Minister moet onderzoek doen naar lek bij Zilveren Kruis

Zilveren Kruis verstuurde op 28 oktober een e-mail met medische gegevens naar 2463 personen, om een enquête uit te voeren naar de zorg in ziekenhuizen. Op 3 november werd bekend dat ze hierbij een blunder had begaan door de medische gegevens naar het verkeerde e-mailadres te sturen.

Uit ons eerdere onderzoek was bekend dat alle zorgverzekeraars persoonsgegevens gebruiken voor marketingdoelen, maar dat men bij Zilveren Kruis zelfs medische gegevens gebruikt, is zeer onwenselijk. Minister Schippers van Volksgezondheid en het College Bescherming Persoonsgegevens (CBP) moeten dan ook snel onderzoek doen naar wat er bij Zilveren Kruis precies is gebeurd en of vergelijkbare praktijken ook bij andere zorgverzekeraars plaatsvinden.

Onwettig

Zilveren Kruis moet weten dat medische gegevens bijzondere bescherming genieten. In de Wet bescherming persoonsgegevens (Wbp) is vastgelegd dat het verwerken van medische gegevens verboden is. Alleen in bijzondere situaties mag dit.

Zilveren Kruis stuurde in de mailing onder andere de naam van de afdeling en het ziekenhuis waar en wanneer de behandeling plaatsvond. De toelichting bij de Wbp stelt duidelijk dat dit medische gegevens zijn. Zelfs "het enkele gegeven dat iemand ziek is [is] een gegeven omtrent gezondheid". Gegevens over een behandeling zijn daarom medische gegevens. Voor onderzoeksdoeleinden zijn er uitzonderingen mogelijk, maar het gebruik in een mailing valt daar niet onder.

Zilveren Kruis volgt de gedragscode van Zorgverzekeraars Nederland voor de omgang met persoonsgegevens. Maar de rechter heeft deze gedragscode vorig jaar vernietigd, omdat er te weinig rekening met privacy was gehouden bij het gebruik van medische gegevens. Zelfs in deze afgekeurde gedragscode wordt niet gerept over het gebruik van medische gegevens voor online enquêtes of het verzenden via e-mail.

Toestemming

Als men deze bijzondere gegevens wil gebruiken, is volgens het Wbp "uitdrukkelijke toestemming" vereist. Stilzwijgende of impliciete toestemming is onvoldoende: de betrokkene dient in woord, schrift of gedrag duidelijk toestemming te geven voor het desbetreffende gebruik van gegevens. Een opt-out regeling kan dus niet. Een woordvoerster van Zilveren Kruis laat Privacy Barometer weten dat de verzekeraar de mensen niet vooraf om toestemming heeft gevraagd. "Zilveren Kruis houdt zich aan alle wettelijke privacy regels. In de polisvoorwaarden staat dat we persoonsgegevens voor onderzoek gebruiken. Mensen kunnen zich afmelden als ze dergelijke enquetes niet op prijs stellen."

Zilveren Kruis heeft in algemene termen melding gemaakt van de verwerking van de medische gegevens in het meldingenregister van het CBP. Maar noch in het privacy statement noch in de polisvoorwaarden van Zilveren Kruis wordt aangegeven dat ook uw medische gegevens in online enquêtes of mailings worden gebruikt.

Onbevredigend

De antwoorden die Zilveren Kruis in de persverklaring geeft zijn onvolledig en lijken gericht op 'damage control'. Er blijven genoeg vragen open:

  • Op welke basis mogen (marketing-)medewerkers van Zilveren Kruis deze medische gegevens voor deze doeleinden verwerken?
  • Welke afdelingen binnen Zilveren Kruis mogen met deze gegevens aan de slag? Hebben deze medewerkers een geheimhoudingsverklaring getekend?
  • Voor wat voor enquêtes of onderzoeken worden deze medische gegevens nog meer gebruikt?
  • Wat zijn de (privacy-)waarborgen die Zilveren Kruis heeft genomen bij het uitvoeren van deze enquête?

Onzorgvuldig

Er lijkt slecht nagedacht te zijn over de uitvoering van de enquête en daardoor hebben verzekerden een onnodig risico gelopen. Het is laakbaar dat Zilveren Kruis zo slordig met de medische gegevens van haar klanten omgaat.

