Autoriteit Persoonsgegevens legt sancties op aan zorgverzekeraars

06-11-2019

Weijland, Wieger

De Autoriteit Persoonsgegevens (AP) heeft in 2018 aan twee zorgverzekeraars (VGZ en Menzis) een last onder dwangsom opgelegd, zo blijkt uit een recent nieuwsbericht van de AP. In beide gevallen bleek dat de systemen van de zorgverzekeraars niet waren ingericht om ongeautoriseerde toegang te voorkomen. Voor een soortgelijke overtreding werd eerder het Haga Ziekenhuis beboet.

Onderzoek AP

Zorgverzekeraars verwerken medische gegevens om er (onder meer) voor te zorgen dat verleende zorg wordt vergoed. Aangezien medische gegevens zeer gevoelig zijn, brengt het verwerken van deze gegevens hoge risico’s met zich mee. Medische persoonsgegevens zijn dan ook bijzondere persoonsgegevens in de zin van de AVG (en voorganger Wbp) waarvoor strengere eisen gelden.

Door de hogere risico’s is het logisch dat partijen die deze gegevens verwerken onder het vergrootglas liggen van de AP. De AP deed mede op verzoek van Vrijbit onderzoek bij zorgverzekeraars. Belangrijkste punten waarnaar werd gekeken waren of de gegevens ook daadwerkelijk alleen werden gebruikt voor het doel waarvoor ze werden verzameld (doelbinding) en of degenen die toegang hadden tot de gegevens die ook daadwerkelijk nodig hadden bij hun werkzaamheden (autorisatie).

Uitkomst

Uit de besluiten blijkt dat binnen beide zorgverzekeraars medewerkers toegang hebben (of hebben gehad) tot medische gegevens terwijl dat voor de uitoefening van de taak van deze medewerkers niet noodzakelijk is. Beide zorgverzekeraars hielden bovendien geen log-bestanden bij waaruit valt af te leiden wie wanneer waar toegang toe heeft gehad. Ondanks het ontbreken van log-bestanden concludeert de AP voor beide zorgverzekeraars dat er geen aanwijzingen zijn gevonden dat de medische gegevens door onbevoegde medewerkers ook daadwerkelijk zijn geraadpleegd. Dit laat onverlet dat er onvoldoende technische maatregelen waren getroffen. Beide verzekeraars kregen daarom een last onder dwangsom, waarvan er een ook daadwerkelijk is verbeurd doordat er niet op tijd was voldaan aan de voorwaarden.

Procedure

De besluiten van de AP komen uit begin 2018, maar nu zijn pas gepubliceerd omdat er gerechtelijke procedures liepen over het onderzoek en de handhavingsbesluiten van de AP. Onlangs heeft de rechter uitspraak gedaan en de bezwaren tegen het onderzoek en de handhaving door de AP van de hand gewezen. Uit het nieuwsbericht van de AP blijkt wel dat door Vrijbit (verzoeker tot handhaving) hoger beroep is ingesteld.

Conclusie

Het voorgaande geeft maar weer aan dat, zeker wanneer er bijzondere of gevoelige persoonsgegevens worden verwerkt, strikte doelbinding en autorisatie nodig is. Het is belangrijk om als instelling of onderneming duidelijk te hebben waarvoor en door wie de persoonsgegevens mogen worden gebruikt en dit zowel op papier uit te werken alsmede in de techniek te implementeren. Ook zonder beveiligingsincidenten kan worden gehandhaafd op de kwaliteit van de beveiliging.


Meer artikelen van BANNING

Dit artikel is ook te vinden in het dossier AVG

Van onze partners

Examentraining CIPP / E Certified Information Privacy Professional Europe

→ Lees meer

Magazine: Eén jaar AVG

→ Lees meer

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
paula vrolijk

Paula Vrolijk-de Vries (programmamanager Privacyweb)
tel. 020 - 237 47 01
paula@berghauserpont.nl

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer