Hoe zit het met mijn privacy, beste zorgverzekeraar?

Zorgverzekeraars zitten op een enorme berg met zeer gevoelige gegevens, maar hoe ze daar precies mee omgaan is niet altijd even duidelijk. Zo zijn veel privacybepalingen van zorg­verzekeraars moeilijk leesbaar. Helder inzicht in welke gegevens opgeslagen worden en door wie die inzichtelijk zijn, wordt niet gegeven. Verzekerden moeten zelf speuren naar eventuele tussentijdse wijzigingen in privacyreglementen op sites van de verzekeraars. Maar verzekerden kunnen tussentijds niet opzeggen. Ook proberen zorgverzekeraars onder de privacy opt-out regeling voor de GGZ uit te komen. En wat moeten we denken van korting op rookworsten en taarten door het laten scannen van je zorgpas?

Privacyverklaringen zeer moeilijk leesbaar

Wat zorgverzekeraars met jouw gegevens doen staat in hun privacyverklaring. Hierin lees je wat jouw rechten zijn en weet je waar jouw gegevens voor gebruikt worden. De helft van de 28 privacy statements die we onderzochten bleek moeilijk te lezen. De zinnen zijn lang en bevatten juridisch jargon. Het overgrote deel van de Nederlanders zal moeite hebben om de voorwaarden te begrijpen.

Bovendien zijn de privacyverklaringen vaak een zoekplaatje met verwijzingen naar andere reglementen. De privacyvoorwaarden van Interpolis, Menzis, Bewuzt en FBTO zijn het best leesbaar. De privacy statements van de VGZ-groep (met onder andere IZA, IZZ en Univé) en Delta Lloyd zijn het moeilijkst te lezen.1

Zorgpas scannen voor korting op taart en rookworst

Nieuw fenomeen is de zorgverzekering van de HEMA (Menzis), waarbij de zorgpas tevens een kortingspas is voor producten van de HEMA. De zorgpas moet gescand worden bij de kassa om de korting te krijgen. HEMA zegt dat koppeling van aangekochte producten en zorgverzekeringsgegevens niet zal plaatsvinden "omdat dat bij wet verboden is". Een garantie dat deze koppeling ook in de toekomst niet zal plaatsvinden geeft HEMA niet.

Onduidelijkheid wie wat met je gegevens doet

We onderzochten het gemak waarmee je kunt achterhalen wat er met je gegevens gebeurt. Dat blijkt nog niet zo makkelijk te zijn. In de privacyverklaringen worden veel juridische termen gebruikt. Wel maken de meeste verzekeraars goed duidelijk wat je rechten zijn en hoe je die kunt uitoefenen. Er zijn uitzonderingen. Zo noemt Achmea wel je rechten, maar verwijst vervolgens naar de site van het College Bescherming Persoonsgegevens waar je vervolgens zelf naar meer informatie moet gaan zoeken.

Veel verzekeraars proberen onder privacy opt-out-regeling uit te komen

Mensen die psychische hulp nodig hebben, willen vaak dat de reden daarvoor in de spreekkamer van de behandelaar blijft. Ze willen niet dat medewerkers van de zorgverzekeraar weten of ze angstig, verslaafd of schizofreen of wat dan ook zijn. Deze gegevens binnenskamers (van de behandelaar) houden is wettelijk mogelijk gemaakt. Maar in de praktijk zijn weinig patiënten daarvan op de hoogte en moeten zij zelf actie ondernemen om dit recht te doen gelden. Hiervoor moet de patiënt samen met de behandelaar een 'privacy opt-out-regeling' ondertekenen. Zorgverzekeraars proberen onder deze regeling uit te komen door er problemen over te maken. We hebben twee verzekeraars gevonden die in hun voorwaarden expliciet aangeven dat deze geheimhouding mogelijk is: DSW en HEMA.

Tussentijdse aanpassingen? Zelf bijhouden!

