Menzis krijgt boete van 50.000 euro wegens privacyschending

Zorgverzekeraar Menzis heeft van privacywaakhond Autoriteit Persoonsgegevens (AP) een dwangsom van 50.000 euro opgelegd gekregen. Autoriteit Persoonsgegevens ontdekte dat medewerkers van Menzis te makkelijk gezondheidsgegevens van klanten konden inzien.

Meerdere mensen binnen het bedrijf hadden toegang tot privédata die ze eigenlijk niet mochten bekijken. Dit is in strijd met het principe van ‘privacy by default’ in de algemene verordening gegevensbescherming (AVG) en daarom greep de AP in.

Onvolledig en onzorgvuldig

Medewerkers van de Nederlandse verzekeraar Menzis hadden tot vorig jaar toegang tot medische dossiers terwijl dat niet mocht. Menzis heeft dit inmiddeld verholpen, maar dat was nog niet gebeurd toen de AP een controle uitvoerde. De maatregelen die Menzis had doorgevoerd om de ongeoorloofde toegang te stoppen waren volgens AP ‘onvolledig en onzorgvuldig’. De AP stelde overigens geen misbruik vast.

De AP publiceerde nog niet over de dwangsom, omdat de toezichthouder nog in een rechtszaak met verzekeraars is verwikkeld. Die zaak loopt nog en de AP publiceert pas over het onderzoek als dat klaar is.

Het boetes uitdelen is begonnen

De AP kan sinds de introductie van nieuwe privacywetgeving in 2018 boetes opleggen bij bepaalde vormen van privacyschendingen. Overigens ging het bij Menzis om een dwangsom en niet om een boete.

Afgelopen donderdag publiceerde de AP ook haar eigen jaarverslag. Hieruit blijkt dat de privacywaakhond elfduizend klachten ontving sinds de introductie van de nieuwe privacywet AVG.

AVG grijpt in op je processen en governance

Voor organisaties die hun processen en governance goed op orde hebben, is het voldoden aan de AVG niet echt een uitdaging. Met goed procesmanagement is helder welke persoonsgevoelige informatie wordt gecreëerd of gebruikt in welke processen. Als je dan ook weet in welke systemen die informatie wordt verwerkt, dan kan men prima maatregelen nemen ter bescherming.

En met goede governance is duidelijk wie welke rol heeft in welk proces en over welke privacygevoelige informatie elke rol mag beschikken.

Als informatieprofessional speel je een belangrijke rol in het optimaliseren van het procesmanagement en de governance. Gebruik deze casus van Menzis en het jaarverslag van de AP om de urgentie aan te geven. Er zijn nog teveel organisaties die de privacybescherming nog steeds niet op orde hebben. De AP gaat steeds actiever controleren en publiceren over misstanden.