De Autoriteit Persoonsgegevens (AP) heeft aan twee zorgverzekeraars, VGZ en Menzis, in 2018 een last onder dwangsom opgelegd voor het niet voldoen aan de privacywet. Beide zorgverzekeraars waren onzorgvuldig bij de verwerking van medische gegevens. Zo was het autorisatiebeleid niet op orde, werd er niet goed gelogd en hadden marketingmedewerkers ten onrechte ook toegang tot gezondheidsgegevens van verzekerden. Om ervoor te zorgen dat de zorgverzekeraars hun systemen zo inrichten dat zij ongeautoriseerde toegang tot persoonsgegevens voorkomen, heeft de AP hen een last onder dwangsom opgelegd. Menzis heeft niet tijdig aan de gehele last voldaan. De AP heeft daarom begin 2019 een dwangsom van €50.000 geïnd. De zorgverzekeraars hebben hun werkwijze inmiddels aangepast.
De AP heeft onderzocht hoe zorgverzekeraars medische persoonsgegevens verzamelen en verwerken. De AP heeft hiervoor onderzoek gedaan bij de vier grootste zorgverzekeraars, die samen bijna 90% van de markt beslaan. Daarbij heeft de AP onder meer gekeken naar doelbinding (worden gezondheidsgegevens gebruikt voor marketingdoeleinden) en autorisatiebeleid (welke personen er toegang hebben tot medische gegevens). De AP constateerde dat bij geen van de zorgverzekeraars medische persoonsgegevens van verzekerden zijn gebruikt voor marketingdoeleinden. De AP deed onderzoek naar de werkwijze van zorgverzekeraars na een handhavingsverzoek van Vrijbit.
Bij Menzis, een van de zorgverzekeraars, heeft de AP vastgesteld dat marketingmedewerkers wel toegang hadden tot medische gegevens, terwijl dit volgens het beleid van de zorgverzekeraar niet mogelijk zou moeten zijn. Niet is vastgesteld dat deze medewerkers daadwerkelijk medische gegevens van verzekerden hebben gebruikt voor marketingacties. Omdat bij Menzis de technische maatregelen onvoldoende waren om te waarborgen dat medewerkers niet over meer gegevens kunnen beschikken dan noodzakelijk voor hun werk, heeft de AP een last onder dwangsom opgelegd. Aan deze last is niet tijdig volledig voldaan waardoor de AP een dwangsom heeft ingevorderd van €50.000.
Ook bij VGZ hadden medewerkers toegang tot medische gegevens, terwijl dit voor hun werkzaamheden niet noodzakelijk was. De AP heeft ook in dit geval geen aanwijzingen dat zij de gegevens daadwerkelijk hebben verwerkt voor marketingacties. Ook bij VGZ waren de technische maatregelen onvoldoende om te waarborgen dat medewerkers niet over meer gegevens kunnen beschikken dan noodzakelijk voor hun werk. De geconstateerde overtredingen zijn voor de AP een reden geweest om ook VGZ een last onder dwangsom op te leggen. VGZ heeft tijdig aan de last voldaan. De AP heeft daarom bij VGZ geen dwangsom ingevorderd.
Het onderzoek en de handhavingsbesluiten van de AP waren onderdeel van een gerechtelijke procedure. In deze procedure heeft de rechter onlangs uitspraak gedaan en bezwaren tegen het onderzoek van de AP en de handhavingsbesluiten ongegrond verklaard. Dat is de reden waarom de AP nu publiceert over de sancties. Tegen deze uitspraak is door Vrijbit hoger beroep ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State.
Dit nieuwsbericht is ook te vinden in het dossier AVG