Die Krankenversicherer sind dem Datenschutzgesetz unterstellt und müssen viele datenschutzrechtliche Bestimmungen befolgen, da sie mit besonders schützenwerten Daten der Versicherten arbeiten. Die Groupe Mutuel liegt besonderen Wert auf den Schutz der Daten ihrer Versicherten, insbesondere medizinische Daten, die für die gesetzlich vorgegebene Rechnungskontrolle erforderlich sind. Die Groupe Mutuel hat einen Datenschutzbeauftragten ernannt und verfügt über ein internes Reglement zum Schutz der Personendaten. Wir haben im Herbst 2013 das Gütesiegel „good priv@cy“ bekommen und unsere Datenannahmestelle hat gemäss den neuen Anforderungen der neuen Spitalfinanzierung die Datenschutzzertifizierung erhalten.
Ausgangslage
Die privatrechtlich organisierten Krankenversicherer erfüllen in der sozialen Krankenversicherung eine öffentliche Aufgabe. Sie sind dem Datenschutzgesetz unterstellt und müssen viele datenschutzrechtliche Bestimmungen befolgen, da sie mit besonders schützenswerten Daten der Versicherten arbeiten. Zu schützende Daten sind aus Sicht des Datenschutzes unter anderem Name, Anschrift, Geburtsdatum, administrative oder strafrechtliche Verfolgungen und Sanktionen oder Angaben zur Gesundheit einer Person. Der Datenschutz verfolgt den Grundsatz, dass keine persönlichen Daten verwendet werden ohne Gesetzesgrundlage oder die Zustimmung der betroffenen Person.
Zum Schutz der Versicherten hat der Gesetzgeber in diversen Gesetzen Bestimmungen festgelegt:
- Bundesgesetz über den Datenschutz (DSG)
- Bundesgesetz über den allgemeinen Teil des Sozialversicherungsrechts (ATSG)
- Bundesgesetz über die Krankenversicherung (KVG)
- Schweizerisches Strafgesetzbuch (StGB)
- Verordnung über die Krankenversicherung (KVV)
- Verordnung des EDI über die Datensätze für die Datenweitergabe zwischen Leistungserbringern und Versicherern
- Verordnung über die Datenschutzzertifizierungen (VDSZ)
Datenschutz versus Kostenkontrolle
Im Alltag erweisen sich die klaren rechtlichen Vorgaben als Spannungsfelder zwischen den Mitarbeitenden der Versicherer und den Versicherten. So stossen die Sachbearbeiter oftmals bei den Versicherten auf Unverständnis, wenn sie sich weigern Informationen zu einem Familienmitglied herauszugeben. Der Versicherte mag dies als bürokratische Schikane taxieren, dabei führt der Sachbearbeiter die Weisungen der Datenschutzrichtlinien aus. In diesem Spannungsverhältnis riskiert der Mitarbeiter des Versicherers den Versicherten nicht zufriedenstellend bedienen zu können, tut aber gut daran dies so zu tun, weil er gesetzlich an strenge Vorgaben gebunden ist. Der Persönlichkeitsschutz ist ein hohes Gut, weshalb der Gesetzgeber strikte Bestimmungen erlassen hat, um dieses zu schützen.
Ein weiteres Spannungsfeld für die Versicherer ergibt sich in der Pflicht der Kontrolle der Leistungsabrechnung der Leistungserbringer (Art. 56 KVG Wirtschaftlichkeit der Leistungen). Es kommt allemal vor, dass sich Leistungserbringer weigern Spital- oder Arztberichte zu Handen der Vertrauensärzte der Krankenversicherer zu erstellen, dies mit dem Argument der Datenschutz verbiete ihnen die Weitergabe der Daten. Das ist ein klassischer Interessenskonflikt zwischen gesetzlichen Normen, zu welchem die Gerichte in verschiedenen Gerichtsurteilen klar Stellung genommen haben (Bundesgericht und Bundesverwaltungsgericht). Die Krankenversicherer sind gesetzlich verpflichtet, die Leistungsabrechnungen zu überprüfen, weshalb ihren Vertrauensärzten jeweils Einsicht in die Behandlungsdaten zu gewähren ist.
