VGZ gebouw

Zorgverzekeraars VGZ en Menzis overtreden privacywet

Laatst bijgewerkt: 19 augustus 2020
Leestijd: 2 minuten, 0 seconde

De Autoriteit Persoonsgegevens (AP) heeft bekend gemaakt dat zorgverzekeraars VGZ en Menzis beide de privacywet hebben overtreden. De toezichthouder heeft de verzekeraars in 2018 een dwangsom opgelegd. Menzis voerde de veranderingen niet op tijd door en moest daarom begin dit jaar 50.000 euro betalen aan de AP. Inmiddels zouden alle aanpassingen zijn gemaakt en voldoen de verzekeraars weer aan de regels.

Marketingpersoneel kon bij medische gegevens

Voor zijn onderzoek keek de AP hoe zorgverzekeraars medische persoonsgegevens verzamelden en verwerkten. De toezichthouder beperkte zijn onderzoek tot de vier grootste zorgverzekeraars. Gezamenlijk hebben ze 90 procent van de markt in handen. Medewerkers van de AP keken naar doelbinding (worden gezondheidsgegevens gebruikt voor marketingdoeleinden) en autorisatiebeleid (welke personen hebben er toegang tot medische gegevens).

Volgens de AP waren VGS en Menzis onzorgvuldig bij het verwerken van medische gegevens. Het autorisatiebeleid was niet op orde, werd er niet goed gelogd en hadden marketingmedewerkers ten onrechte toegang tot de gezondheidsgegevens van verzekerden. Er is niet vastgesteld dat deze gegevens ook daadwerkelijk voor marketingdoeleinden zijn gebruikt.

Zowel VGZ als Menzis kreeg in 2018 een dwangsom opgelegd van de toezichthouder, zeg maar een voorwaardelijke boete. Zij krijgen dan de tijd van de AP om hun procedures bij te werken en aanpassingen te maken. In dit geval ging het om technische maatregelen om ervoor te zorgen dat medewerkers niet over meer gegevens kunnen beschikken dan noodzakelijk is voor hun werk. VGZ voerde de veranderingen op tijd door, waardoor het een boete is ontlopen.

Menzis daarentegen had begin dit jaar nog niet alles op orde waardoor de AP de boete heeft geïnd. “Omdat bij Menzis de technische maatregelen onvoldoende waren om te waarborgen dat medewerkers niet over meer gegevens kunnen beschikken dan noodzakelijk voor hun werk, heeft de AP een last onder dwangsom opgelegd. Aan deze last is niet tijdig volledig voldaan waardoor de AP een dwangsom heeft ingevorderd van 50.000 euro”, aldus de privacywaakhond.

In strijd met de AVG

Sinds de AVG in 2018 van kracht is gegaan zijn er strengere regels omtrent het beveiligen van persoonsgegevens. Bedrijven moeten er voor zorgen dat niet zomaar iedereen in een bedrijf toegang heeft tot de persoonsgegevens van klanten. Wanneer een bedrijf dit niet op orde heeft kunnen ze hiervoor bestraft worden.

Wanneer marketingmedewerkers toegang hebben tot medische informatie is het niet vreemd dat de angst ontstaat dat deze informatie wordt toegepast om gericht te adverteren. Dergelijke methodes worden gezien als een wrede inbreuk op je privacy.

Tech-journaliste
Tove is reeds sinds 2017 als cybersecurity-redacteur betrokken bij VPNgids. Sinds 2019 is zij tevens coördinator voor het cybersecurity-nieuws dat op de website verschijnt.

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen