Declareren onder de AVG
De Algemene verordening Gegevensbescherming (AVG) wordt vanaf 25 mei gehandhaafd en vervangt daarmee de Wet bescherming persoonsgegevens (Wbp). Wat is de invloed van de nieuwe privacywetgeving op het declareerproces?
3 manieren
U kunt op 3 manieren declareren:
- Zelf doen. Let erop dat u met de leverancier van uw praktijksoftware een verwerkersovereenkomst (zie hieronder) sluit, dit is onder de AVG verplicht.
- Met een administratiekantoor. Als u met een administratiekantoor werkt, moet u ook met hen een verwerkersovereenkomst afsluiten.
- Via een factoringorganisatie. Hier heerst nog onduidelijkheid omdat de twee grootste factoringmaatschappijen (Infomedics en Famed) de AVG op een belangrijk punt verschillend interpreteren.
Infomedics
Volgens prof. mr G.-J.Zwenne (hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden en advocaat bij Brinkhof te Amsterdam en in die hoedanigheid adviseur van onder andere Infomedics) moeten onder de AVG zorgaanbieders expliciet toestemming krijgen van hun patiënten om hun gegevens te laten verwerken door een factoringbedrijf dat het eigendom van de declaraties overneemt.
Het gebruik van gezondheidsgegevens is volgens Zwenne onder de AVG in principe verboden tenzij er een wettelijke uitzondering bestaat. Zo staat de privacywet wel toe dat de arts de gezondheidsgegevens van zijn patiënten verwerkt om deze te behandelen en daarvoor betaald te krijgen. Als een arts een ander bedrijf gebruikt om namens hem/haar de gezondheidsgegevens te verwerken, op zijn/haar instructie en onder zijn/haar verantwoordelijkheid als ‘verwerkingsverantwoordelijke’ dan is er geen toestemming van de patiënt nodig. Wel moet de arts een verwerkersovereenkomst aangaan met dat bedrijf.
Voor een factoringmaatschappij wordt zo’n uitzondering niet gemaakt. Als de factoringmaatschappij eigenaar wordt van de vordering, wordt het bedrijf de verwerkingsverantwoordelijke. In dat geval moet er van de zorgafnemers wel uitdrukkelijk toestemming worden gevraagd en gekregen, zo schrijft Zwenne. De Wet marktordening gezondheidszorg (Wmg) biedt geen wettelijke grondslag voor factoringbedrijven om persoonsgegevens te mogen verwerken, zo schrijft hij ook.
Infomedics heeft op dit moment zijn interne structuur zo ingericht (met een zogenaamde ‘driepartijenstructuur’) dat het eigenaarschap van de declaraties strikt gescheiden is van de verwerking ervan. Daardoor is volgens Zwenne toestemming van patiënten niet nodig. De arts blijft hier zelf de ‘verwerkingsverantwoordelijke’. Hij/zij moet wel een verwerkersovereenkomst sluiten met het bedrijf dat de facturen verwerkt (maar niet met het bedrijf dat de declaraties bezit).
Op zijn website geeft Infomedics antwoorden op vragen over dit onderwerp.
Famed
Famed is daarentegen van mening dat ook onder de AVG praktijkhouders geen toestemming nodig hebben van hun patiënten om hun persoonsgegevens (die op hun declaraties staan) te laten verwerken door een factoringmaatschappij die eigenaar van de vordering is.
Famed schrijft in een reactie (aan de redactie van MedischOndernemen) op de notitie van Zwenne dat Zwenne gelijk heeft dat voor het rechtmatig verwerken van (medische) persoonsgegevens bedrijven, instanties of organisaties een zogeheten ‘grondslag’ nodig hebben. Zwenne gaat er echter vanuit dat Famed verwijst naar het gerechtvaardigd belang als de grondslag op basis waarvan het bedrijf medische persoonsgegevens mag verwerken, maar dat is een verkeerde aanname, schrijft Famed. Famed heeft onder de AVG een wettelijke grondslag voor het verwerken van (medische) persoonsgegevens. Die wettelijke grondslag vloeit volgens Famed voort uit de Wet marktordening gezondheidszorg (Wmg) waar medische factoringmaatschappijen aan moeten voldoen. Deze wettelijke grondslag was er al onder de Wet bescherming persoonsgegevens (Wbp) en is in de basis niet veranderd met de intrede van de AVG. Famed zegt daarom ook mede namens de zorgaanbieders de Autoriteit Persoonsgegevens gevraagd te hebben om hierover op korte termijn een duidelijke uitspraak te doen.
Famed legt het verder uit in dit bericht.
Onduidelijkheid
Deze verschillende interpretaties van de AVG veroorzaken voor de praktijkhouders in de eerste lijn onzekerheid. Het valt te hopen dat de Autoriteit Persoonsgegevens snel een duidelijke uitspraak zal doen over of toestemming van de patiënt voor het verwerken van hun persoonsgegevens door een factoringmaatschappij die het eigendom van deze declaraties heeft overgenomen (waarbij er geen sprake is van een interne structuur met een duidelijke scheiding tussen het bedrijf dat declaraties verwerkt en het bedrijf dat het eigendom heeft) verplicht is.
De verwerkersovereenkomst
In een verwerkersovereenkomst (onder de Wbp heette dit een bewerkersovereenkomst) legt u vast hoe de gegevens precies verwerkt worden en welke veiligheidsmaatregelen er genomen zijn. Lees hier meer over wat er in een verwerkersovereenkomst moet staan.
Ook moet u van de AVG een verwerkingsregister aanleggen waarin u beschrijft welk gegevens u bewaart en waarom en voor hoe lang. Ook beschrijft u alle maatregelen die u heeft genomen om de persoonsgegevens te beveiligen. U moet de AP dit verwerkingsregister te allen tijde kunnen laten zien.
Lees hier meer over het verwerkingsregister.
Het is goed u ervan bewust te zijn dat u als praktijkhouder verantwoordelijk blijft voor wat er met de data gebeurt, ook als het fout gaat bij een verwerker. Controleer dus goed of de bedrijven waarmee u werkt voldoen aan de AVG. Belangrijk in de AVG is ook dat u uw patiënten duidelijk en toegankelijk informeert over wat er met hun data gebeurt.
Lees hier het stappenplan van de AP voor uw voorbereiding op de AVG.
Bij het thema van dit artikel betrokken organisaties
Lees verder - met dit thema
ReviewCollect neemt PatiëntenEnquête over van MedischOndernemen
14 jun 2022 2 minSoftwarebedrijf CollectSoft B.V., bekend van ReviewCollect, verstevigt met de overname van de PatiëntenEnquête…
Reactie toevoegen