Hoe zit het met mijn privacy, beste zorgverzekeraar?
Zorgverzekeraars zitten op een enorme berg met zeer gevoelige gegevens, maar hoe ze daar precies mee omgaan is niet altijd even duidelijk. Zo zijn veel privacybepalingen van zorgverzekeraars moeilijk leesbaar. Helder inzicht in welke gegevens opgeslagen worden en door wie die inzichtelijk zijn, wordt niet gegeven. Verzekerden moeten zelf speuren naar eventuele tussentijdse wijzigingen in privacyreglementen op sites van de verzekeraars. Maar verzekerden kunnen tussentijds niet opzeggen. Ook proberen zorgverzekeraars onder de privacy opt-out regeling voor de GGZ uit te komen. En wat moeten we denken van korting op rookworsten en taarten door het laten scannen van je zorgpas?
Privacyverklaringen zeer moeilijk leesbaar
Wat zorgverzekeraars met jouw gegevens doen staat in hun privacyverklaring. Hierin lees je wat jouw rechten zijn en weet je waar jouw gegevens voor gebruikt worden. De helft van de 28 privacy statements die we onderzochten bleek moeilijk te lezen. De zinnen zijn lang en bevatten juridisch jargon. Het overgrote deel van de Nederlanders zal moeite hebben om de voorwaarden te begrijpen.
Bovendien zijn de privacyverklaringen vaak een zoekplaatje met verwijzingen naar andere reglementen. De privacyvoorwaarden van Interpolis, Menzis, Bewuzt en FBTO zijn het best leesbaar. De privacy statements van de VGZ-groep (met onder andere IZA, IZZ en Univé) en Delta Lloyd zijn het moeilijkst te lezen.1
Zorgpas scannen voor korting op taart en rookworst
Nieuw fenomeen is de zorgverzekering van de HEMA (Menzis), waarbij de zorgpas tevens een kortingspas is voor producten van de HEMA. De zorgpas moet gescand worden bij de kassa om de korting te krijgen. HEMA zegt dat koppeling van aangekochte producten en zorgverzekeringsgegevens niet zal plaatsvinden "omdat dat bij wet verboden is". Een garantie dat deze koppeling ook in de toekomst niet zal plaatsvinden geeft HEMA niet.
Onduidelijkheid wie wat met je gegevens doet
We onderzochten het gemak waarmee je kunt achterhalen wat er met je gegevens gebeurt. Dat blijkt nog niet zo makkelijk te zijn. In de privacyverklaringen worden veel juridische termen gebruikt. Wel maken de meeste verzekeraars goed duidelijk wat je rechten zijn en hoe je die kunt uitoefenen. Er zijn uitzonderingen. Zo noemt Achmea wel je rechten, maar verwijst vervolgens naar de site van het College Bescherming Persoonsgegevens waar je vervolgens zelf naar meer informatie moet gaan zoeken.
Veel verzekeraars proberen onder privacy opt-out-regeling uit te komen
Mensen die psychische hulp nodig hebben, willen vaak dat de reden daarvoor in de spreekkamer van de behandelaar blijft. Ze willen niet dat medewerkers van de zorgverzekeraar weten of ze angstig, verslaafd of schizofreen of wat dan ook zijn. Deze gegevens binnenskamers (van de behandelaar) houden is wettelijk mogelijk gemaakt. Maar in de praktijk zijn weinig patiënten daarvan op de hoogte en moeten zij zelf actie ondernemen om dit recht te doen gelden. Hiervoor moet de patiënt samen met de behandelaar een 'privacy opt-out-regeling' ondertekenen. Zorgverzekeraars proberen onder deze regeling uit te komen door er problemen over te maken. We hebben twee verzekeraars gevonden die in hun voorwaarden expliciet aangeven dat deze geheimhouding mogelijk is: DSW en HEMA.
Tussentijdse aanpassingen? Zelf bijhouden!
Veel privacyverklaringen bevatten onlogische bepalingen. Alle zorgverzekeraars geven aan dat hun privacyregeling tussentijds kan worden aangepast: "dus kom hier regelmatig kijken of iets is veranderd". Raar, want privacy is een belangrijk onderdeel van je contract. Omdat verzekerden niet tussentijds kunnen opzeggen, kun je zo geconfronteerd worden met vervelende wijzigingen in de omgang met je gegevens. Opvallend is dat veel verzekeraars vragen om een brief te sturen als je inzage wilt in je dossier of vragen hebt. Dat is niet meer van deze tijd en werpt een onnodige drempel op.
Al met al concluderen we dat er zeker verbeteringen mogelijk zijn. De teksten kunnen in veel toegankelijker Nederlands. Nu lijken ze te zijn geschreven voor juristen en vooral als intern document te dienen. En als wijzigingen per kalenderjaar ingaan, kan iedere verzekerde van verzekeraar wisselen wanneer hij/zij niet akkoord gaat met eventueel gewijzigde privacyvoorwaarden.
