Nieuws

Zorgverzekeraars Menzis en VGZ voldeden niet aan privacywet

maandag 4 november 2019, 11:32 door Redactie, 7 reacties

Zorgverzekeraars Menzis en VGZ waren onzorgvuldig bij de verwerking van medische gegevens en hebben zo de privacywetgeving overtreden, zo meldt de Autoriteit Persoonsgegevens vandaag. De toezichthouder legde beide verzekeraars een last onder dwangsom op om de overtredingen te stoppen.

Beide zorgverzekeraars hebben hun werkwijze inmiddels aangepast. Menzis voerde de vereiste maatregelen echter niet snel genoeg door, waardoor het 50.000 euro moest betalen. De Autoriteit Persoonsgegevens deed onderzoek naar het verzamelen en verwerken van medische persoonsgegevens door verzekeringsmaatschappijen. Zo wilde de toezichthouder onder andere kijken of de gegevens voor marketingdoeleinden werden gebruikt. Dat bleek niet het geval te zijn.

Bij Menzis hadden marketingmedewerkers wel toegang hadden tot medische gegevens, terwijl dit in het beleid van de zorgverzekeraar werd uitgesloten. De technische maatregelen van de zorgverzekeraar waren onvoldoende om te verzekeren dat medewerkers niet over meer gegevens konden beschikken dan noodzakelijk voor hun werk. Ook bij VGZ was dit het geval.

De Autoriteit Persoonsgegevens legde beide bedrijven een last onder dwangsom op. VGZ voldeed echter tijdig aan de gestelde eisen en hoefde de dwangsom niet te betalen. Menzis deed dit niet, waarop de dwangsom van 50.000 euro werd ingevorderd. De verzekeraar liet dit begin dit jaar al in het eigen financieel jaarverslag weten. De toegang tot medische gegevens bij Menzis is nu geregeld via machtigingsregels en ict-oplossingen.

SIDN luidt noodklok over risico van onveilige IoT-apparaten

Europol: gebruiker speelt essentiële rol in voorkomen van phishing

Reacties (7)

04-11-2019, 15:16 door Anoniem

Leuk die dwangsom, maar wat zie ik daar als menzis klant van terug.... ohh wacht: een hogere rekening

Het AP moet dat geld niet zelf innen maar verplicht als korting of bonus aan de verzekerden laten uitbetalen.

04-11-2019, 15:54 door Anoniem

Door Anoniem: Leuk die dwangsom, maar wat zie ik daar als menzis klant van terug.... ohh wacht: een hogere rekening

Het AP moet dat geld niet zelf innen maar verplicht als korting of bonus aan de verzekerden laten uitbetalen.

Even kijken ... hoeveel verzekerden hadden ze ook alweer? 2.270.000 meen ik. U wenst 2 cent korting? Onzin natuurlijk om dat te doen. Het gaat hier om het corrigeren van het gedrag van deze partijen, mede door ze als fout te benoemen voor de maatschappij. Kunnen klanten daarmee rekening houden als ze de volgende ronde ingaan. En op privacyvlak is dat veelal wel nodig.

04-11-2019, 16:08 door Anoniem

Laat de boete inderdaad ten goede van de klanten komen.
Nu wordt je 2 maal genaaid. Gegevens ongewild gebruikt en hogere rekening.

04-11-2019, 20:31 door Anoniem

"Bij Menzis hadden marketingmedewerkers wel toegang hadden tot medische gegevens, terwijl dit in het beleid van de zorgverzekeraar werd uitgesloten."
En wanneer ik als klant dan een gespecificeerde rekening opvraag krijg ik die niet, omdat Menzis die zogenaamd niet in het bezit heeft (via DigiD was die dus ook niet zichtbaar wat ze maar bleven beweren dat dat wel zo was, blij dat ik daar niet ingetrapt ben). Overigens heb ik Menzis eerst de definitie van 'gespecificeerd' moeten uitleggen. Ze denken daar dat enkel het benoemen van 'product' + prijs gespecificeerd is.

