Verzekeraar Menzis betaalde boete voor overtreden privacyregels

De Autoriteit Persoonsgegevens heeft begin dit jaar een last onder dwangsom van 50.000 euro geïnd bij Menzis omdat de verzekeraar niet voldeed aan de privacyregels. Ook VGZ voldeed niet aan de regels, maar hoefde geen boete te betalen.

De Autoriteit Persoonsgegevens (AP) heeft onderzocht hoe zorgverzekeraars medische persoonsgegevens verzamelen en verwerken. Daarbij werd in 2018 geconstateerd dat Menzis en VGZ niet voldeden aan de privacywet. Beide zorgverzekeraars waren onzorgvuldig bij de verwerking van medische gegevens, aldus de AP. Zo was het autorisatiebeleid niet op orde, werd er niet goed gelogd en hadden marketingmedewerkers ten onrechte ook toegang tot gezondheidsgegevens van verzekerden.

Om ervoor te zorgen dat de zorgverzekeraars hun systemen zo inrichten dat zij ongeautoriseerde toegang tot persoonsgegevens voorkomen, heeft de AP hen een last onder dwangsom opgelegd. Omdat Menzis niet op tijd volledig voldeed aan eis om de privacy van klanten te garanderen, werd begin dit jaar een dwangsom ingevorderd van 50.000 euro.

Ook bij VGZ hadden medewerkers toegang tot medische gegevens, terwijl dit voor hun werkzaamheden niet noodzakelijk was. VGZ heeft echter wel tijdig aan de voorwaarden van de AP voldaan en daarom werd er bij VGZ uiteindelijk geen dwangsom ingevorderd.