Veel privacyverklaringen bevatten onlogische bepalingen. Alle zorgverzekeraars geven aan dat hun privacyregeling tussentijds kan worden aangepast: "dus kom hier regelmatig kijken of iets is veranderd". Raar, want privacy is een belangrijk onderdeel van je contract. Omdat verzekerden niet tussentijds kunnen opzeggen, kun je zo geconfronteerd worden met vervelende wijzigingen in de omgang met je gegevens. Opvallend is dat veel verzekeraars vragen om een brief te sturen als je inzage wilt in je dossier of vragen hebt. Dat is niet meer van deze tijd en werpt een onnodige drempel op.

Al met al concluderen we dat er zeker verbeteringen mogelijk zijn. De teksten kunnen in veel toegankelijker Nederlands. Nu lijken ze te zijn geschreven voor juristen en vooral als intern document te dienen. En als wijzigingen per kalenderjaar ingaan, kan iedere verzekerde van verzekeraar wisselen wanneer hij/zij niet akkoord gaat met eventueel gewijzigde privacyvoorwaarden.

Kleine verzekeraar, minder inzage

Negentig procent van de mensen zit bij één van vier grote verzekeraars VGZ, CZ, Menzis of Achmea. Dat is niet altijd direct zichtbaar, omdat zij verkopen onder veel verschillende merknamen. In hoeverre die moedermaatschappijen inzage hebben in de gegevens van alle verzekerden bij hun dochters is onduidelijk. VGZ heeft één centraal team dat kijkt naar ‘externe fraudesignalen’, ook namens de dochterbedrijven. Daarvoor moeten dan wel de signalen en bepaalde gegevens van de dochtervennootschappen komen. Zilveren Kruis noemt specifiek de derden met wie ze gegevens delen, waaronder de hele Achmea-groep. Bij andere bedrijven is dat minder duidelijk. Als je je verzekert bij een kleinere verzekeraar, zoals Zorg & Zekerheid, reduceer je automatisch het aantal mensen dat inzage kan hebben in je gegevens. Alle verzekeraars gebruiken overigens persoonsgegevens voor marketingdoeleinden. Welke persoonsgegevens dat precies betreft, is onduidelijk.

Fraude controle: noodzakelijk, maar ook handig voor verzekeraars om veel gegevens in te zien

In de voorwaarden wordt veel gerefereerd aan externe documenten die niet makkelijk te vinden zijn. Zo is het bijvoorbeeld even zoeken naar het door iedereen genoemde 'Protocol Fraudebestrijding'. Dit maakt het voor de burger moeilijk om te overzien waar men allemaal mee akkoord gaat. Onder het motto ‘fraudebestrijding’ kennen verzekeraars zich erg veel rechten toe. Dat was ondermeer te zien in 2012 bij grootschalig onderzoek naar Europsyche. Intussen ligt er een uitspraak waarin het CBP door de rechter bestraft is omdat onterecht aan zorgverzekeraars toestemming werd gegeven, medische gegevens op te vragen.

Veel inzage in de CIS-databank

De stichting Centraal Informatie Systeem (CIS), houdt voor de verzekeraars bij of iemand in het verleden gefraudeerd heeft of een betalingsachterstand heeft van meer dan 6 maanden. Het CIS verwerkt NAW-gegevens, geboortedatum, geslacht, nationaliteit en ‘overige identificerende gegevens’. Wat dit laatste exact inhoudt, wordt niet verder gespecificeerd.
Opvallend is dat zowel functionarissen van CIS als die van externe (technische) bewerkers van het systeem "rechtstreeks toegang [hebben] tot de CIS databank en alle daarin opgenomen persoonsgegevens". Als veel mensen vrij toegang tot gegevens hebben, is er een grotere kans op onnodige privacy-inbreuken.2

Samenvattend:

Hoe er met je gegevens wordt omgegaan is voor de bühne mooi geregeld, maar duik je er eens dieper in dan stuit je op vele vraagtekens. In de benadering van dit onderwerp naar klanten, valt er voor zorgverzekeraars nog een wereld te winnen. Het lijkt voor veel situaties niet veel voor je privacy uit te maken welke zorgverzekeraar je kiest. Natuurlijk ligt het voor de hand voorzichtig te zijn met de kortingskaart-constructie van de HEMA. Daarnaast lijken kleinere, onafhankelijke zorgverzekeraar door de (kleinschaliger) aard van hun bedrijf gevoelige gegevens met minder achterliggende organisaties te delen.