Uiteindelijk heb ik zelf bij de dienstverlener de factuur moeten opvragen. Fraude was, en vooral is, uiteraard nog nooit zo gemakkelijk.
Daarnaast is de site van Menzis sowieso slecht voor jouw privacy, delen o.a. jouw data met Google. Ook dat snappen ze niet wat daar mis mee is.

05-11-2019, 15:16 door Anoniem

De vergrijpen in deze zijn meervoudig.

Alleen een boete van de toezichthouder voor overtreding van de privacy wetgeving en een boete voor onzorgvuldig handelen en daarmee inbreuk maken op het vertrouwen dat een verzekeringnemer en de zelfregulering van het stelsel als geheel moet kunnen hebben zijn vrees ik niet voldoende voor dergelijke partijen eer ze ECHT bereid zijn ervan te leren.

Lijkt mij bijkomend dat de interne accountants EN de ongetwijfeld prudente externe accountant hier al melding van bij bevoegde gezagen hebben gedaan???
Die horen immers nog meer dan elke burger de wet te kennen en hierop te melden richting klanten EN overheden.
Waar kunnen we dat teruglezen?

05-11-2019, 15:48 door Anoniem

Door Anoniem: "Bij Menzis hadden marketingmedewerkers wel toegang hadden tot medische gegevens, terwijl dit in het beleid van de zorgverzekeraar werd uitgesloten."
En wanneer ik als klant dan een gespecificeerde rekening opvraag krijg ik die niet, omdat Menzis die zogenaamd niet in het bezit heeft (via DigiD was die dus ook niet zichtbaar wat ze maar bleven beweren dat dat wel zo was, blij dat ik daar niet ingetrapt ben). Overigens heb ik Menzis eerst de definitie van 'gespecificeerd' moeten uitleggen. Ze denken daar dat enkel het benoemen van 'product' + prijs gespecificeerd is.

Uiteindelijk heb ik zelf bij de dienstverlener de factuur moeten opvragen. Fraude was, en vooral is, uiteraard nog nooit zo gemakkelijk.
Daarnaast is de site van Menzis sowieso slecht voor jouw privacy, delen o.a. jouw data met Google. Ook dat snappen ze niet wat daar mis mee is.

Van zoiets iets elementairs als "gespecifieerd" juist hanteren zou je denken dat de accountant van Menzis toch ook melding maakt. Aard en omvang van de geleverde dienst en/of te leveren / geleverde product(en) moeten er natuurlijk ook duidelijk uit naar voren komen.

Je zou zeggen dat met de ware aard van een specificatie zoals die uit jurispedentie blijkt dat de specificatie het voor ontvanger allemaal vrij cryptisch kan zijn.
Maar voor de kenner op gebied vlak juist weer TE specifiek is wil het uberhaupt primair online beschikbaar kunnen zijn.
Als iets gehackt kan worden, dan wordt het immers gehackt zo stellen vooraanstaande adviseurs op dit vlak op basis van de ervaringen uit de praktijk.

Verder is Drs. Ruben Wenselaar volgens het jaarverslag specifiek verantwoordelijk voor onder meer Audit en, Juridische Zaken.
En Drs. Frank Janssen als CFO / CRO naast de algemene verantwoordelijkheid als beleidsbepaler, specifiek verantwoordelijk voor onder andere Governance, Riskmanagement & Compliance (GRC).

.........Signalen vanuit onze omgeving kunnen aanleiding zijn tot het uitvoeren van een onderzoek naar een specifiek thema. Ieder jaar voeren we één of meerdere thematische onderzoeken uit.......

Zouden ze al uitpuilen van de extra risico en thematische onderzoeken??

05-11-2019, 18:47 door Anoniem

Weet iemand of VGZ / Menzis klanten aangiften kunnen doen van het schenden van het medisch beroepsgeheim door deze bedrijven?

Want volgens mijn redenatie vallen medische gegevens onder het beroepsgeheim en is toegang verlenen tot deze gegeven aan 3de dus een schending van het beroepsgeheim.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer