Autoriteit Persoonsgegevens legt Menzis dwangsom op

Uit onderzoek bleek dat de zorgverzekeraar onvoldoende toezag op wie binnen de organisatie gezondheidsgegevens kon opvragen.

Zorgverzekeraar Menzis moet van de Autoriteit Persoonsgegevens (AP) een dwangsom van 50.000 euro betalen omdat mensen binnen de organisatie mogelijk ongeautoriseerd toegang hadden tot gezondheidsgegevens. Dat meldt Menzis donderdag in het jaarverslag van 2018.

Uit een onderzoek in 2017 door de toezichthouder bleek dat Menzis onvoldoende toezag op wie er binnen de organisatie toegang had tot gezondheidsgegevens. Gegevens die medewerkers vanwege hun functie niet mochten inzien, konden toch worden opgevraagd. De toezichthouder sluit op basis van het onderzoek niet uit dat er misbruik heeft plaatsgevonden. Menzis heeft het probleem inmiddels opgelost.

‘Belangrijk signaal’

Na het onderzoek moest Menzis ervoor zorgen dat de medewerkers de medische dossiers niet meer konden opvragen. Volgens de toezichthouder was dat bij de eerstvolgende controle nog niet gebeurd. Hierop is de dwangsom opgelegd.

“De boete is voor ons een belangrijk signaal dat wij nog alerter moeten zijn rondom privacy”, schrijft Menzis in het jaarverslag. “We zullen ons hier de komende jaren op blijven richten in nauwe samenwerking met toezichthouders zoals de AP.” AP-woordvoerder Loois zegt hierover: “We zijn een toezichthouder. We werken niet samen met organisaties maar we zien erop toe.”

Algemene verordening gegevensbescherming

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) op 25 mei 2018 kan de Autoriteit Persoonsgegevens dwangsommen opleggen tot 20 miljoen euro bij privacyovertredingen. Van zo’n soort maatregel is ook in het geval van Menzis sprake.

De AP heeft tot dusver niet vaak dwangsommen opgelegd. Afgelopen september kreeg de Nationale Politie een dwangsom van 40.000 euro opgelegd vanwege gebrekkige bescherming van persoonsdata.