweerster het gebrek in de tussenuitspraak op dit punt heeft hersteld. Voor zover eiseres een alternatieve manier van gegevensverwerking voorstaat, wijst de rechtbank erop dat eiseres deze alternatieve manier van gegevensverwerking pas na de tussenuitspraak heeft geopperd. Dit is te laat voor verweerster om hier nog zinvol op in te gaan. Ter vergelijking wijst de rechtbank op de uitspraak van de ABRvS van 20 september 20175. In die zaak was door de belanghebbende al bij het handhavingsverzoek een alternatieve manier van gegevensverwerking voorgesteld. Dat was voor de ABRvS één van de redenen om te oordelen dat het bestuursorgaan het alternatief bij het handhavingsverzoek had moeten betrekken. Die situatie doet zich in dit geval niet voor. Dit deel van de beroepsgrond valt daarmee buiten de omvang van het geding. Het betoog van eiseres slaagt niet.

30. Samenvattend concludeert de rechtbank dat verweerster voldoende onderzoek heeft gedaan naar de in tussenuitspraak gesignaleerde knelpunten in de gedragscode en dat zij zich terecht op het standpunt heeft gesteld dat de zorgverzekeraars feitelijk niet in strijd handelen met de Wbp.
Artikel 8 van het EVRM en artikel 8 van het Handvest

30. Eiseres betoogt dat verweerster ten onrechte alleen heeft getoetst of de werkwijze van de zorgverzekeraars in overeenstemming is met de Wbp, terwijl de rechtbank in de tussenuitspraak ook heeft overwogen dat verweerster moest nagaan of deze werkwijze in overeenstemming is met artikel 8 van het EVRM en met het Handvest. Verweerster heeft echter nagelaten ook maar iets te vermelden over het EVRM en het Handvest, waarmee het bestreden besluit 2 volgens eiseres onvoldoende is gemotiveerd. Zij wijst daarbij vooral op het noodzakelijkheidsvereiste van artikel 8 van het EVRM dat verweerster bij haar onderzoek onvoldoende voor ogen heeft gehad.

30. De rechtbank onderschrijft dit standpunt van eiseres niet. Eiseres lijkt er met deze beroepsgrond van uit te gaan dat artikel 8 van het EVRM en het later inwerking getreden artikel 8 van het Handvest een afzonderlijk, los van de Wbp staand, toetsingskader vormt, waaraan verweerster ook had moeten toetsen. Dit is echter niet het geval. Met de totstandkoming van Wbp heeft de wetgever de Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (de Privacyrichtlijn)6 geïmplementeerd. De grondslag van de Privacyrichtlijn is onder andere het EVRM. In de memorie van toelichting van de Wbp7 is verder ingegaan op de verhouding tussen het grondwettelijke recht op bescherming van het privéleven van artikel 8 van het EVRM en de Wbp. Artikel 8 van het EVRM eist dat als inbreuken op het privéleven plaatsvinden, deze voorzien moeten zijn in de wet en noodzakelijk moeten zijn op grond van een aantal nader aangegeven gronden. Bij de toepassing van in grondrechtenbepalingen opgenomen beperkingsclausules, zoals artikel 8 van het EVRM (en het later inwerking getreden artikel 8 van het Handvest), spelen het proportionaliteits- en subsidiariteitsbeginsel een belangrijke rol. Het evenredigheids- of proportionaliteitsbeginsel geldt rechtstreeks op grond van artikel 8 van het EVRM. Deze mede op de grondrechten gebaseerde beginselen nemen, zo blijkt verder uit de memorie van toelichting, in de Wbp een centrale positie in. Op veel plaatsen in deze wet wordt de verwerking van gegevens gebonden aan het noodzakelijkheidscriterium. Als voorbeeld wijst de rechtbank naar de artikelen 8 en 13 van de Wbp, waarin het noodzakelijkheidsbeginsel en evenredigheid- of proportionaliteitbeginsel concreet zijn vormgegeven. Op de zitting heeft verweerster er op gewezen dat de noodzakelijkheidstoets en de evenredigheidstoets die in de Wbp zijn vormgegeven, worden ingevuld door artikel 8 van het EVRM. De Wbp heeft hiermee onmiskenbaar een Europeesrechtelijke grondslag. De rechtbank ziet geen aanleiding om te oordelen dat de implementatie van de Privacyrichtlijn en artikel 8 van het EVRM in de Wbp onjuist is en oordeelt dat verweerster door vast te stellen dat de zorgverzekeraars de Wbp niet hebben overtreden, zij ook artikel 8 van het EVRM en het later in werking getreden artikel 8 van het Handvest niet hebben overtreden. Het betoog van eiseres slaagt dus niet.

Overschrijding van de redelijke termijn

33. Eiseres heeft aanspraak gemaakt op schadevergoeding in verband met overschrijding van de redelijke termijn.

33. Gelet op het verzoek is de Staat der Nederlanden (hierna: de Staat) na sluiting van het onderzoek aangemerkt als derde-belanghebbende. Gelet op de Beleidsregel van de Minister van Veiligheid en Justitie van 8 juli 2014 (nr. 436935) heeft de rechtbank geen aanleiding gezien het onderzoek te heropenen.