Kleine verzekeraar, minder inzage
Negentig procent van de mensen zit bij één van vier grote verzekeraars VGZ, CZ, Menzis of Achmea. Dat is niet altijd direct zichtbaar, omdat zij verkopen onder veel verschillende merknamen. In hoeverre die moedermaatschappijen inzage hebben in de gegevens van alle verzekerden bij hun dochters is onduidelijk. VGZ heeft één centraal team dat kijkt naar ‘externe fraudesignalen’, ook namens de dochterbedrijven. Daarvoor moeten dan wel de signalen en bepaalde gegevens van de dochtervennootschappen komen. Zilveren Kruis noemt specifiek de derden met wie ze gegevens delen, waaronder de hele Achmea-groep. Bij andere bedrijven is dat minder duidelijk. Als je je verzekert bij een kleinere verzekeraar, zoals Zorg & Zekerheid, reduceer je automatisch het aantal mensen dat inzage kan hebben in je gegevens. Alle verzekeraars gebruiken overigens persoonsgegevens voor marketingdoeleinden. Welke persoonsgegevens dat precies betreft, is onduidelijk.
Fraude controle: noodzakelijk, maar ook handig voor verzekeraars om veel gegevens in te zien
In de voorwaarden wordt veel gerefereerd aan externe documenten die niet makkelijk te vinden zijn. Zo is het bijvoorbeeld even zoeken naar het door iedereen genoemde 'Protocol Fraudebestrijding'. Dit maakt het voor de burger moeilijk om te overzien waar men allemaal mee akkoord gaat. Onder het motto ‘fraudebestrijding’ kennen verzekeraars zich erg veel rechten toe. Dat was ondermeer te zien in 2012 bij grootschalig onderzoek naar Europsyche. Intussen ligt er een uitspraak waarin het CBP door de rechter bestraft is omdat onterecht aan zorgverzekeraars toestemming werd gegeven, medische gegevens op te vragen.
Veel inzage in de CIS-databank
De stichting Centraal Informatie Systeem (CIS), houdt voor de verzekeraars bij of iemand in het verleden gefraudeerd heeft of een betalingsachterstand heeft van meer dan 6 maanden. Het CIS verwerkt NAW-gegevens, geboortedatum, geslacht, nationaliteit en ‘overige identificerende gegevens’. Wat dit laatste exact inhoudt, wordt niet verder gespecificeerd.
Opvallend is dat zowel functionarissen van CIS als die van externe (technische) bewerkers van het systeem "rechtstreeks toegang [hebben] tot de CIS databank en alle daarin opgenomen persoonsgegevens". Als veel mensen vrij toegang tot gegevens hebben, is er een grotere kans op onnodige privacy-inbreuken.2
Samenvattend:
Hoe er met je gegevens wordt omgegaan is voor de bühne mooi geregeld, maar duik je er eens dieper in dan stuit je op vele vraagtekens. In de benadering van dit onderwerp naar klanten, valt er voor zorgverzekeraars nog een wereld te winnen. Het lijkt voor veel situaties niet veel voor je privacy uit te maken welke zorgverzekeraar je kiest. Natuurlijk ligt het voor de hand voorzichtig te zijn met de kortingskaart-constructie van de HEMA. Daarnaast lijken kleinere, onafhankelijke zorgverzekeraar door de (kleinschaliger) aard van hun bedrijf gevoelige gegevens met minder achterliggende organisaties te delen.
Meer weten? Vraag bij je eigen zorgverzekeraar na hoe zij omgaat met je gegevens.
Deze productie kwam tot stand m.m.v. @killerog, @MvdVeen, @DeVrijePsych en @030Caro.
1. De moeilijkheid van een tekst wordt gemeten in niveaus, van A1 tot C2. B1 is het niveau van een Metro of Spits en kan door de helft van de Nederlanders goed gelezen en begrepen worden. 46% schreef teksten op B2 niveau en is voor een dergelijk onderwerp aanvaardbaar. 47% van de teksten zit op B2/C1 niveau, 4% daarboven. Bekijke het complete Gemeenschappelijk Europees Referentiekader voor leesbaarheid. Je kan de leesbaarheid van je teksten zelf testen met deze tool.
2. De hier gecontroleerde voorwaarden zijn van CZ, DSW, Hema, Menzis, VGZ, Zilveren Kruis Achmea en Zorg en Zekerheid. Daarnaast is er gekeken naar openbare informatie van de Coöperaties van Achmea, CZ, Menzis en VGZ, de voorwaarden van het CIS en de door het CBP goedgekeurde ‘Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars’.