Meer weten? Vraag bij je eigen zorgverzekeraar na hoe zij omgaat met je gegevens.
 

Deze productie kwam tot stand m.m.v. @killerog, @MvdVeen, @DeVrijePsych en @030Caro.

 
 

1. De moeilijkheid van een tekst wordt gemeten in niveaus, van A1 tot C2. B1 is het niveau van een Metro of Spits en kan door de helft van de Nederlanders goed gelezen en begrepen worden. 46% schreef teksten op B2 niveau en is voor een dergelijk onderwerp aanvaardbaar. 47% van de teksten zit op B2/C1 niveau, 4% daarboven. Bekijke het complete Gemeenschappelijk Europees Referentiekader voor leesbaarheid. Je kan de leesbaarheid van je teksten zelf testen met deze tool.
 

2. De hier gecontroleerde voorwaarden zijn van CZ, DSW, Hema, Menzis, VGZ, Zilveren Kruis Achmea en Zorg en Zekerheid. Daarnaast is er gekeken naar openbare informatie van de Coöperaties van Achmea, CZ, Menzis en VGZ, de voorwaarden van het CIS en de door het CBP goedgekeurde ‘Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars’.

reacties

Het is heel verstandig bovenstaand artikel goed te lezen en tot je door te laten dringen wat het belang is van privacy.

Die kortingkaart van HEMA zou ik maar niet gebruiken. Als korting betekent dat ze met jouw persoonlijke gegevens de ' hort ' op kunnen gaan, zou ik het wel weten..niet dus !

Niet alles is een probleem in deze maar zorg uldigheid is wel geboden. Hoe meer we op de digitale wereld aangewezen zijn en in de toekomst meer en meer gaan worden, hoe onduidelijker je privacy wordt.

Zelfs onze overheid gaat geheel digitaal. geen persoonlijke contacten meer, geen loket om met een probleem naar toe te gaan. Alles digitaal. En voor hen, die geen computer hebben, is er per gratie dan een persoon waar jenaar toe kunt gaan en die samen met jou ( ik doel hier vooral op oudere mensen) een en ander kan invullen. Het gaat helaas niet alleen om de gezondheidszorg in dit kader van de privacy.

Fijn dat dit eens bekeken wordt. Dank aan de schrijvers van dit artikel!

Goed dat er hierboven aangegeven wordt dat alle "regeltjes", "Kleine lettertjes" etc. niet altijd zo duidelijk zijn. Het lijkt wel alsof privacyzaken - wat er met je gegevens gebeurt, expres zo ondoorzichtig is.... Mensen hebben de tijd niet om zich daar erg in te verdiepen en gaan er (vaak ten onrechte) van uit dat het wel goed zit. Dat is vaak ook zo, totdat er iets aan de hand is en dan pas heb je er last van en kun je niet meer terug. Dat voelt toch niet helemaal goed vind ik....

Hoe zit het nu met PIA? Wat is dat? Waarom wordt dat niet uitgelegd in het artikel?

@Weet het beter

PIA? Dat komt in het hele artikel niet voor. Wat bedoel je precies?

We krijgen net van Zilveren Kruis door dat bij een enquête onze naamgegevens, naam ziekenhuis, afdeling en periode van behandeling naar de verkeerde personen hebben toegestuurd!!! Simpel briefje met sorry moet dan voldoende zijn?!

