NBA luidt noodklok over dreigende oncontroleerbaarheid financiële verantwoording zorgsector
De NBA heeft grote zorgen over een wetsvoorstel dat op dit moment in de Eerste Kamer behandeld wordt. De NBA vreest dat, als het wetsvoorstel in de huidige vorm wordt aangenomen, wettelijke controles door accountants in de zorgsector niet meer van een goedkeurende accountantsverklaring kunnen worden voorzien . Dat heeft grote gevolgen voor de controle op uitgaven van zorggeld en de financiering van zorginstellingen.
De NBA heeft haar zorgen over het wetsvoorstel (Verzamelwet gegevensbescherming) in de afgelopen periode onder de aandacht gebracht bij de verschillende betrokken ministeries maar dit heeft vooralsnog niet tot een oplossing geleid. Op dinsdag 25 november spreekt de Commissie Digitalisering van de Eerste Kamer over het vervolg van het wetstraject. De NBA roept de senatoren op om de wet niet af te doen als hamerstuk, maar deze inhoudelijk te behandelen en daarbij aandacht te hebben voor de door de NBA geuite zorg.
De rol van de accountantscontrole in de zorgsector strekt zich mede uit tot het vaststellen dat de zorgkosten juist zijn. Hoewel van geval tot geval verschillend, kan dit mede betreffen de vaststelling dat een verwijzing naar een specialist of een indicatiestelling voor opname in een instelling aanwezig is. Het kan daarnaast ook omvatten het vaststellen (uit een rapportage of terugkoppelingsbericht) dat de betreffende zorg daadwerkelijk geleverd is door de zorgverlener. Deze rechtmatigheidscontrole staat onder meer voorgeschreven in controleprotocollen van de SVB en NZA, die accountants in de zorg moeten toepassen.
Probleem
De zorg van de NBA betreft artikel 23a, lid 2 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG), die door de Verzamelwet gegevensbescherming gewijzigd wordt. Dit wetsartikel verplicht zorginstellingen persoonsgegevens te pseudonimiseren voordat accountants toegang krijgen. Hoewel de NBA begrip heeft voor de achterliggende gedachte van privacybescherming, leidt dit ertoe dat accountants niet langer de originele gegevens kunnen inzien die essentieel zijn voor het uitvoeren van hun wettelijke controletaken.
Liane Vlaskamp, algemeen directeur NBA: “Er geldt dan een hard en expliciet verbod op het verwerken van niet-gepseudonimiseerde bijzondere persoonsgegevens. Deze zijn voor de accountant echter essentieel om de controle van verantwoordingen in de zorg te kunnen uitvoeren”.
De NBA heeft in het verleden randvoorwaarden genoemd waaronder pseudonimisering een oplossing zou kunnen zijn, maar aan die randvoorwaarden is in het huidige wetsvoorstel niet voldaan.
Maatschappelijke gevolgen
Als gevolg hiervan kunnen accountants financiële verantwoordingen van zorginstellingen niet goedkeuren. Zorginstellingen ontvangen daardoor verklaringen met beperkingen of oordeelsonthoudingen, wat ernstige gevolgen kan hebben voor hun relatie met toezichthouders en financiers.
Frederike van Eekeren-Huson, voorzitter van de NBA-commissie Coziek: “Dit zal uiteindelijk leiden tot minder zekerheid bij de controle op zorguitgaven en daarmee tot minder grip op zorgkosten. Daarmee kan dit wetsvoorstel, wellicht onbedoeld, grote maatschappelijk gevolgen hebben”.
Oplossingsrichting
De NBA is zich ervan bewust dat de Eerste Kamer een wetsvoorstel niet kan wijzigen en dat het een brede verzamelwet omvat, die zit op een verscheidenheid aan onderwerpen die ook maatschappelijk relevant zijn.
Op korte termijn zou er daarom, mocht de wet worden aangenomen, gedacht kunnen worden aan het niet in werking laten treden van het betreffende lid. Dit als tijdelijke oplossing om de accountantscontrole werkbaar te houden.
Op langere termijn stelt de NBA twee mogelijke oplossingen voor:
- Het schrappen van het tweede lid van artikel 23a UAVG, óf
- De uitzondering voor accountants aan te passen, waardoor zij toegang behouden tot niet-gepseudonimiseerde gegevens in de administratie van zorginstellingen, voor zover dat noodzakelijk is voor de uitvoering van hun opdracht.
Vertrouwelijkheid accountant
Vertrouwelijkheid is een van de vijf fundamentele beginselen van het accountantsberoep en is verankerd in de beroepsreglementering voor accountants en in de beroepseed die elke accountant heeft afgelegd. Dit geldt vanzelfsprekend ook voor de controle door de accountant van zorginstellingen.
Het wetsvoorstel zoals dat nu in de Eerste Kamer ligt, verbiedt verwerking van niet-gepseudonimiseerde gegevens door de accountant. Het opvragen van gegevens door de accountant uit een patiëntendossier om de genoemde controles te kunnen uitvoeren, valt onder het AVG-begrip verwerken. Dit betekent dat op grond van het wetsvoorstel pseudonimisering vereist is. Die pseudonimisering betekent echter bij de documenten gebruikt voor kleinschalige verwerking dat er sprake is van het muteren van de originele informatie, waardoor deze niet meer te gebruiken valt als controle-informatie.
Geen goedkeurende verklaring
Gezien de omvang van de geldstromen in de zorg en het maatschappelijk belang dat daarmee gepaard gaat, kan bovenstaande naar de mening van de NBA dus verstrekkende consequenties hebben. Als accountants geen toegang hebben tot de originele informatie zullen zij, afhankelijk van de specifieke omstandigheden, geen goedkeurende verklaring kunnen afgeven bij jaarrekeningen van instellingen in de zorg. De opgelegde beperking kan ertoe leiden dat accountants in voorkomende gevallen alleen een oordeelsonthouding bij de jaarrekening kunnen afgeven. Dit is onwenselijk, omdat hierdoor onvoldoende zicht bestaat op de juistheid van bestedingen in de zorgsector. De NBA wil dit vanzelfsprekend graag voorkomen, maar dat kan alleen met een passend wettelijk kader.
Toelichting
Bovengenoemde rechtmatigheidscontroles moeten worden uitgevoerd door een combinatie van werkzaamheden. Dit omvat data-analytische werkzaamheden en detailwerkzaamheden. De data-analytische werkzaamheden (grootschalige verwerking) ondervinden geen probleem van eventuele pseudonimisering. Bij de detailwerkzaamheden (kleinschalige verwerking) echter vormt de pseudonimisering wel een probleem. Deze werkzaamheden hebben een dubbel doel: enerzijds moet de accountant te allen tijde de betrouwbaarheid van het bestand voor de data-analytische werkzaamheden vaststellen. Anderzijds moet de accountant ook (zoals vereist in de protocollen) bijvoorbeeld vaststellen dat de zorg feitelijk is geleverd en past binnen de goedgekeurde indicatie/verwijzing.
Een accountant moet daarbij de beschikking / inzage hebben in originele vastleggingen. Als een accountant daartoe geen toegang heeft, en slechts zwartgelakte of anderszins gemuteerde vastleggingen krijgt, kan de accountant niet de betrouwbaarheid vaststellen en is geen voldoende en geschikte controle-informatie verkregen. Dit zal de accountant meewegen in het oordeel, hetgeen ertoe zal leiden dat de accountant zich van een oordeel zal moeten onthouden (het niet kunnen verkrijgen van voldoende en geschikte controle-informatie heeft immers betrekking op een substantieel deel van de verantwoording).