Mit der neuen Spitalfinanzierung und dem neu geltenden Tarifsystem Swiss-DRG sind den Krankenversicherern in Bezug auf den Datenschutz neue Auflagen gemacht worden. Jeder stationäre Spitalaufenthalt wird neu mittels Pauschalen abgegolten. Diese richten sich nach Haupt- und Nebendiagnosen und werden einer sogenannten Fallgruppe zugeordnet. Um den gesetzlichen Auftrag der Kostenkontrolle und die Wirtschaftlichkeit zu überprüfen, haben die Krankenversicherer die Leistungserbringer aufgefordert, alle Diagnosen und die Nebendiagnosen auf den Rechnungen auszuweisen. Der Bundesrat hat in der Folge auf Verordnungsweg (Art. 59a KVV) entschieden, dass die Krankenversicherer zertifizierte Datenannahmestellen einzurichten haben, welche die gleichen Standards erfüllen müssen wie die Vertrauensärzte der Versicherungen. Danach sind die Krankenversicherer verpflichtet, Spitalrechnungen zu Lasten der obligatorischen Grundversicherung datenschutzkonform über eine dafür zertifizierte Datenannahmestelle abzuwickeln. Die Leistungserbringer schicken die Datensätze mit den administrativen und medizinischen Angaben gleichzeitig mit der Rechnung an die Datenannahmestelle des Versicherers. Es muss sichergestellt werden, dass ausschliesslich diese Datenannahmestelle Zugang zu den medizinischen Angaben erhält.
Position der Groupe Mutuel
Der Datenschutz wird bei der Groupe Mutuel gross geschrieben. Datenschutz ist Sache aller Mitarbeitenden mit dem Ziel, die Persönlichkeit der versicherten Person und deren Grundrechte entsprechend den gesetzlichen Bestimmungen zu schützen.
Schutz der Versicherten
Die Groupe Mutuel legt besonderen Wert auf den Schutz der Daten ihrer Versicherten, insbesondere medizinische Daten, die für die gesetzlich vorgegebene Rechnungskontrolle erforderlich sind. Die Mitarbeitenden erhalten die für ihre Arbeit notwendige Ausbildung. Sie werden sowohl auf die Grundsätze des Datenschutzes sowie auf die Schweigepflicht und das Berufsgeheimnis, wie auf die strafrechtlichen Konsequenzen im Falle von Verletzungen hingewiesen. Jeder Mitarbeiter hat nur Zugriff auf jene Daten die zur Erfüllung seiner beruflichen Tätigkeit erforderlich sind. Dabei verfolgt die Groupe Mutuel das Prinzip der Verhältnismässigkeit: Die Bearbeitung muss angemessen sein, d. h. in einem vernünftigen Verhältnis zum Zweck stehen und sich auf das zur Zielerreichung notwendige Mass beschränken.
Ernennung eines Datenschutzbeauftragten
Die Groupe Mutuel hat eine Person ernannt, welche die Funktion des Datenschutzbeauftragten wahrnimmt. Der Datenschutzbeauftragte prüft alle Verträge und Projekte, die eine Bearbeitung von besonders schützenswerten Personendaten beinhaltet. Er stellt sicher, dass die Datensammlungen inventarisiert werden und Bearbeitungsreglemente über die Datensammlungen bestehen. Er informiert die Organe regelmässig über den Stand der Arbeiten, macht Vorschläge zu neuen Massnahmen und koordiniert die dafür notwendigen Mittel. Schliesslich ist er auch Ansprechperson gegenüber dem Eidg. Datenschutzbeauftragten.
