De verwerking van gezondheidsgegevens door verzekeraars is een complex onderwerp vanwege de GDPR-regelgeving, die deze verwerking verbiedt, behalve in bepaalde uitzonderlijke gevallen. Momenteel kan in België alleen de expliciete toestemming van de verzekerden deze verwerking toestaan, maar deze toestemming moet “vrij” zijn, wat problematisch kan zijn. De GBA is van mening dat de toestemming niet vrij is wanneer een weigering negatieve gevolgen heeft voor de verzekerde. Ze acht echter de verzekeraars niet verantwoordelijk voor deze situatie en roept op tot een gecoördineerde Europese oplossing.
De verwerking van gezondheidsgegevens door verzekeraars is een gevoelig onderwerp. Dergelijke gegevens behoren namelijk tot de bijzondere categorieën van gegevens in de zin van artikel 9 van de GDPR, waarvan de verwerking verboden is, tenzij men zich kan beroepen op een van de uitzonderingen voorzien in de tweede paragraaf van deze bepaling. Verscheidene van deze uitzonderingen (zie bijvoorbeeld die voor verwerkingen die “noodzakelijk [zijn] om redenen van groot openbaar belang”, art. 9.2, g) vereisen de tussenkomst van de nationale wetgever om de verwerking van gegevens te omkaderen. Bij gebrek aan een dergelijk wettelijk kader in België, kan op dit moment alleen de expliciete toestemming van de betrokkene toelaten aan de verzekeraar gezondheidsgegevens te verwerken.
Het probleem is dat de GDPR vereist dat deze toestemming “vrij” is. Logischerwijs zal de verzekeraar echter weigeren dekking te verlenen als hij geen toegang heeft tot de gezondheidsgegevens van de begunstigde om bijvoorbeeld te controleren of er geen fraude is gepleegd bij het afsluiten van het verzekeringscontract of bij de aangifte van een schadegeval.
In dit verband is de Franse gegevensbeschermingsautoriteit (CNIL) van mening dat, met betrekking tot artikel 7.4 van de GDPR, “toestemming als vrij kan worden beschouwd, op voorwaarde dat de verzameling van bijzondere categorieën van gegevens ‘noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is'”. Los van het feit dat dit geen oplossing biedt voor situaties waarin de betrokkene geen partij is bij de verzekeringscontract, moet ook worden benadrukt dat de Belgische gegevensbeschemringsautoritiet (GBA) van mening is dat het beroep op toestemming problematisch is. Zo oordeelt zij in het kader van het afsluiten van een schuldsaldoverzekering dat “gezien de negatieve gevolgen die verbonden zijn aan het niet afsluiten van de betreffende verzekering, […] de toestemming niet vrij is gegeven”. Hoewel men kan aannemen dat de specifieke kenmerken van de schuldsaldoverzekering – met name de voorwaardelijke verlaging van de kredietrente en het maatschappelijke belang van de verzekering, die partners en erfgenamen beschermt – hierbij een rol hebben gespeeld, benadrukt de GBA dat zodra de betrokkene aanzienlijke negatieve gevolgen kan ondervinden als hij geen toestemming geeft, deze toestemming niet als vrij kan worden beschouwd. Het niet kunnen afsluiten van een verzekering of het niet kunnen genieten van de garantie van de verzekeraar is per definitie altijd een “aanzienlijk negatief gevolg”.
De GBA benadrukt echter dat deze schending van de GDPR niet aan de verzekeraar te wijten is, aangezien er op dit gebied een wettelijk kader ontbreekt. Daarom ziet zij af van het bestraffen van de verzekeraar en schuift de verantwoordelijkheid door naar de wetgever, waarbij zij verwijst naar initiatieven in andere EU-lidstaten, zoals Nederland. Zij pleit in het bijzonder voor een gecoördineerde oplossing op Europees niveau.
Het is in deze context vermeldenswaardig dat de Luxemburgse wetgever zeer recent een wet heeft aangenomen die de verwerking van gezondheidsgegevens door verzekeraars regelt. Deze wet is gebaseerd op artikel 9.2, g) van de GDPR, dat de verwerking van gezondheidsgegevens toestaat om redenen van groot openbaar belang (in dit geval het feit dat “de verzekering de verzekerde de zekerheid biedt dat hij zal worden vergoed als het risico, dat zowel individueel als collectief ieder van ons bedreigt, zich op hem of zijn eigendommen realiseert”), op voorwaarde dat deze verwerking is toegestaan door het nationale recht en wordt omkaderd door passende maatregelen ter bescherming van de fundamentele rechten van de betrokken personen.