Welke rechtsgronden heeft een hospitalisatieverzekeraar om persoonsgegevens te verwerken?

Voor iedere verwerking van persoonsgegevens is een 'rechtsgrond' nodig.

'Gewone' persoonsgegevens kunnen voornamelijk op basis van de volgende algemene rechtsgronden verwerkt worden:

de toestemming van de betrokkene

de verwerking is noodzakelijk voor de uitvoering van een overeenkomst

er is een wettelijke verplichting om de gegevens te verwerken

de verwerking is noodzakelijk voor een gerechtvaardigd belang

‘Gevoelige’ persoonsgegevens, zoals medische gegevens over de gezondheid van een persoon, kunnen in principe niet verwerkt worden, tenzij een 'specifieke rechtsgrond' de verwerking toelaat.

De GDPR vermeldt als twee eerste specifieke rechtsgronden (de andere zijn niet relevant in de besproken context):

de uitdrukkelijke toestemming van de betrokkene

de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van rechten op het vlak van het arbeidsrecht, het socialezekerheids- en socialebeschermingsrecht

De verwerking van medische gegevens door een private hospitalisatieverzekeraar lijkt ons niet onder de tweede specifieke rechtsgrond te vallen. Een dergelijke verzekeraar voert geen verplichtingen uit die op hem rusten in het kader van het arbeidsrecht, het socialezekerheidsrecht of het socialebeschermingsrecht, maar in het kader van een private verzekeringsovereenkomst, gesloten met een werkgever.

Onze conclusie is dat de hospitalisatieverzekeraar medische gegevens enkel kan verwerken als hij de uitdrukkelijke toestemming heeft van de betrokkene.

Dat is wat DKV gedaan heeft. DKV vraagt terecht de toestemming aan de verzekerde om medische gegevens te verwerken. DKV heeft ons inziens geen andere keuze.

Geen toestemming, niet verzekerd?

DKV heeft in zijn brief en het toestemmingsformulier vermeld dat zonder toestemming:

de behoorlijke uitvoering van het verzekeringscontract verhinderd kan worden

DKV de medische kosten van de verzekerde niet zou kunnen vergoeden

Als waarschuwing kan dat tellen.

Maar dat zonder toestemming de verzekerde niet langer verzekerd zou zijn, zoals op Twitter gesuggereerd werd, blijkt nergens uit!

Behoudens bijzondere contractuele clausules, blijft de verzekerde verzekerd. Maar pas als hij zijn toestemming geeft om medische gegevens te verwerken kan het verzekeringscontract uitgevoerd worden. Vanuit praktisch oogpunt is het normaal dat DKV op voorhand de toestemming vraagt om medische gegevens te verwerken. Als de verzekerde zijn toestemming nog niet gegeven heeft, zal hij dat ten laatste moeten doen op het moment van zijn aanvraag tot terugbetaling van medische kosten. Dat kan tot praktische problemen leiden.

Vrije toestemming?

De GDPR bepaalt dat de toestemming van een persoon pas geldig is als hij die vrij en geïnformeerd geeft.

Toestemming is niet vrij als de persoon geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.

Wordt de vrije toestemming onmogelijk gemaakt doordat DKV wijst op de gevolgen die er zijn als de verzekerde zijn toestemming niet geeft?

Dat is wellicht voor discussie vatbaar.

Dat DKV vermeldt wat de gevolgen zijn van het niet geven van toestemming, belet volgens ons niet dat de verzekerde vrij zijn toestemming kan geven. De vermelde gevolgen lijken immers correct. Zonder de toestemming is geen verwerking van medische gegevens mogelijk. Zonder verwerking van medische gegevens (bv. ziektekosten), kan DKV logischerwijze de verzekerden niet vergoeden.

Besluit

Ook al is de verwerking van medische gegevens noodzakelijk om een verzekeringscontract uit te voeren, een hospitalisatieverzekeraar heeft volgens ons de toestemming van de verzekerde nodig om zijn medische gegevens te verwerken.

Tenzij contractueel anders bepaald is, blijft de verzekerde verzekerd onder de hospitalisatieverzekering ook al heeft hij die toestemming nog niet gegeven.

Maar zoals DKV terecht vermeldt, zal zij het verzekeringscontract pas behoorlijk kunnen uitvoeren (lees: overgaan tot het betalen van vergoedingen) als zij over die toestemming beschikt.

Karel Theuns