De Minister van Volksgezondheid, Welzijn en Sport heeft het College bescherming persoonsgegevens (CBP) om advies gevraagd over het wetsvoorstel fraudebestrijding zorgverzekeringswetten. Het CBP beperkt zijn reactie tot een advies inzake:

• het opnemen van een identificatieplicht in de Algemene Wet Bijzondere Ziektekosten (AWBZ) en de Ziekenfondswet (Zfw) (artikelen I, onderdeel A, en III, onderdeel B);
• de invoering van het sofi-nummer in de Wet op de toegang ziektekostenverzekeringen 1998 (Wtz 1998) (artikel II, onderdeel A);
• het gebruik van een elektronische infrastructuur voor gegevensuitwisseling ter uitvoering van de Zfw (artikel III, onderdeel D)

Identificatieplicht
De regering beoogt het opnemen van een identificatieplicht in de Algemene Wet Bijzondere Ziektekosten (AWBZ) en de Ziekenfondswet (Zfw). Er moet een geldige reden bestaan om van de burger identificatie te eisen. Uit de toelichting bij het wetsvoorstel blijkt dat de regering van mening is dat het inroepen van zorg ten laste van de sociale ziektekostenverzekeringswetten een toereikende grondslag is voor de identificatieplicht in de Zfw en de AWBZ. Het CBP is het daarmee eens.
Het CBP wil er echter uitdrukkelijk op wijzen dat de invoering van een identificatieverplichting binnen de context van de zorgverlening onaanvaardbare consequenties kan hebben, wanneer het niet kunnen tonen van een identiteitsbewijs leidt tot ontoegankelijkheid van noodzakelijke –zij het mogelijk niet steeds spoedeisende- gezondheidszorg. Het CBP vraagt zich af of de voorgestelde maatregelen de noodzakelijke toegang tot de zorg voldoende garanderen.

Invoering sofi-nummer
Met dit artikel wordt beoogd het gebruik van het sofi-nummer in de administratie van de ziektekostenverzekeraars en het uitvoeringsorgaan voor de Wtz 1998 te regelen. Door een combinatie van het sociale nummer en het fiscale nummer vormt het een uniek en verplicht persoonsnummer voor elke burger die in relatie staat tot een fiscale of sociale zekerheidsinstantie.
Artikel 24 Wet bescherming persoonsgegevens (Wbp) beperkt het gebruik van het sofi-nummer tot de uitvoering van de fiscale en sociale zekerheidswetgeving. Daarnaast kan verder gebruik bij wet geregeld worden. Bij de beoordeling van een dergelijke regeling let het CBP op de doeleinden waarvoor het nummer is ingericht en het algemene beginsel van doelbinding in de Wbp.
In het Besluit gebruik sofi-nummer Wbp, is geregeld dat de Informatie Beheer Groep het sofi-nummer mag gebruiken bij de verwerking van persoonsgegevens met het oog op de toekenning van studiefinanciering. In de Wtz is de verplichting voor ziektekostenverzekeraars geregeld om bepaalde categorieën van personen een standaardverzekering aan te bieden, onder meer studenten indien zij recht hebben op studiefinanciering. De koppeling van de verplichting voor de verzekeraar aan het recht op studiefinanciering van de aspirant-verzekerde maakt een toets aan de gegevens van de Informatie Beheer Groep noodzakelijk. Het gebruik van het sofi-nummer maakt deze efficiënter. Dit gebruik zou ook bijdragen aan bestrijding van fraude en het oneigenlijk gebruik van de Wtz. Een en ander draagt bij aan de goede uitvoering van een publieke taak door bij wet met een publieke taak belaste zorgverzekeraars en het uitvoeringsorgaan in de zin van Wtz 1998. De Wtz 1998 is geen regeling op het gebied van de sociale zekerheid, maar grenst daaraan.
Het CBP komt tot de conclusie dat de invoering van het sofi-nummer in de Wtz voldoende is onderbouwd, niet onverenigbaar is met de doeleinden waarvoor het nummer is ingericht en aansluit bij het bestaande wettelijke stelsel met betrekking tot het gebruik van dat nummer. Voorwaarde voor een juist gebruik van het sofi-nummer is dat het nummer uitsluitend wordt vastgelegd, gebruikt en bewaard, voor zover en zo lang dat in het kader van de uitvoering van de Wtz 1998 noodzakelijk is.

Advies

Aan de Minister van Volksgezondheid, Welzijn en Sport
de heer drs. J.F. Hoogervorst

Datum: 25 augustus 2003

Onderwerp: Advies inzake wetsvoorstel fraudebestrijding zorgverzekeringswetten

Geachte heer Hoogervorst,

U heeft het College bescherming persoonsgegevens (CBP), gelet op artikel 51 lid 2 Wet bescherming persoonsgegevens (WBP), om advies gevraagd ten aanzien van het wetsvoorstel fraudebestrijding zorgverzekeringswetten.

Het CBP voldoet hierbij aan dit verzoek.

Het CBP richt zich bij zijn toetsing met name op de gevolgen van het wetsvoorstel voor de bescherming van persoonsgegevens. Vanuit deze invalshoek bezien dient het wetsvoorstel te voldoen aan artikel 8 EVRM alsmede aan de WBP, welke uitvoering geeft aan Richtlijn 95/46/EG. Het CBP beperkt zijn reactie tot een advies op de artikelen I, onderdeel A, en III, onderdeel B, van het wetsvoorstel met betrekking tot het opnemen van een identificatieplicht in de Algemene Wet Bijzondere Ziektekosten (AWBZ) en de Ziekenfondswet (Zfw) en artikel II, onderdeel A, met betrekking tot de invoering van het sofi-nummer in de Wet op de toegang ziektekostenverzekeringen 1998 (Wtz 1998), alsmede artikel III, onderdeel D, met betrekking tot het gebruik van een elektronische infrastructuur voor gegevensuitwisseling ter uitvoering van de Zfw.

Artikelen I, onderdeel A, en III, onderdeel B:
Met deze artikelen van het wetsvoorstel beoogt de regering het opnemen van een identificatieplicht in de Algemene Wet Bijzondere Ziektekosten (AWBZ) en de Ziekenfondswet (Zfw).

Op het verzamelen en vastleggen van persoonsgegevens is de WBP van toepassing. Een belangrijk uitgangspunt in deze wetgeving is dat persoonsgegevens voor een bepaald doel worden verzameld en dat hierbij niet meer gegevens worden verwerkt dan voor dit doel noodzakelijk is.

De nota “Persoonsnummerbeleid in het kader van identiteitsmanagement” (Kamerstukken II, 2002-2003, 28600 VII, nr. 21) bevat de actuele inzichten van het kabinet omtrent de omgang met identiteitsvraagstukken. In deze nota staat het gemeenschappelijke belang voorop dat overheid en burger hebben bij het vaststellen van diens identiteit. De burger dient zich in relatie tot de overheid te kwalificeren als een gerechtigde tot het afnemen van bepaalde diensten of als een burger die aan bepaalde verplichtingen voldoet. Er moet een geldige reden bestaan om van de burger identificatie te eisen. Uit de toelichting bij het wetsvoorstel blijkt dat de regering van mening is dat het inroepen van zorg ten laste van de sociale ziektekostenverzekeringswetten een toereikende grondslag is voor de identificatieplicht in de Zfw en de AWBZ. Overigens bestaat de identificatieverplichting reeds in andere sociale zekerheidswetgeving.

Door aan degene die zorg inroept ten laste van de Zfw of AWBZ een verplichting op te leggen zich te identificeren kan misbruik van de sociale ziektekostenverzekeringen beperkt of voorkomen worden. Ook zal het de zorg ten goede komen als de identiteit van een patiënt is vastgesteld, en niet het patiëntendossier van een ander wordt gebruikt. Het CBP is het met de regering eens dat er een toereikende grondslag is voor een identificatieplicht in de Zfw en AWBZ. Het CBP neemt aan dat misbruik van de voorzieningen uit de Zfw en AWBZ op die wijze kan worden beperkt.

Het CBP wil er daarbij echter uitdrukkelijk op wijzen dat de invoering van een identificatieverplichting binnen de context van de zorgverlening onaanvaardbare consequenties kan hebben, wanneer het niet kunnen tonen van een identiteitsbewijs leidt tot ontoegankelijkheid van noodzakelijke –zij het mogelijk niet steeds spoedeisende- gezondheidszorg. Een adequate belangenafweging die voorafgaat aan het invoeren van de identificatieverplichting, vereist dat in de noodzakelijke toegankelijkheid van de zorg is voorzien, wanneer een verplichting tot identificatie in het kader van de AWBZ en Zfw wordt ingesteld. U onderschrijft die gedachte ook in de toelichting. Hoewel er in de toelichting op het wetsvoorstel is ingegaan op een maatregel om noodzakelijke medische hulp te regelen, vraagt het CBP zich af of een dergelijke maatregel in de praktijk voldoende is om de noodzakelijke toegang tot de zorg te garanderen.

Artikel II, onderdeel A:
Met dit artikel beoogt de regering de opneming van het sofi-nummer in de administratie van de ziektekostenverzekeraars en het uitvoeringsorgaan ter zake van de uitvoering van de Wtz 1998, alsmede het gebruik van het nummer te regelen.

Het sofi-nummer is een persoonsnummer dat wordt toegekend door de Belastingdienst. Door een combinatie van het sociale nummer en het fiscale nummer vormt het een uniek en verplicht persoonsnummer voor elke burger die in relatie staat tot een fiscale of sociale zekerheidsinstantie. Het gebruik van identificerende nummers, zoals het sofi-nummer, is geregeld in artikel 24 WBP.

Dit artikel luidt als volgt:

- Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.
- Bij algemene maatregel van bestuur kunnen andere dan in het eerste lid bedoelde gevallen worden aangewezen waarin een daarbij aan te wijzen nummer, als bedoeld in het eerste lid, kan worden gebruikt. Daarbij kunnen nadere regels worden gegeven over het gebruik van een zodanig nummer.