Internes Reglement zum Schutz der Personendaten
Seit dem 1. Januar 2008 verfügt die Groupe Mutuel über ein Reglement zum Schutz der Personendaten, welches im September 2013 an die neuen Vorgaben des neu geltenden Tarifsystems Swiss-DRG angepasst worden ist. Zweck des Reglementes ist, transparent über die Datenbearbeitung zu informieren, die im Rahmen der administrativen Verwaltung von der Groupe Mutuel, Association d'assureurs, für ihre Mitgliedsversicherer durchgeführt wird. Sämtliche
Informatiksystem
Die Groupe Mutuel entwickelt und schützt den Zugang ihrer Informatiksysteme so, dass sie ihre Dienstleistungen an ihre Versicherten unter angemessener Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit erbringen kann (Informatiksicherheit).
Vertrauensärztinnen und Vertrauensärzte
Die Vertrauensärztinnen und Vertrauensärzte beraten die Versicherer in medizinischen Fachfragen sowie in Fragen der Vergütung und der Tarifanwendung. Sie überprüfen insbesondere die Voraussetzungen der Leistungspflicht des Versicherers. Die Leistungserbringer müssen ihnen zur Erfüllung ihrer Aufgaben die notwendigen medizinischen Angaben liefern. Sie sind dem Berufsgeheimnis (StGB) unterstellt.
Datenschutzzertifizierung VDSZ für die Datenannahmestelle der Groupe Mutuel
Aufgrund der Einführung der neuen Spitalfinanzierung und des Beschlusses des Bundesrates eine zertifizierte Datenannahmestelle zu schaffen, wurden sämtliche elektronische Datenaustauschprozesse des Unternehmens nach den Vorgaben der Verordnung über die Datenschutzzertifizierungen (VDSZ) von der Schweizerischen Vereinigung für Qualitäts- und Management-Systeme (SQS) zertifiziert. Demnach können alle Rechnungen für stationäre Spitalbehandlungen unter Einhaltung der am 1. Januar 2014 in Kraft getretenen Verordnung des Bundes elektronisch übermittelt werden.
Gütesiegel "GoodPriv@cy" erhalten
Die Groupe Mutuel geht mit den Daten ihrer Versicherten sorgfältig und verantwortungsvoll um, insbesondere mit den für die Rechnungskontrolle notwendigen medizinischen Daten. Zeitgleich mit der VDSZ-Zertifizierung hat das Unternehmen im Herbst 2013 das Gütesiegel «GoodPriv@cy®» erhalten, das in regelmässigen Abständen bestätigt werden wird. «GoodPriv@cy®» entspricht der Verordnung über die Datenschutzzertifizierung VDSZ und den Richtlinien des Eidg. Datenschutzbeauftragten über die Mindestanforderungen an Datenschutzmanagementsysteme.
Kostenkontrolle im Interesse der Versicherten
Die Krankenversicherer sind in der gesetzlichen Pflicht die Rechnungen der Leistungserbringer zu kontrollieren, was letztlich den Versicherten zu gute kommt. Um Behandlungen auf ihre Wirtschaftlichkeit zu überprüfen, können die Krankenversicherer über ihre Vertrauensärzte Einsicht in die medizinischen Akten der Versicherten verlangen. Dies geschieht stets unter Einhaltung des Personenschutzes
Schlussfolgerungen
Im Spannungsfeld zwischen Datenschutz und Kostenkontrolle stehen die Rechte und der Schutz der Versicherten zuoberst. Die Groupe Mutuel legt besonderen Wert auf den Schutz der Daten ihrer Versicherten und ist sich der grossen Verantwortung ihnen gegenüber bewusst.
Bei der Bearbeitung von medizinischen Daten hat Datenschutz besonders hohe Priorität. Deshalb hält sich die Groupe Mutuel an strenge Richtlinien für die Weitergabe von Versichertendaten an Dritte, selbst wenn es sich um Familienangehörige handelt. Die Einhaltung dieser gesetzlichen Vorschriften ist im Interesse der Versicherten.
Als Krankenversicherer trägt die Groupe Mutuel auch Verantwortung in Bezug auf die Kontrolle der Leistungsabrechnung, was letztlich den Versicherten zu gute kommt.
Teilen
