De Autoriteit Persoonsgegevens (AP) heeft aan de zorgverzekeraars VGZ en Menzis in 2018 een last onder dwangsom opgelegd.
Beide organisaties waren onzorgvuldig bij de verwerking van medische gegevens. Het autorisatiebeleid voldeed niet aan de eisen en er werd niet goed gelogd. Bovendien hadden marketingmedewerkers ten onrechte toegang tot gezondheidsdata van verzekerden.
Autorisatie
De AP heeft een last onder dwangsom opgelegd om ervoor te zorgen dat de zorgverzekeraars hun systemen alsnog zo inrichten dat ongeautoriseerde toegang tot persoonsgegevens niet meer mogelijk is. Menzis heeft hier echter niet tijdig aan voldaan. De AP heeft vervolgens begin 2019 een dwangsom van €50.000 geïnd. Inmiddels voldoen beide zorgverzekeraars wel aan de privacywetgeving.
Zorgverzekeraars
De AP heeft recentelijk gecontroleerd hoe zorgverzekeraars medische persoonsgegevens verzamelen en verwerken. De autoriteit heeft de vier grootste zorgverzekeraars onderzocht. Zij bedienen samen bijna 90% van de markt. De AP heeft onder andere gelet op doelbinding (worden gezondheidsdata aangewend voor marketingdoeleinden?) en autorisatiebeleid (welke personen hebben toegang tot medische data?).