Deze affaire toont de noodzaak van een meldplicht datalekken aan waarbij de betrokkenen volledig ingelicht moeten worden. Staatssecretaris Teeven moet nu snel zijn wetsvoorstel, inclusief een stevige boeteclausule, bij de Tweede Kamer indienen.
 

Update 23 januari 2015: Ook Ohra, onderdeel van CZ, stuurt zonder toestemming te vragen enquêtes met medische gegevens naar klanten. Dat bleek uit een uitzending van Kassa op 17 januari jl. Voor het versturen van de enquêtes maakt Ohra gebruik van de diensten van MediQuest. Helaas heeft Kassa tijdens het gesprek met de woordvoerder van CZ niet gevraagd naar de "uitdrukkelijke toestemming" die nodig is voor het verwerken van medische gegevens en of deze data wel aan een derde partij als MediQuest mogen worden gegeven. Renske Leijten (SP) heeft gezegd hier Kamervragen over te stellen.
 

Hoe zit het met mijn privacy beste zorgverzekeraar

Zorgverzekeraars zitten op een enorme berg met zeer gevoelige gegevens, maar hoe ze daar precies mee omgaan is niet altijd even duidelijk. Zo zijn veel privacybepalingen van zorg­verzekeraars moeilijk leesbaar.
Lees verder >>>

Eis inzage medisch dossier misleidend

Zorgverzekeraars VGZ en CZ hebben in hun contracten voor huisartsen opgenomen dat ze recht op inzage hebben in medische dossiers. Daarmee lijken de zorgverzekeraars af te wijken van dwingende regels van het ministerie van Volksgezondheid.
Lees verder >>>

reacties

Eindelijk een nieuwssite die aan de blunder van het Zilveren Kruis een vervolg koppelt. Dit soort zaken wordt veel te vaak afgedaan met een 'sorry' achteraf. Daar komen de grote jongens steeds mee weg. Nu nog zonder boete. Heer Teeven, doe je werk.

Voeg zelf uw reactie toe:

naam: 
reactie: 
0/1500
 

 

Download onze app

Privacy VandaagVolg het actuele nieuws van het Nederlandse privacyfront met onze Android app. Download hem hier!

Deel deze pagina via:

Facebook opzeggen

opzeggenLees hier hoe je je Facebook-account kan opzeggen. >>>

Heb jij wat te verbergen?

fotoMensen hebben niets te verbergen als je ze dat vraagt. Of toch wel? Bekijk de video op Youtube.

Laatste reacties:

Slimme meter weigeren

Martee: Vattenval zit nu erg te pushen voor de installatie van een slimme meter (WarmteLink)....
tegenstander straling: Ik vind mijn privacy zeer belangrijk en op al die extra straling zit ik ook niet echt te wachten....
Anoniem: Installateurs en vastnetbeheerders liegen, misleiden en bedreigen er op los, maar laat je niet intimideren....

Privacy Stemwijzer Eerste Kamer gelanceerd

A. Noniem: De Privacy stemwijzer geeft op mijn Brave browser het volgende terug: Your connection is not private Attackers might be trying to steal your information from www....
Joop: Jaaaa, ik ging het ook meteen doen en vond het zeker geweldig!
kees: onmiddellijk doen!!! u zult verstelt staan, ik tenminste wel....

UWV geeft anderhalf miljoen werkgevers onnodig toegang tot register arbeidsbeperkten

anoniem: Ik zit in het doelgroepregister en baal daar ontzettend van! heb altijd goed gewerkt voor ik er in kwam tot ik ziek werd en een paar jaar in therapie moest....

Privacy-aanbevelingen voor verkiezingsprogrammas Tweede Kamerverkiezingen 2017

Guido: Leuke tekst, maar in praktijk werkt dit niet. Autoriteit persoonsgegevens moet vanwege geld, mankracht en middelen te kort kiezen welke zaak ze wel of niet nemen, dus die doen niets, en negeren ruim 15 jaar schendingen....

Vragen over kentenscannen door belastingdienst

annoniempje: Idd Caroline het gaat alle perken te buiten! Een stelletje bloedhonden zijn het! Nog meer mensen in de problemen en schuldenproblematiek in ons (A) Sociale Nederland!

Honderd gegevens per leerling voor de overheid

Anoniem: Ik mis praktische informatie over wat we kunnen doen....

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.174 seconden