De Autoriteit Persoonsgegevens (AP) heeft aan zorgverzekeraars, VGZ en Menzis, in 2018 een last onder dwangsom opgelegd. Dit is gebeurd vanwege ongeoorloofd gebruik van medische gegevens van verzekerden door mensen die daartoe geen toegang mochten hebben.
Dat blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP). De Autoriteit onderzocht hoe zorgverzekeraars medische gegevens verzamelen en verwerken. Het onderzoek vond plaats bij bij de vier grootste zorgverzekeraars, die samen bijna 90% van de markt beslaan.
Zowel VGZ als Menzis waren onzorgvuldig bij de verwerking van medische gegevens. Zo was het autorisatiebeleid niet op orde, werd er niet goed gelogd en hadden marketingmedewerkers ten onrechte ook toegang tot gezondheidsgegevens van verzekerden.
Daarom legde de AP een last onder dwangsom op. Omdat Menzis die niet op tijd betaalde inde het AP bij verzekeraar begin 2019 een dwangsom van €50.000. Inmiddels hebben beide zorgverzekeraars hun werkwijze aangepast.
Aanleiding
De AP heeft onderzocht hoe zorgverzekeraars medische persoonsgegevens verzamelen en verwerken. AP deed hiervoor bij de vier grootste zorgverzekeraars onderzoek. Samen bestrijken ze bijna 90% van de markt. e Autoriteit keek onder meer of gezondheidsgegevens worden gebruikt voor marketingdoeleinden. Verder bekeek de Autoriteit ook welke personen toegang hebben tot medische gegevens.
Bij Menzis, een van de zorgverzekeraars, bleek dat marketingmedewerkers toegang hadden tot medische gegevens, terwijl dit volgens het eigen beleid van de zorgverzekeraar niet mogelijk moest zijn. Er is niet gebleken dat deze medewerkers die gegevens ook daadwerkelijk gebruikte bij het opzetten en uitvoeren van acties.
Omdat bij Menzis de technische maatregelen onvoldoende waren om te waarborgen dat medewerkers niet over meer gegevens kunnen beschikken dan noodzakelijk, legde het AP een last onder dwangsom op. VGZ voldeed het bedrag niet op tijd, en dus is de dwangsom ingevorderd. Het gaat om een bedrag van €50.000.
Geen dwangsom VGZ
Ook bij VGZ hadden medewerkers toegang tot medische gegevens, terwijl dit voor hun werkzaamheden niet noodzakelijk was. De AP heeft ook hier geen aanwijzingen dat zij de gegevens daadwerkelijk hebben verwerkt voor marketingacties. Ook bij VGZ waren de technische maatregelen onvoldoende om te waarborgen dat medewerkers niet over meer gegevens kunnen beschikken dan noodzakelijk voor hun werk.
En dus kreeg ook VGZ een last onder dwangsom. VGZ betaa;de wel tijdig en dus is er ook geen dwangsom ingevorderd.
Extra budget
De acties van het AP zijn onder andere mogelijk door een extra budget dat sinds vorig jaar bijna is verdubbeld.
In 2018 ging het budget al meteen met vijf miljoen euro omhoog. Dit jaar kwam daar nog eens twee miljoen bij. Naast BZK gaven ook staatssecretaris Knops van BZK, staatssecretaris Keijzer van Economische Zaken en Klimaat (EZK), minister Grapperhaus van Justitie en Veiligheid (JenV) en minister Dekker voor Rechtsbescherming gaven hun akkoord aan het plan.
