“Als het om privacy draait, neem ik geen genoegen met een halve oplossing”
Recentelijk stond ineens op de website van de Autoriteit Persoonsgegevens (AP) dat factoringmaatschappijen geen BSN mogen gebruiken. Fred Bloem, CFO van marktleider Infomedics, was direct alert want het BSN is de sleutel in de clearing van declaraties met zorgverzekeraars. "Het BSN is uniek, waardoor factoringmaatschappij en zorgverzekeraar honderd procent zeker weten dat ze het over dezelfde persoon hebben. Ook wordt het BSN gebruikt om bij VECOZO te checken waar de patiënt verzekerd is, zodat de declaratie niet bij de verkeerde zorgverzekeraar belandt. Dat zou een datalek zijn, met alle consequenties van dien. "Juist vanwege deze veiligheid eist de NZa in haar declaratierichtlijn dat factoringmaatschappijen het BSN moeten gebruiken in de afhandeling van declaraties met zorgverzekeraars. Tegenstrijdige eisen van de AP en NZa dus.
Verwerker of eigenaar?
Medio 2017 paste de NZa de declaratierichtlijnen voor factoringmaatschappijen aan, zodanig dat vanaf 1 januari 2018 het BSN niet meer vereist is in de clearing met zorgverzekeraars. Bloem: "Een factoringmaatschappij wordt eigenaar van de gegevens van de patiënt doordat ze de vordering van de praktijkhouder overneemt. Volgens de AP wordt de factoringmaatschappij daardoor verantwoordelijk voor de persoonsgegevens en mag zij het BSN niet meer gebruiken. Als de factoringmaatschappij de gegevens alleen in opdracht van de zorgverlener zou verwerken zonder overdracht van het eigendom, blijft de praktijkhouder volledig in charge en is er niks aan de hand."
Bloem vindt dat zijn organisatie per definitie geen verantwoordelijke is, maar verwerker en dat de eigendomsoverdracht van vorderingen daar niets aan verandert. Diverse gespecialiseerde advocaten tot en met een hoogleraar, gespecialiseerd in het privacyrecht, waren het met hem eens. Gesterkt door deze expertopinions verzocht Infomedics het ministerie van VWS de wet een te passen om het voor factoringbedrijven mogelijk te maken het BSN te blijven gebruiken. "Maar middenin de verkiezingstijd was er weinig animo om dit stukje BSN-wetgeving te verruimen."
Scheiding van eigendom en verwerking
De oplossing die Bloem vond, ligt in een compleet andere bedrijfsstructuur. "Wij hebben de eigendomsoverdracht losgekoppeld van de verwerking van declaraties en ondergebracht in twee aparte BV's. "De eigendom-BV heeft een eigen, ofanhankelijk bestuur en gescheiden ICT-systemen. In de statuten is vastgelegd dat deze BV over geen enkel persoonsgegeven mag beschikken. De verwerking-BV is geen eigenaar meer van de vorderingen en handelt in opdracht van de praktijkhouder als zuivere bewerker in de zin van de privacywetgeving. In de visie van de AP is de verwerking-BV een administratiekantoor omdat zij de vorderingen niet in eigendom overneemt en mag zij als zodanig het BSN verwerken. De klanten van Infomedics gaan een contract aan met beide BV's in een nieuwe driepartijenovereenkomst.
Efficiënter en veiliger
Waarom is het zo belangrijk voor Infomedics om het BSN te kunnen blijven gebruiken? Is een check op bijvoorbeeld de combinatie van postcode, huisnummer en geboortedatum niet net zo goed? “ Wij verwerken zo’n 15 miljoen declaraties per jaar. Zelfs als maar een klein percentage om deze reden verkeerd gaat, praten we toch over aanzienlijke aantallen ”, zegt Bloem . “ Waar het fout gaat , bellen patiënten met ons of de praktijk. En bij de zorgverzekeraar ontstaat uitval omdat een verzekerde niet altijd geïdentificeerd kan worden . Het hele proces wordt minder efficiënt, zowel voor de praktijkhouder als voor de patiënt , maar ook voor Infomedics. Dat vinden wij niet acceptabel. Wij hebben een enorme focus op operational excellence en klanttevredenheid. ”
“ Ook wordt het zon der BSN simpelweg minder veilig. De kans op datalekken wordt groter. Privacy is heel belangrijk voor ons en ik neem wat dat betreft geen genoegen met een halve oplossing. Ik ken de privacywetgeving goed en ik vind het een prettig gevoel dat we het echt goed voor elkaar hebben. Het was zeker een flinke klus om tot onze driepartijenstructuur te komen. We hebben niet de makkelijkste weg gekozen, maar ik vind dit niet alleen efficiënter en veiliger maar vanuit de privacywetgeving ook veel zuiverder. Dit is ‘privacy by design’ zoals dat in de nieuwe wetgeving (Algemene Verordening Gegevensbescherming die in mei 2018 van kracht wordt, red.) bedoeld is. ”
Twee oplossingen
De andere factoringmaatschappijen accepteren simpelweg geen BSN’s meer van hun klanten. Hoe kijken jullie daar tegenaan? Bloem: “ Wij hebben onze juridische, operationele en systeemtechnische structuur zo aangepast dat wij het BSN privacyproof kunnen blijven verwerken. Voor klanten die twijfels hebben, kunnen wij ook declaraties zonder BSN verwerken . Maar de klanten die voor die optie kiezen, mogen dan dus geen BSN meer bij ons aanleveren. Wij zijn van mening dat de praktijkhouder zelf de keuze moet maken. Hij is uiteindelijk de wettelijk verantwoordelijke. Een keuze voor aanleveren zonder BSN zal echter wel leiden tot verminderde efficiency en hogere kosten. Dat willen wij natuurlijk niet en het is ook niet nodig met de oplossing die wij voorhanden hebben. ”
Klanten van Infomedics hebben in 2018 twee opties:
1. Declaraties aanleveren zonder BSN. Dan hoef je niks te veranderen aan je contract maar je moet wel je BSN uit je software halen. Dat is je eigen verantwoordelijkheid. In de nieuwe updates van de softwarepakketten moet dit mogelijk zijn .
2. Een nieuwe driepartijenovereenkomst tekenen. Dan kun je het BSN blijven aanleveren en verandert er operationeel niets .
De tarieven zijn hetzelfde bij de twee opties. In het belang van de efficiency van de gehele declaratieketen en de informatieveiligheid, adviseert Infomedics haar klanten te kiezen voor optie 2.
Bij het thema van dit artikel betrokken organisaties
Meer artikelen met dit thema
Mr. Shirin Slabbers (VvAA) over ‘Uh E-health!?’: ‘Breng regels en risico’s in kaart’
17 feb 2022 5 minWebinar Digitaal Veilig & Gezond samenwerken - 15 maart
20 jan 2022 3 minPraktijkmanager Ingrid Jaape over Uw Zorg online: ‘Werkdruk beperk je door maximale inzet op digitalisering’
24 dec 2021 5 minHet ‘kwalicheck virus’: vijf sterren, fantastisch of juist niet?
15 dec 2021 3 minMr. Shirin Slabbers (VvAA) over e-health in de mondzorg: ‘Regel de juridische kant goed, voorkom claims en boetes’
8 dec 2021 5 minTolk2Me: medisch studenten tackelen taal- en cultuurbarrières in de spreekkamer
7 dec 2021 4 minEen taalbarrière zorgt er in de spreekkamer soms voor dat het voeren van een huisartsenconsult lastig is. Een…
Reactie toevoegen