Autoriteit Persoonsgegevens (AP) constateerde eind 2017 dat Menzis meer moest toezien wie toegang heeft tot persoonsgegevens (een vergelijkbare zaak kwam eerder dit jaar aan de orde bij het OLVG). Dat is inmiddels beter beter geregeld via machtigingsregels en via ICT-oplossingen. De AP vond echter dat de oplossingen niet volledig en zorgvuldig genoeg doorgevoerd. Daarom heeft de toezichthouder een boete opgelegd. Menzis stelt de boete te betreuren, naar eigen zeggen ook omdat er volgens de AP geen gegevens van verzekerden onjuist gebruikt zijn.
Geen oneigenlijk gebruik
Menzis-CFO Frank Janssen stelt in het nieuwsbericht van Menzis geschrokken te zijn van de boete: “Wij hebben uiteraard volledig met de AP meegewerkt. Bovendien constateerde de AP dat er geen verkeerd of oneigenlijk gebruik van persoonsgegevens is gemaakt. Wij vinden het vanzelfsprekend dat alleen bevoegde personen toegang hebben tot gezondheidsgegevens van verzekerden. Onbedoeld hadden enkele medewerkers van de commerciële afdeling toch toegang. Hoewel met die toegang niet verkeerd is omgesprongen, hebben we dat onmogelijk gemaakt. Er is nauwgezet geregeld welke medewerker bevoegd is om persoonsgegevens te bekijken.”
De AP constateert in een toelichting dat het bewaken van de privacy bij Menzis wel goed in de cultuur van het bedrijf is geborgd. Janssen noemt het goed dat de AP erop wijst waar dat nog onvoldoende geregeld is. “Onze verzekerden hebben recht op een goede omgang met hun privacy. Daarom werken wij nauwgezet samen met toezichthouders zoals de AP, de Nederlandse Zorgautoriteit en De Nederlandse Bank. Deze boete is voor ons een belangrijk signaal dat we nog alerter moeten zijn rondom privacy.”
Meer boetes AP
Voorzitter Aleid Wolfsen van de AP liet vandaag in een toelichting op het jaarverslag weten dat de toezichthouder er in 2018 bewust voor heeft gekozen zich vooral te richten op voorlichting, normuitleg en normoverdracht in de eerste periode nadat de nieuwe privacywet AVG ging gelden – en dus weinig boetes heeft uitgedeeld. “In 2019 blijft de AP voorlichting geven om de naleving van de privacywetgeving te bevorderen. Maar tegelijk wordt steviger ingezet op handhaving nu organisaties bekender zijn met de nieuwe privacywet.”
“De AP heeft zich in 2018 voornamelijk gericht op het beëindigen van mogelijke overtredingen door aan te sturen op herstelmaatregelen door organisaties zelf”, aldus de voorzitter. “Klachten zullen in de toekomst vaker leiden tot onderzoek en sancties van de AP.”
In het jaarverslag van de AP wordt verder gemeld dat de AP direct na 25 mei 2018 begonnen is met controles op de verantwoordingsplichten uit de 25 mei 2018 in werking getreden AVG. De AP controleerde bijvoorbeeld bij 400 overheidsorganisaties, 91 ziekenhuizen en 33 zorgverzekeraars of zij een FG (functionaris gegevensbescherming) hadden aangemeld. Ook is de AP in december 2018 gestart met onderzoek naar het privacybeleid van een aantal IVF-klinieken, politieke partijen en bloedbanken.
