Waarom DKV de toestemming vraagt om medische gegevens te verwerken

De eerste GDPR-storm woedt inmiddels op de sociale media (Twitter, LinkedIn, ...). Er ontstond commotie over een brief van DKV. De hospitalisatieverzekeraar vroeg aan haar aangeslotenen de toestemming om hun medische gegevens te verwerken. Zonder toestemming zou DKV de medische kosten niet kunnen vergoeden. Is dit een GDPR-inbreuk of niet? 

Aanleiding van de commotie

De brief van DKV vermeldt het volgende:

"Op grond van de GDPR moeten wij uw toestemming vragen om medische gegevens te mogen verwerken. Als gevolg hiervan zullen wij uw medische kosten niet kunnen vergoeden zonder uw toestemming."

DKV formuleert de toestemming van de verzekerde als volgt:  

"Ik erken dat mijn persoonlijke gezondheidsgegevens alleen verwerkt mogen worden met mijn toestemming. Als ik echter geen toestemming geef, dan kan het afsluiten en/of de behoorlijke uitvoering van het verzekeringscontract worden verhinderd"

In een 'video-tweet' werd geadviseerd om de brief van DKV niet te ondertekenen:

  1. omdat DKV de toestemming van haar verzekerde niet nodig zou hebben. DKV zou de gegevens kunnen verwerken op basis van het verzekeringscontract met de werkgever.
  2. omdat de verzekerde geen vrije toestemming kon geven zoals bepaald in de GDPR. DKV zou aangegeven hebben dat de verzekerde niet langer verzekerd is als geen toestemming gegeven wordt.

Volgens ons klopt dit advies niet...

GDPR toestemming

 

Welke rechtsgronden heeft een hospitalisatieverzekeraar om persoonsgegevens te verwerken?

Voor iedere verwerking van persoonsgegevens is een 'rechtsgrond' nodig. 

'Gewone' persoonsgegevens kunnen voornamelijk op basis van de volgende algemene rechtsgronden verwerkt worden:

  • de toestemming van de betrokkene
  • de verwerking is noodzakelijk voor de uitvoering van een overeenkomst
  • er is een wettelijke verplichting om de gegevens te verwerken
  • de verwerking is noodzakelijk voor een gerechtvaardigd belang

Gevoelige’ persoonsgegevens, zoals medische gegevens over de gezondheid van een persoon, kunnen in principe niet verwerkt worden, tenzij een 'specifieke rechtsgrond' de verwerking toelaat.

De GDPR vermeldt als twee eerste specifieke rechtsgronden (de andere zijn niet relevant in de besproken context):

  • de uitdrukkelijke toestemming van de betrokkene
  • de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van rechten op het vlak van het arbeidsrecht, het socialezekerheids- en socialebeschermingsrecht

De verwerking van medische gegevens  door een private hospitalisatieverzekeraar lijkt ons niet onder de tweede specifieke rechtsgrond te vallen. Een dergelijke verzekeraar voert geen verplichtingen uit die op hem rusten in het kader van het arbeidsrecht, het socialezekerheidsrecht of het socialebeschermingsrecht, maar in het kader van een private verzekeringsovereenkomst, gesloten met een werkgever.

Onze conclusie is dat de hospitalisatieverzekeraar medische gegevens enkel kan verwerken als hij de uitdrukkelijke toestemming heeft van de betrokkene. 

Dat is wat DKV gedaan heeft. DKV vraagt terecht de toestemming aan de verzekerde om medische gegevens te verwerken. DKV heeft ons inziens geen andere keuze.

Geen toestemming, niet verzekerd?

DKV heeft in zijn brief en het toestemmingsformulier vermeld dat zonder toestemming:

  • de behoorlijke uitvoering van het verzekeringscontract verhinderd kan worden
  • DKV de medische kosten van de verzekerde niet zou kunnen vergoeden

Als waarschuwing kan dat tellen.

Maar dat zonder toestemming de verzekerde niet langer verzekerd zou zijn, zoals op Twitter gesuggereerd werd, blijkt nergens uit!

Behoudens bijzondere contractuele clausules, blijft de verzekerde verzekerd. Maar pas als hij zijn toestemming geeft om medische gegevens te verwerken kan het verzekeringscontract uitgevoerd worden. Vanuit praktisch oogpunt is het normaal dat DKV op voorhand de toestemming vraagt om medische gegevens te verwerken. Als de verzekerde zijn toestemming nog niet gegeven heeft, zal hij dat ten laatste moeten doen op het moment van zijn aanvraag tot terugbetaling van medische kosten. Dat kan tot praktische problemen leiden.

Vrije toestemming?

De GDPR bepaalt dat de toestemming van een persoon pas geldig is als hij die vrij en geïnformeerd geeft.

Toestemming is niet vrij als de persoon geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.

Wordt de vrije toestemming onmogelijk gemaakt doordat DKV wijst op de gevolgen die er zijn als de verzekerde zijn toestemming niet geeft? 

Dat is wellicht voor discussie vatbaar.

Dat DKV vermeldt wat de gevolgen zijn van het niet geven van toestemming, belet volgens ons niet dat de verzekerde vrij zijn toestemming kan geven. De vermelde gevolgen lijken immers correct. Zonder de toestemming is geen verwerking van medische gegevens mogelijk. Zonder verwerking van medische gegevens (bv. ziektekosten), kan DKV logischerwijze de verzekerden niet vergoeden.

 

Besluit

Ook al is de verwerking van medische gegevens noodzakelijk om een verzekeringscontract uit te voeren, een hospitalisatieverzekeraar heeft volgens ons de toestemming van de verzekerde nodig om zijn medische gegevens te verwerken.

Tenzij contractueel anders bepaald is, blijft de verzekerde verzekerd onder de hospitalisatieverzekering ook al heeft hij die toestemming nog niet gegeven.

Maar zoals DKV terecht vermeldt, zal zij het verzekeringscontract pas behoorlijk kunnen uitvoeren (lees: overgaan tot het betalen van vergoedingen) als zij over die toestemming beschikt.

 

Karel Theuns


Hebt u vragen over de toepassing van de GDPR in uw onderneming? Wil u gebruik maken van ons basisregister voor verwerkingsactiviteiten of privacyverklaring op het vlak van personeelsbeleid?  Commit Advocaten helpt u graag verder.

 

Ondanks alle zorg die besteed is aan het opstellen van deze tekst, blijven vergissingen en/of onvolkomenheden mogelijk. De auteur en Commit Advocaten cvba kunnen daarvoor geen aansprakelijkheid aanvaarden.