Vragen van het lid Hijink (SP) aan de Minister voor Medische Zorg over het bericht «Marketingspersoneel zorgverzekeraar VGZ kon bij medische gegevens» (ingezonden 7 november 2019).

Antwoord van Minister Bruins (Medische Zorg) (ontvangen 12 december 2019). Zie ook Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 822.

Vraag 1, 2

Wat is uw reactie op het bericht «Marketingspersoneel zorgverzekeraar VGZ kon bij medische gegevens»? Kunt u aangegeven tot welke gegevens het marketingpersoneel precies toegang had?1

Heeft zorgverzekeraar Menzis inmiddels voldoende actie ondernomen volgens de Autoriteit Persoonsgegevens (AP) om herhaling van een dergelijke situatie te voorkomen?

Antwoord 1, 2

Ik heb kennisgenomen van de berichtgeving van de Autoriteit Persoonsgegevens (AP). Daarin stelt de AP dat zij in 2018 aan VGZ en Menzis een last onder dwangsom heeft opgelegd voor het niet voldoen aan de privacywet. Bij beide zorgverzekeraars hadden marketingmedewerkers ten onrechte toegang tot persoonsgegevens betreffende de gezondheid. Uit de door de AP gepubliceerde stukken blijkt dat het bij Menzis ging om informatie over binnengekomen klachten van verzekerden waaruit in bepaalde gevallen op te maken was dat iemand bijvoorbeeld een chronische rugaandoening of gebroken enkel had of zwanger was (via het verzekeringsnummer en soms ook de naam was deze informatie herleidbaar naar een natuurlijk persoon). Overigens heeft de AP geen aanwijzingen dat medewerkers van VGZ en Menzis daadwerkelijk medische gegevens van verzekerden hebben gebruikt voor marketingacties.

Om te zorgen dat beide verzekeraars hun systemen zo inrichten dat ongeautoriseerde toegang tot persoonsgegevens wordt voorkomen, heeft de AP een last onder dwangsom opgelegd. De zorgverzekeraars hebben inmiddels hun werkwijze aangepast. Menzis heeft evenwel niet tijdig aan de gehele last voldaan, waardoor de AP begin 2019 een dwangsom van 50.000 euro heeft geïnd. VGZ voldeed tijdig aan de last.

De AP deed onderzoek naar de werkwijze van zorgverzekeraars na een handhavingsverzoek van Burgerrechtenvereniging Vrijbit. Het onderzoek en de handhavingsbesluiten van de AP waren onderdeel van een gerechtelijke procedure. In deze procedure heeft de rechter onlangs uitspraak gedaan, vandaar dat de AP recent heeft gepubliceerd over de sancties. Tegen deze uitspraak is door Burgerrechtenvereniging Vrijbit hoger beroep ingesteld bij de Afdeling Bestuursrechtspraak van de Raad van State.

Vraag 3

Kunt u toelichten met welke reden een marketingafdeling van een zorgverzekeraar toegang heeft tot patiëntengegevens?

Antwoord 3

Het gaat mij in het algemeen meer om de vraag of zorgverzekeraars – en andere organisaties – in strijd handelen met de wettelijke regels voor het gebruik van persoonsgegevens. Als dat gebeurt, bestaat daar geen valide reden voor. De AP heeft de taak om hierop toe te zien.

Vraag 4

Registeren zorgverzekeraars welke personeelsleden en/of vanaf welke computers in patiëntendossiers gekeken is? Zo nee, waarom niet en bent u van mening dat dit wel geregeld moet worden?

Antwoord 4

Of dit naar het oordeel van de AP voldoende geborgd is, heeft de AP betrokken in zijn onderzoek naar de werkwijze van zorgverzekeraars. Bij VGZ en Menzis werden onvolkomenheden geconstateerd ten aanzien van het bijhouden van logbestanden. Zoals eerder gemeld, hebben de zorgverzekeraars hun werkwijze inmiddels aangepast. VGZ en Menzis geven desgevraagd ook aan dat zij de toegang van medewerkers tot persoonsgegevens registreren.

Vraag 5

Heeft u bij alle zorgverzekeraars nagevraagd of een dergelijke situatie, zoals beschreven in het artikel, kan voorkomen? Zo ja, nemen zij maatregelen om dit in de toekomst te voorkomen?

Antwoord 5

Ik heb Zorgverzekeraars Nederland (ZN) om een reactie gevraagd. ZN geeft aan dat zorgverzekeraars geen gebruik maken van persoonsgegevens betreffende de gezondheid voor marketingdoeleinden. Dit is ook vastgelegd in de Gedragscode Verwerking Persoonsgegevens. Zorgverzekeraars waarborgen dat persoonsgegevens betreffende de gezondheid niet in strijd met de (Uitvoeringswet) Algemene verordening gegevensbescherming worden verwerkt, bijvoorbeeld door gebruik te maken van geheimhoudingsverklaringen, e-learnings en interne instructies. Autorisatiemanagement en logging van raadplegingen en mutaties in bronsystemen, wat in het antwoord op vraag 4 ook al aan de orde kwam, zijn eveneens onderdeel van deze waarborgen.

Vraag 6

Zijn alle zorgverzekeraars door de Autoriteit Persoonsgegevens benaderd over toegang tot medische gegevens door marketingpersoneel? Zo ja, wat waren de reacties van de verschillende zorgverzekeraars? Zo nee, waarom heeft de Autoriteit Persoonsgegevens dat niet gedaan?

Antwoord 6

De AP heeft zich in zijn onderzoek naar de werkwijze van zorgverzekeraars gericht op de vier grootste zorgverzekeringsconcerns, te weten VGZ, Menzis, CZ en Achmea (waar Zilveren Kruis onder valt).

Voor wat betreft de laatste twee gaf dat dus geen aanleiding voor handhavende stappen door de AP. De reden dat de AP niet alle zorgverzekeraars in het onderzoek heeft meegenomen, is dat bijna 90% van de verzekerden is aangesloten bij een van de genoemde vier concerns.


X Noot
1

Nu.nl, 4 november 2019

Naar boven