Artikel 24 WBP beperkt het gebruik van het sofi-nummer. In de eerste plaats kan sprake zijn van het gebruik “ter uitvoering van de betrokken wettelijke regeling”. Het gaat hier om het gebruik op het terrein waarvoor het sofi-nummer primair is bestemd: namelijk de uitvoering van de fiscale en sociale zekerheidswetgeving. Ten tweede kan het gebruik bij wet geregeld worden, zoals in het onderhavig wetsvoorstel beoogd. Daarbij ziet het CBP er op toe dat een dergelijke regeling binnen de context van het sofi-nummer past. Het CBP let daarbij op de doeleinden waarvoor het nummer in beginsel is ingericht en het algemene beginsel van doelbinding in de WBP en de daaraan ten grondslag liggende richtlijn.

In het Besluit gebruik sofi-nummer Wbp, is geregeld dat de Informatie Beheer Groep het sofi-nummer mag gebruiken bij de verwerking van persoonsgegevens met het oog op de toekenning van studiefinanciering. In de Wtz is geregeld de verplichting voor ziektekostenverzekeraars om bepaalde bij algemene maatregel van bestuur (Amvb) aan te wijzen categorieën van personen een overeenkomst van standaardverzekering aan te bieden. Bij Amvb is dit voor onder meer studenten geregeld indien zij recht hebben op studiefinanciering ingevolge de Wet studiefinanciering 2000 (Wsf). De koppeling van de verplichting voor de verzekeraar aan het recht op studiefinanciering van de aspirant-verzekerde maakt een toets aan de gegevens van de Informatie Beheer Groep noodzakelijk. Deze zou efficiënter kunnen gebeuren met gebruik van het sofi-nummer. Bovendien zou dit gebruik bijdragen aan de bestrijding van fraude en het oneigenlijk gebruik van de Wtz. Een en ander draagt bij aan de goede uitvoering van een publieke taak door bij wet met een publieke taak belaste zorgverzekeraars en het uitvoeringsorgaan in de zin van Wtz 1998. De Wtz 1998 is geen regeling op het gebied van de sociale zekerheid, maar grenst daaraan.

Het CBP komt tot de conclusie dat de invoering van het sofi-nummer in de Wtz voldoende is onderbouwd, niet onverenigbaar is met de doeleinden waarvoor het nummer is ingericht en aansluit bij het bestaande wettelijke stelsel met betrekking tot het gebruik van dat nummer. Voorwaarde voor een juist gebruik van het sofi-nummer door het uitvoeringsorgaan en de (particuliere) ziektekostenverzekeraars acht het CBP, dat het nummer uitsluitend wordt vastgelegd, gebruikt en bewaard, voor zover en zo lang dat in het kader van de uitvoering van de Wtz 1998 noodzakelijk is.

Artikel III, onderdeel D:
Met dit artikel beoogt de regering het gebruik van een elektronische infrastructuur voor gegevensuitwisseling ter uitvoering van de Zfw te regelen.

De toelichting gaat uitgebreid in op het voornemen de informatievoorziening tussen instanties in verband met de Zfw via een routeringssysteem in de zorg te laten verlopen, het zogenaamd RINIS-concept in de zorgverzekeringssector. Het CBP is bekend met dit initiatief. Dit concept is in ontwikkeling en de rechtmatigheid van het (uiteindelijke) gebruik ervan is afhankelijk van de inrichting van het systeem conform de wettelijke regels omtrent de verwerking van persoonsgegevens in het algemeen, en met betrekking tot de gebruikers van het systeem in bijzondere regelgeving.

Ten aanzien van het eerste lid geldt derhalve dat het gebruik van een elektronische infrastructuur alleen verplicht kan worden als dit ook kan geschieden conform de reeds bestaande regelgeving omtrent het verkeer van persoonsgegevens. Aspecten daarvan zijn bijvoorbeeld de beveiliging van elektronisch gegevensverkeer en de aanwezigheid van een wettelijke grondslag voor de concrete verwerkingen. Aan deze andere voorwaarden zal dan ook eveneens moeten worden voldaan.

In het tweede lid wordt geregeld dat het College zorgverzekeringen regels kan stellen met betrekking tot de in het eerste lid bedoelde gegevensuitwisseling ten aanzien van een aantal genoemde aspecten daarvan. Het CBP merkt op dat de WBP, alsook bijzondere wetgeving ten aanzien van deze aspecten van gegevensuitwisseling, dwingendrechtelijk regels stelt. Het College zorgverzekeringen is derhalve slechts bevoegd nadere regels vast te stellen, voor zover die niet in strijd komen met bestaande wetgeving. Een zelfde bevoegdheid zou overigens kunnen worden ontleend aan de geldende Zfw. Gelet op het bovenstaande plaatst het CBP vraagtekens bij het nut van artikel III, onderdeel D.

Het CBP vertrouwt erop u met dit advies voldoende te hebben geïnformeerd.

Hoogachtend,

mr. P.J. Hustinx
voorzitter