Bij Zilveren Kruis ijs in elk geval je privacy niet gewaarborgd.

@Sandra: dank voor je reactie!

wij zijn bezig met een uitgebreider stuk over dit lek, maar de informatie van Zilveren Kruis hierover is nogal beperkt. Zou je ons een berichtje willen sturen op redactie @ privacybarometer . nl ?

We willen vooral weten wat voor soort informatie er in de mail stond (dus niet de inhoud zelf uiteraard), wie de mail verstuurde, van wie de enquete was etc.

Dank,

Rutger van PrivacyBarometer.

@Sandra Steeds meer bedrijven, instanties en bewindspersonen komen weg met een 'sorry'. Privacy kan achteraf helaas niet gerepareerd worden. Het is inderdaad veel te makkelijk dat Zilveren Kruis hier zo mee wegkomt. Ik zou echt een klacht indienen bij de zorgautoriteit, en andere verzekerden daar ook toe oproepen. Maar ja, dan nog he. Dan zeggen ze wellicht nog een keer sorry nadat de klacht gegrond is verklaard. Daar sta je dan.

Lees zeker de aangepaste voorwaarden voor 2015 goed door. Turien en Co (VGZ) past de WBP voorwaarden aan:

"Wij kunnen uw gegevens nu ook gebruiken voor werving voor onze eigen en gelijksoortige diensten en producten en daarbij behorende marketingactiviteiten (tot 1 jaar na beëindiging van de verkeringsovereenkomst".

Voeg zelf uw reactie toe:

naam: 
reactie: 
0/1500
 

 

Download onze app

Privacy VandaagVolg het actuele nieuws van het Nederlandse privacyfront met onze Android app. Download hem hier!

Deel deze pagina via:

Facebook opzeggen

opzeggenLees hier hoe je je Facebook-account kan opzeggen. >>>

Heb jij wat te verbergen?

fotoMensen hebben niets te verbergen als je ze dat vraagt. Of toch wel? Bekijk de video op Youtube.

Laatste reacties:

Slimme meter weigeren

Martee: Vattenval zit nu erg te pushen voor de installatie van een slimme meter (WarmteLink)....
tegenstander straling: Ik vind mijn privacy zeer belangrijk en op al die extra straling zit ik ook niet echt te wachten....
Anoniem: Installateurs en vastnetbeheerders liegen, misleiden en bedreigen er op los, maar laat je niet intimideren....

Privacy Stemwijzer Eerste Kamer gelanceerd

A. Noniem: De Privacy stemwijzer geeft op mijn Brave browser het volgende terug: Your connection is not private Attackers might be trying to steal your information from www....
Joop: Jaaaa, ik ging het ook meteen doen en vond het zeker geweldig!
kees: onmiddellijk doen!!! u zult verstelt staan, ik tenminste wel....

UWV geeft anderhalf miljoen werkgevers onnodig toegang tot register arbeidsbeperkten

anoniem: Ik zit in het doelgroepregister en baal daar ontzettend van! heb altijd goed gewerkt voor ik er in kwam tot ik ziek werd en een paar jaar in therapie moest....

Privacy-aanbevelingen voor verkiezingsprogrammas Tweede Kamerverkiezingen 2017

Guido: Leuke tekst, maar in praktijk werkt dit niet. Autoriteit persoonsgegevens moet vanwege geld, mankracht en middelen te kort kiezen welke zaak ze wel of niet nemen, dus die doen niets, en negeren ruim 15 jaar schendingen....

Vragen over kentenscannen door belastingdienst

annoniempje: Idd Caroline het gaat alle perken te buiten! Een stelletje bloedhonden zijn het! Nog meer mensen in de problemen en schuldenproblematiek in ons (A) Sociale Nederland!

Honderd gegevens per leerling voor de overheid

Anoniem: Ik mis praktische informatie over wat we kunnen doen....

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.138 seconden