Autoriteit Persoonsgegevens legt sancties op aan zorgverzekeraars

De Autoriteit Persoonsgegevens (AP) heeft in 2018 aan twee zorgverzekeraars (VGZ en Menzis) een last onder dwangsom opgelegd, zo blijkt uit een recent nieuwsbericht van de AP. In beide gevallen bleek dat de systemen van de zorgverzekeraars niet waren ingericht om ongeautoriseerde toegang te voorkomen. Voor een soortgelijke overtreding werd eerder het Haga Ziekenhuis beboet (link blog).

Onderzoek AP

Zorgverzekeraars verwerken medische gegevens om er (onder meer) voor te zorgen dat verleende zorg wordt vergoed. Aangezien medische gegevens zeer gevoelig zijn, brengt het verwerken van deze gegevens hoge risico’s met zich mee. Medische persoonsgegevens zijn dan ook bijzondere persoonsgegevens in de zin van de AVG (en voorganger Wbp) waarvoor strengere eisen gelden.

Door de hogere risico’s is het logisch dat partijen die deze gegevens verwerken onder het vergrootglas liggen van de AP. De AP deed mede op verzoek van Vrijbit onderzoek bij zorgverzekeraars. Belangrijkste punten waarnaar werd gekeken waren of de gegevens ook daadwerkelijk alleen werden gebruikt voor het doel waarvoor ze werden verzameld (doelbinding) en of degenen die toegang hadden tot de gegevens die ook daadwerkelijk nodig hadden bij hun werkzaamheden (autorisatie).

Uitkomst

Uit de besluiten blijkt dat binnen beide zorgverzekeraars medewerkers toegang hebben (of hebben gehad) tot medische gegevens terwijl dat voor de uitoefening van de taak van deze medewerkers niet noodzakelijk is. Beide zorgverzekeraars hielden bovendien geen log-bestanden bij waaruit valt af te leiden wie wanneer waar toegang toe heeft gehad. Ondanks het ontbreken van log-bestanden concludeert de AP voor beide zorgverzekeraars dat er geen aanwijzingen zijn gevonden dat de medische gegevens door onbevoegde medewerkers ook daadwerkelijk zijn geraadpleegd. Dit laat onverlet dat er onvoldoende technische maatregelen waren getroffen. Beide verzekeraars kregen daarom een last onder dwangsom, waarvan er een ook daadwerkelijk is verbeurd doordat er niet op tijd was voldaan aan de voorwaarden.

Procedure

De besluiten van de AP komen uit begin 2018, maar nu zijn pas gepubliceerd omdat er gerechtelijke procedures liepen over het onderzoek en de handhavingsbesluiten van de AP. Onlangs heeft de rechter uitspraak gedaan en de bezwaren tegen het onderzoek en de handhaving door de AP van de hand gewezen. Uit het nieuwsbericht van de AP blijkt wel dat door Vrijbit (verzoeker tot handhaving) hoger beroep is ingesteld.

Conclusie

Het voorgaande geeft maar weer aan dat, zeker wanneer er bijzondere of gevoelige persoonsgegevens worden verwerkt, strikte doelbinding en autorisatie nodig is. Het is belangrijk om als instelling of onderneming duidelijk te hebben waarvoor en door wie de persoonsgegevens mogen worden gebruikt en dit zowel op papier uit te werken alsmede in de techniek te implementeren. Ook zonder beveiligingsincidenten kan worden gehandhaafd op de kwaliteit van de beveiliging.

Heeft u vragen naar aanleiding van dit artikel? Neem dan vrijblijvend contact op met Wieger Weijland of met één van de andere leden van het Privacy-team.