33. De vraag of de redelijke termijn als bedoeld in artikel 6 van EVRM is overschreden, moet worden beoordeeld aan de hand van de omstandigheden van het geval. De behandeling van zaken als deze, waarin van een bezwaar- en beroepsprocedure sprake is, mag maximaal twee jaar in beslag nemen. De te beoordelen periode begint met de datum waarop het bezwaarschrift is ingediend en loopt door tot de datum waarop de rechtbank (eind)uitspraak heeft gedaan. De omstandigheden van het geval kunnen maken dat een langere behandelduur gerechtvaardigd is. Als de redelijke termijn is overschreden, geldt voor de schadevergoeding als uitgangspunt, een tarief van € 500,- per half jaar waarmee die termijn is overschreden, waarbij het totaal van de overschrijding naar boven wordt afgerond. De rechtbank moet beoordelen op welke manier de termijnoverschrijding moet worden toegerekend aan de bezwaar- en aan de beroepsfase. De veroordeling tot vergoeding van die schade moet naar evenredigheid worden uitgesproken ten laste van het bestuursorgaan of, als de overschrijding van de termijn heeft plaatsgevonden in beroep, ten laste van de Staat der Nederlanden (de Staat).

33. De hoofdregel is dat de bezwaarfase een half jaar in beslag mag nemen en de beroepsfase anderhalf jaar. In een geval zoals dit, waarin na een tussenuitspraak einduitspraak wordt gedaan, wordt de overschrijding van de redelijke termijn in beginsel in zijn geheel aan het bestuursorgaan toegerekend. Maar als er in de loop van de procedure één of meer keren sprake is (geweest) van een langere behandelingsduur dan gerechtvaardigd in de rechterlijke fase, dan komt die overschrijding niet voor rekening van het bestuursorgaan maar van de Staat. Van een overschrijding in de rechterlijke fase is geen sprake als de periode tussen het instellen van beroep en de tussenuitspraak ten hoogste anderhalf jaar heeft geduurd en als de rechtbank vervolgens binnen één jaar na ontvangst van de mededeling van het bestuursorgaan van de wijze waarop de in de tussenuitspraak geconstateerde gebreken zijn hersteld, einduitspraak doet.8

37. De rechtbank stelt vast dat er vanaf de ontvangst van het bezwaarschrift van eiseres op 4 januari 2016 tot deze (eind)uitspraak drie jaar en zes en halve maand (42,5 maand) zijn verstreken. Er is geen aanleiding om deze lange behandelduur gerechtvaardigd te achten. Dit betekent dat de procedure (naar boven afgerond) één jaar en zeven maanden te lang (19 maanden) heeft geduurd. Uitgaande van deze overschrijding heeft eiseres recht op € 2.000,- schadevergoeding.

37. De bezwaarprocedure heeft – gerekend vanaf de ontvangst van het bezwaarschrift op 4 januari 2016 tot het bestreden besluit 1 op 1 juni 2016 (afgerond) vijf maanden geduurd. De procedure bij de rechtbank heeft – gerekend vanaf de ontvangst van het beroepschrift op 11 juli 2016 tot aan deze uitspraak – drie jaar en 1 maand geduurd. Dat is afgerond negentien maanden te lang. Op het moment van het toepassen van de bestuurlijke lus door de rechtbank op 7 juli 2017 waren er bijna twaalf maanden verstreken en de rechtbank heeft dus binnen de hiervoor genoemde termijn van anderhalf jaar tussenuitspraak gedaan. Verweerster heeft vervolgens circa zeven maanden na de tussenuitspraak op 15 februari 2018 het bestreden besluit 2 genomen. De rechtbank had na dat besluit nog één jaar de tijd om een einduitspraak te doen. Dat heeft zij niet gehaald.
De overschrijding van de redelijke termijn in de periode ná 15 februari 2019, een periode van naar boven afgerond 5,5 maand, moet dan ook worden toegerekend aan de rechterlijke fase. De overige overschrijding wordt volgens vaste rechtspraak toegerekend aan het bestuursorgaan. Dat wil zeggen dat aan verweerster de overige 13,5 (19 minus 5,5) maanden termijnoverschrijding wordt toegerekend, omdat dit deel van de langere behandelduur bij de rechtbank is veroorzaakt door de tijd die de nieuwe besluitvorming van verweerster in beslag heeft genomen. Dit betekent dat 13,5/19 deel moet worden toegerekend aan verweerster en 5,5/19 deel aan de rechtbank. Verweerster zal daarom tot betaling van € 1.421,- (13,5/19 deel van € 2.000,-) worden veroordeeld en de Staat zal tot betaling van € 579,- (5,5/19) deel van € 2.000,-) worden veroordeeld.
Conclusie

37. Zoals de rechtbank hiervoor onder 2 heeft overwogen is het beroep van eiseres gericht tegen het bestreden besluit 1 niet-ontvankelijk. Het beroep van eiseres gericht tegen het bestreden besluit 2 is ongegrond. Omdat de rechtbank hierboven heeft geconcludeerd dat de redelijke termijn is overschreden, wijst zij het verzoek om schadevergoeding en veroordeelt zij verweerster tot vergoeding van € 1.421,- en de Staat tot betaling van € 579,- .

