Ziekenfondsen beschikken vandaag over een groeiend arsenaal aan datatools waarmee ze het gedrag van zorgverleners analyseren en rapporteren. Controle, op zich niet verkeerd, lijkt steeds meer eenrichtingsverkeer. Maar de GDPR geeft artsen het recht op inzage in die volledige gegevensstroom. Het is aan de artsensyndicaten om dit recht collectief en professioneel op te nemen.

Laat ons eerlijk zijn: juridisch staan mutualiteiten sterk. Ze verwerken gegevens in het kader van de sociale zekerheid en gebruiken analyses voor controle en beleid. Mag dat? Ja. Kan dat? Ja. Maar de datarelatie tussen artsen en ziekenfondsen is fundamenteel uit balans.

E-facturatie, algoritmes, dashboards en interne scoresystemen maken van de arts een meetobject. De controle is scherp, de inkijk beperkt. Transparantie mag echter geen eenrichtingsverkeer zijn. Als ziekenfondsen toegang hebben tot onze gegevens, moeten zorgverleners ook kunnen zien hoe die worden gebruikt en geïnterpreteerd.

GDPR biedt tegengewicht
Artikel 15 geeft artsen recht op inzage in alle persoonsgegevens over henzelf als natuurlijke persoon: facturatiedata, relevante metadata en afgeleide profielen. Je kan daarbij ook de concrete ontvangers opvragen. Waar profiling of geautomatiseerde besluitvorming speelt, moet de gebruikte logica uitlegbaar zijn.

Daarnaast kan je vragen om een leesbare samenvatting van de DPIA (Data Protection Impact Assessment). Dat is geen formeel recht, maar wel goede praktijk. Inzage gebeurt steeds in balans met de rechten van anderen, zoals bedrijfsgeheimen of intellectuele eigendom.

De wet legt bovendien een termijn van één maand op voor antwoord. Vertraging of weigering kan leiden tot sancties: waarschuwingen, bevelen of administratieve boetes tot 20 miljoen euro of 4% van de omzet (artikel 83). De Belgische Gegevensbeschermingsautoriteit legde al boetes op aan zorginstellingen wegens laattijdige of onvolledige antwoorden.

Artikel 82 bevestigt dat zowel materiële als immateriële schade vergoedbaar is. Optreden namens groepen kan via twee sporen: met individuele volmachten (art. 80(1)) of via een niet-commerciële vzw/ngo die aantoonbaar en duurzaam in gegevensbescherming actief is. Artsensyndicaten kunnen dit dus met volmacht structureren: gestandaardiseerde inzageverzoeken, opvolging en analyse. Een externe partner kan ondersteunen, maar is niet vereist.

De inzet is groot. Mutualiteiten gebruiken steeds verdergaande analysetools om zorgverleners te profileren. Dan moet het veld kunnen controleren of dit proportioneel gebeurt. Zo niet dreigt willekeur.

Wat verwachten we?
Wat verwachten we concreet? Dat mutualiteiten kunnen tonen welke gegevens over mij worden verwerkt, aan wie (concrete ontvangers) ze werden verstrekt, op welke grond en hoelang ze worden bewaard; dat ze uitleg geven over de gebruikte logica waar profiling/ADM speelt; en dat ze een leesbare DPIA‑samenvatting delen als goede praktijk. Logging en toegangssporen (voor zover technisch beschikbaar) maken het beeld compleet. Antwoorden horen volledig en tijdig te zijn; doel is uitlegbaarheid, niet vingerwijzen.

Maar dat kost toch geld en tijd? Inderdaad. Een inzageverzoek vraagt gemiddeld twee uur werk – IT-extractie, juridische check, DPO-validatie – aan 50 euro per uur. Eén ronde per jaar voor 45.000 artsen kost ruwweg 4,5 miljoen euro. Een inzageverzoek per kwartaal kost jaarlijks 18 miljoen euro. Bij een maandelijks verzoek loopt de kostprijs op tot 54 miljoen euro per jaar. Het gaat niet om druk uitoefenen, maar om een economische prikkel om processen en documentatie op orde te krijgen.

Die kost is geen dreigement, maar een economische realiteit. Ze nodigt uit tot professionalisering: beter gedocumenteerde datamodellen, duidelijke bewaartermijnen, transparante verantwoordingslijnen. Wie processen op orde heeft, kan efficiënt antwoorden. Wie dat niet heeft, betaalt de prijs.

Collectieve actie
Voor een individuele arts is het onmogelijk om juridisch waterdichte verzoeken in te dienen, te volgen en klachten neer te leggen. Daarom is collectieve actie cruciaal. Een syndicale aanpak maakt het mogelijk om efficiënter, consistenter en zichtbaarder te werken.

Denk aan een modelvolmacht, intakeportaal, standaardformulieren, een opvolgingsdashboard en een escalatieprocedure met ingebrekestelling en een duidelijke klachtprocedure. Voeg daaraan kwartaalrapporten toe per ziekenfonds, met analyses en verbeterpunten, en je krijgt een systematische tegenmacht die professioneel en toetsbaar werkt.

Daarbij hoort ook een breder debat over transparantie in de zorgfinanciering. Als we openheid vragen over data, dan ook over geldstromen. Wat kosten beheersprocessen? Hoeveel middelen gaan naar datainfrastructuur en profiling? Hoe ziet de audittrail eruit? In een sector die op vertrouwen steunt, mag open boekhouding geen taboe zijn.

Wake-upcall
Een structurele toepassing van het GDPR-inzagerecht is geen overlast, maar een wake-upcall. Mutualiteiten die hun processen op orde hebben, kunnen vlot antwoorden. Wie dat niet kan, komt zichzelf tegen. Bovenal zorgt dit voor een gelijker speelveld, waarin zorgverleners niet langer passief worden beoordeeld, maar actief inzicht krijgen in de systemen die hun praktijk mee vormgeven.

Het is tijd dat artsen weten hoe zij zelf in het systeem verschijnen. En het is tijd dat syndicaten dat recht collectief verzilveren om het evenwicht te herstellen. De GDPR biedt het instrument. Nu nog de wil om het te gebruiken.