Forse boete AP voor MENZIS i.v.m. onvoldoende toezicht op inzage medische dossiers

forrse boete

Waar iedereen eigenlijk aldoor bang voor was, blijkt echt gebeurd te zijn. Een zorgverzekeraar geeft personen binnen de organisatie die niet bevoegd zijn inzage in medische dossiers. In het zojuist verschenen jaarverslag over 2018 van de zorgverzekeraar Menzis is te lezen dat men in dat jaar een boete van 50.000 euro van de Autoriteit Persoonsgegevens(AP) kreeg. Het ging om de constatering in 2017 door de AP dat er binnen Menzis onvoldoende toezicht was op wie toegang had tot medische persoonsgegevens EN het onvoldoende snel doorvoeren van verbeteringen op advies van de toezichthouder. Het bericht over de boete staat enigszins weggemoffeld in het jaarverslag 2018 en is niet op de website rechtstreeks zichtbaar. Daarnaast lijkt de Autoriteit Persoonsgegevens Menzis ook publicitair te sparen

Weggemoffeld

De passage waarin de boete vermeld staat is in het hoofdstuk 2 van het jaarverslag onder de kop “Beleid en resultaten”.  Wat staat er precies?

“Naar aanleiding van een onderzoek bij Menzis eind 2017 , constateerde toezichthouder AP dat Menzis onvoldoende toezag op wie er binnen onze organisatie toegang had tot persoonsgegevens betreffende de gezondheid. Gebleken is dat enkele medewerkers onnodig toegang hadden tot deze gegevens. Hoewel met de toegangsmogelijkheid niet verkeerd is omgegaan en de AP tijdens het ondezoek constateerde dat er geen sprake is van verkeerd of oneigenlijk gebruik van persoonsgegevens, hebben we dit signaal zeer serieus genomen. We hebben de toegang voor deze medewerkers dan ook onmogelijk gemaakt. De AP vindt echter dat deze verbeteringen onvoldoende snel zijn doorgevoerd en heeft ons een boete opgelegd van € 50.000. Wij vinden het vanzelfsprekend dat alleen bevoegde personen toegang hebben tot gezondheidsgegevens van klanten. Onze klanten hebben er recht op dat wij onze taak als zorgverzekeraar goed uitvoeren. In haar onderzoek constateerde de AP dat bij Menzis het bewaken van de privacy op een adequate wijze in de cultuur van het bedrijf is geborgd. Wij betreuren dan ook de oplegging van de boete. Het is voor ons een belangrijk signaal dat wij nog alerter moeten zijn rondom privacy. We zullen ons hier de komende jaren op blijven richten in nauwe samenwerking met toezichthouders zoals de AP, DNB(De Nederlandse Bank) en NZa(Nederlandse Zorgautoriteit). Tevens zullen wij naar onze klanten met regelmaat communiceren over de maatregelen die wij nemen om de privacy te blijven borgen”

Schandelijk

De wijze waarop Menzis met dit probleem omgaat is ronduit schandelijk te noemen. Men krijgt een bezoek van de privacy-toezichthouder. Die constateert twee flinke problemen en men reageert er traag op. Na de boete wordt er opeens wel onmiddellijk een einde gemaakt aan inzage door niet daartoe bevoegde personen.

Op haar website meldt Menzis op 7 maart 2018 dat ze met de AP in gesprek is in verband met een bezoek van de AP. Men spreekt in algemene bewoordingen over het beleid welke medewerkers tot persoonsgegevens krijgen zonder te melden dat het om medische persoonsgegeven gaat. Ook niet dat het in de ogen van de AP om onbevoegde inzage ging. Ook de logging van de inzage zou verbeterd moeten worden. Blijkbaar was die onder de maat. Tot eind 2018 zou Menzis naar eigen zeggen in de gelegenheid gesteld zijn deze onderdelen verder te verbeteren. Met geen woord wordt gerept over inzage door onbevoegde personen.

Bevoegd/onbevoegd

Er blijkt uit de besluitvorming van de AP dat er blijkbaar sprake is van een verschil van mening tussen de AP en Menzis over wie bevoegd is tot inzage. Menzis zegt in het jaarverslag dat ze vanzelfsprekend alleen bevoegde personen inzage geeft. Toch geeft de AP een aanzienlijke boete vanwege het niet goed regelen van de inzage van medische dossiers.

Menzis spreekt over een uitstekende verhouding met de toezichthouders, waaronder de AP. Blijkbaar had men toch niet de tijd tot eind 2018, omdat de AP nog in 2018 de boete van 50.000 euro  oplegt. Anders was die nooit in het jaarverslag 2018 terecht gekomen.

Politiek item

Het inzien van medische dossiers door medewerkers van zorgverzekeraars ligt al enige tijd onder een vergrootglas. Een wetsontwerp dat in het kader van het bestrijden van zorgfraude is gemaakt door het ministerie van VWS sleept zich vanaf 2014 voort door het parlement. Het gaat om het wetsontwerp 33.980. Mede vanwege de angst dat zorgverzekeraars ontercht inzage in medische dossier zouden krijgen werd in december 2018 de minister voor de zorg Bruno Bruins, gevraagd daar nog eens goed over na te denken. Plenaire behandeling staat u gepland voor 14 mei 2019. Het is echter de vraag of na de boete voor Menzis door de AP de Eerste Kamer niet totaal anders gaat denken over deze materie.

AP spaart Menzis publicitair

De Autoriteit Persoonsgegevens is een notoir trage reageerder en laat niet vaak haar tanden zien. Nu blijkbaar wel. Wat echter bijzonder vreemd is dat op de website van de AP geen enkel bericht over deze boete aan Menzis te vinden is. Ook met de zoekfunctie op de website is niets over deze boete te vinden. Het ziet er dan ook naar uit dat de AP Menzis publicitair behoorlijk spaart ondanks het opleggen van de boete.

Vertrouwen weg

Door wat er gebeurd is bij Menzis moeten we dus stellen dat we een zorgverzekeraar niet klakkeloos kunnen vertrouwen als het gaat om berichtgeving dat alleen maar bevoegde personen inzage hebben in medische dossiers. Het stoort mij ook dat Menzis nog van alles in haar bericht in het jaarverslag probeert af te dingen op het oordeel van de AP. We weten dit nu van Menzis maar het is de vraag of het bij de andere zorgverzekeraars beter gesteld is.

Wat door critici lang gevreesd is, blijkt helaas waarheid.

W.J. Jongejan, 4 april 2019