40. Als een beroep gegrond wordt verklaard volgt uit de wet dat verweerster het betaalde griffierecht vergoedt. In dit geval is het beroep tegen het bestreden besluit 1 niet-ontvankelijk en tegen bestreden besluit 2 ongegrond verklaard en volgt niet uit de wet dat verweerster eiseres het betaalde griffierecht moet vergoeden. Omdat eiseres terecht beroep heeft ingesteld tegen het bestreden besluit 1 en ten aanzien van dat beroep griffierecht is geheven draagt rechtbank verweerster op het door eiseres betaalde griffierecht te vergoeden.

40. De rechtbank is verder niet gebleken dat eiseres proceskosten heeft gemaakt die voor vergoeding in aanmerking komen.

Beslissing

De rechtbank:

  • -

    verklaart het beroep tegen het bestreden besluit 1 niet-ontvankelijk;

  • -

    verklaart het beroep tegen het bestreden besluit 2 ongegrond;

  • -

    draagt verweerster op het door eiseres betaalde griffierecht van € 334,- aan haar te vergoeden;

  • -

    veroordeelt verweerster tot het betalen van een schadevergoeding aan eiseres tot een bedrag € 1.421,- (zegge veertienhonderdeenentwintig euro);

  • -

    veroordeelt de Staat der Nederlanden tot het betalen van een schadevergoeding aan eiseres tot een bedrag € 579,- (zeggevijfhonderdnegenenzeventig euro).

Deze uitspraak is gedaan door mr. J.J. Catsburg, voorzitter, en mr. M.C. Stoové en mr. H.H.L. Krans, leden, in aanwezigheid van mr. M.E.C. Bakker, griffier. De beslissing is in het openbaar uitgesproken op 23 juli 2019.

griffier mr. M.E.C. Bakker rechter mr. M.C. Stoové


De voorzitter is verhinderd de uitspraak mede te onderteken.

Afschrift verzonden aan partijen op:

Rechtsmiddel

Tegen deze uitspraak en de tussenuitspraak kan binnen zes weken na de dag van verzending van deze uitspraak hoger beroep worden ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State.

Bijlage

Wet bescherming persoonsgegevens

Artikel 7

Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.

Artikel 8

Persoonsgegevens mogen slechts worden verwerkt indien:

a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;

b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;

c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;

d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;

e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of

f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Artikel 13

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Artikel 16

De verwerking van persoonsgegevens betreffende iemands […] gezondheid […] is verboden behoudens het bepaalde in deze paragraaf. […].

Artikel 21

1. Het verbod om persoonsgegevens betreffende iemands gezondheid te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt door:

[…]

b. verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht en financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voorzover dat noodzakelijk is voor:

[…]

2°. de uitvoering van de overeenkomst van verzekering;

Artikel 43

De verantwoordelijke kan de artikelen 9, eerste lid, 30, derde lid, 33, 34, 34a, tweede lid, en 35 buiten toepassing laten voor zover dit noodzakelijk is in het belang van:

[…]

b. de voorkoming, opsporing en vervolging van strafbare feiten;

c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen;

d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c,

[…].

Zorgverzekeringswet

Artikel 87

[…]

5 Personen werkzaam bij de zorgverzekeraar, bij een door de zorgverzekeraar aangewezen persoon als bedoeld in het eerste lid, of bij de door Onze Minister aangewezen persoon als bedoeld in het derde lid, voor wie niet reeds uit hoofde van ambt of beroep een geheimhoudingplicht geldt, zijn verplicht tot geheimhouding van de gegevens als bedoeld in het eerste, tweede of derde lid, behoudens voor zover enig wettelijk voorschrift hen mededeling toestaat.

1 ECLI:NL:RBMNE:2017:3421

2 13 november 2013, ECLI:NL:RBAMS:2013:7480

3 ECLI:NL:RVS:2017:1869, ECLI:NL:RVS:2012:BX4694 en ECLI:NL:RVS:2011:BR5704.

4 CBb 2 augustus 2010 (ECLI:NL:CBB:2010:BN3056)

5 ECLI:NL:RVS:2017:2555

6 PB 1995 L 281

7 Kamerstukken II, 1997-1998, 25892 nr. 3, blz. 7 en 8

8 Zie de de uitspraken van de ABRvS van 1 februari 2017 en 8 augustus 2018, ECLI:NL:RVS:2017:246 en ECLI:NL:RVS:2018:2679