Zorgverzekeraars Menzis en VGZ voldeden niet aan privacywet
Zorgverzekeraars Menzis en VGZ waren onzorgvuldig bij de verwerking van medische gegevens en hebben zo de privacywetgeving overtreden, zo meldt de Autoriteit Persoonsgegevens vandaag. De toezichthouder legde beide verzekeraars een last onder dwangsom op om de overtredingen te stoppen.
Beide zorgverzekeraars hebben hun werkwijze inmiddels aangepast. Menzis voerde de vereiste maatregelen echter niet snel genoeg door, waardoor het 50.000 euro moest betalen. De Autoriteit Persoonsgegevens deed onderzoek naar het verzamelen en verwerken van medische persoonsgegevens door verzekeringsmaatschappijen. Zo wilde de toezichthouder onder andere kijken of de gegevens voor marketingdoeleinden werden gebruikt. Dat bleek niet het geval te zijn.
Bij Menzis hadden marketingmedewerkers wel toegang hadden tot medische gegevens, terwijl dit in het beleid van de zorgverzekeraar werd uitgesloten. De technische maatregelen van de zorgverzekeraar waren onvoldoende om te verzekeren dat medewerkers niet over meer gegevens konden beschikken dan noodzakelijk voor hun werk. Ook bij VGZ was dit het geval.
De Autoriteit Persoonsgegevens legde beide bedrijven een last onder dwangsom op. VGZ voldeed echter tijdig aan de gestelde eisen en hoefde de dwangsom niet te betalen. Menzis deed dit niet, waarop de dwangsom van 50.000 euro werd ingevorderd. De verzekeraar liet dit begin dit jaar al in het eigen financieel jaarverslag weten. De toegang tot medische gegevens bij Menzis is nu geregeld via machtigingsregels en ict-oplossingen.
Het AP moet dat geld niet zelf innen maar verplicht als korting of bonus aan de verzekerden laten uitbetalen.
Het AP moet dat geld niet zelf innen maar verplicht als korting of bonus aan de verzekerden laten uitbetalen.
Even kijken ... hoeveel verzekerden hadden ze ook alweer? 2.270.000 meen ik. U wenst 2 cent korting? Onzin natuurlijk om dat te doen. Het gaat hier om het corrigeren van het gedrag van deze partijen, mede door ze als fout te benoemen voor de maatschappij. Kunnen klanten daarmee rekening houden als ze de volgende ronde ingaan. En op privacyvlak is dat veelal wel nodig.
Het AP moet dat geld niet zelf innen maar verplicht als korting of bonus aan de verzekerden laten uitbetalen.
Nu wordt je 2 maal genaaid. Gegevens ongewild gebruikt en hogere rekening.
En wanneer ik als klant dan een gespecificeerde rekening opvraag krijg ik die niet, omdat Menzis die zogenaamd niet in het bezit heeft (via DigiD was die dus ook niet zichtbaar wat ze maar bleven beweren dat dat wel zo was, blij dat ik daar niet ingetrapt ben). Overigens heb ik Menzis eerst de definitie van 'gespecificeerd' moeten uitleggen. Ze denken daar dat enkel het benoemen van 'product' + prijs gespecificeerd is.
Uiteindelijk heb ik zelf bij de dienstverlener de factuur moeten opvragen. Fraude was, en vooral is, uiteraard nog nooit zo gemakkelijk.
Daarnaast is de site van Menzis sowieso slecht voor jouw privacy, delen o.a. jouw data met Google. Ook dat snappen ze niet wat daar mis mee is.
Alleen een boete van de toezichthouder voor overtreding van de privacy wetgeving en een boete voor onzorgvuldig handelen en daarmee inbreuk maken op het vertrouwen dat een verzekeringnemer en de zelfregulering van het stelsel als geheel moet kunnen hebben zijn vrees ik niet voldoende voor dergelijke partijen eer ze ECHT bereid zijn ervan te leren.
Lijkt mij bijkomend dat de interne accountants EN de ongetwijfeld prudente externe accountant hier al melding van bij bevoegde gezagen hebben gedaan???
Die horen immers nog meer dan elke burger de wet te kennen en hierop te melden richting klanten EN overheden.
Waar kunnen we dat teruglezen?
En wanneer ik als klant dan een gespecificeerde rekening opvraag krijg ik die niet, omdat Menzis die zogenaamd niet in het bezit heeft (via DigiD was die dus ook niet zichtbaar wat ze maar bleven beweren dat dat wel zo was, blij dat ik daar niet ingetrapt ben). Overigens heb ik Menzis eerst de definitie van 'gespecificeerd' moeten uitleggen. Ze denken daar dat enkel het benoemen van 'product' + prijs gespecificeerd is.
Uiteindelijk heb ik zelf bij de dienstverlener de factuur moeten opvragen. Fraude was, en vooral is, uiteraard nog nooit zo gemakkelijk.
Daarnaast is de site van Menzis sowieso slecht voor jouw privacy, delen o.a. jouw data met Google. Ook dat snappen ze niet wat daar mis mee is.
Van zoiets iets elementairs als "gespecifieerd" juist hanteren zou je denken dat de accountant van Menzis toch ook melding maakt. Aard en omvang van de geleverde dienst en/of te leveren / geleverde product(en) moeten er natuurlijk ook duidelijk uit naar voren komen.
Je zou zeggen dat met de ware aard van een specificatie zoals die uit jurispedentie blijkt dat de specificatie het voor ontvanger allemaal vrij cryptisch kan zijn.
Maar voor de kenner op gebied vlak juist weer TE specifiek is wil het uberhaupt primair online beschikbaar kunnen zijn.
Als iets gehackt kan worden, dan wordt het immers gehackt zo stellen vooraanstaande adviseurs op dit vlak op basis van de ervaringen uit de praktijk.
Verder is Drs. Ruben Wenselaar volgens het jaarverslag specifiek verantwoordelijk voor onder meer Audit en, Juridische Zaken.
En Drs. Frank Janssen als CFO / CRO naast de algemene verantwoordelijkheid als beleidsbepaler, specifiek verantwoordelijk voor onder andere Governance, Riskmanagement & Compliance (GRC).
.........Signalen vanuit onze omgeving kunnen aanleiding zijn tot het uitvoeren van een onderzoek naar een specifiek thema. Ieder jaar voeren we één of meerdere thematische onderzoeken uit.......
Zouden ze al uitpuilen van de extra risico en thematische onderzoeken??
Want volgens mijn redenatie vallen medische gegevens onder het beroepsgeheim en is toegang verlenen tot deze gegeven aan 3de dus een schending van het beroepsgeheim.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
