Minister moet onderzoek doen naar lek bij Zilveren Kruis

Zilveren Kruis verstuurde op 28 oktober een e-mail met medische gegevens naar 2463 personen, om een enquête uit te voeren naar de zorg in ziekenhuizen. Op 3 november werd bekend dat ze hierbij een blunder had begaan door de medische gegevens naar het verkeerde e-mailadres te sturen.

Uit ons eerdere onderzoek was bekend dat alle zorgverzekeraars persoonsgegevens gebruiken voor marketingdoelen, maar dat men bij Zilveren Kruis zelfs medische gegevens gebruikt, is zeer onwenselijk. Minister Schippers van Volksgezondheid en het College Bescherming Persoonsgegevens (CBP) moeten dan ook snel onderzoek doen naar wat er bij Zilveren Kruis precies is gebeurd en of vergelijkbare praktijken ook bij andere zorgverzekeraars plaatsvinden.

Onwettig

Zilveren Kruis moet weten dat medische gegevens bijzondere bescherming genieten. In de Wet bescherming persoonsgegevens (Wbp) is vastgelegd dat het verwerken van medische gegevens verboden is. Alleen in bijzondere situaties mag dit.

Zilveren Kruis stuurde in de mailing onder andere de naam van de afdeling en het ziekenhuis waar en wanneer de behandeling plaatsvond. De toelichting bij de Wbp stelt duidelijk dat dit medische gegevens zijn. Zelfs "het enkele gegeven dat iemand ziek is [is] een gegeven omtrent gezondheid". Gegevens over een behandeling zijn daarom medische gegevens. Voor onderzoeksdoeleinden zijn er uitzonderingen mogelijk, maar het gebruik in een mailing valt daar niet onder.

Zilveren Kruis volgt de gedragscode van Zorgverzekeraars Nederland voor de omgang met persoonsgegevens. Maar de rechter heeft deze gedragscode vorig jaar vernietigd, omdat er te weinig rekening met privacy was gehouden bij het gebruik van medische gegevens. Zelfs in deze afgekeurde gedragscode wordt niet gerept over het gebruik van medische gegevens voor online enquêtes of het verzenden via e-mail.

Toestemming

Als men deze bijzondere gegevens wil gebruiken, is volgens het Wbp "uitdrukkelijke toestemming" vereist. Stilzwijgende of impliciete toestemming is onvoldoende: de betrokkene dient in woord, schrift of gedrag duidelijk toestemming te geven voor het desbetreffende gebruik van gegevens. Een opt-out regeling kan dus niet. Een woordvoerster van Zilveren Kruis laat Privacy Barometer weten dat de verzekeraar de mensen niet vooraf om toestemming heeft gevraagd. "Zilveren Kruis houdt zich aan alle wettelijke privacy regels. In de polisvoorwaarden staat dat we persoonsgegevens voor onderzoek gebruiken. Mensen kunnen zich afmelden als ze dergelijke enquetes niet op prijs stellen."

Zilveren Kruis heeft in algemene termen melding gemaakt van de verwerking van de medische gegevens in het meldingenregister van het CBP. Maar noch in het privacy statement noch in de polisvoorwaarden van Zilveren Kruis wordt aangegeven dat ook uw medische gegevens in online enquêtes of mailings worden gebruikt.

Onbevredigend

De antwoorden die Zilveren Kruis in de persverklaring geeft zijn onvolledig en lijken gericht op 'damage control'. Er blijven genoeg vragen open:

  • Op welke basis mogen (marketing-)medewerkers van Zilveren Kruis deze medische gegevens voor deze doeleinden verwerken?
  • Welke afdelingen binnen Zilveren Kruis mogen met deze gegevens aan de slag? Hebben deze medewerkers een geheimhoudingsverklaring getekend?
  • Voor wat voor enquêtes of onderzoeken worden deze medische gegevens nog meer gebruikt?
  • Wat zijn de (privacy-)waarborgen die Zilveren Kruis heeft genomen bij het uitvoeren van deze enquête?

Onzorgvuldig

Er lijkt slecht nagedacht te zijn over de uitvoering van de enquête en daardoor hebben verzekerden een onnodig risico gelopen. Het is laakbaar dat Zilveren Kruis zo slordig met de medische gegevens van haar klanten omgaat.

Deze affaire toont de noodzaak van een meldplicht datalekken aan waarbij de betrokkenen volledig ingelicht moeten worden. Staatssecretaris Teeven moet nu snel zijn wetsvoorstel, inclusief een stevige boeteclausule, bij de Tweede Kamer indienen.
 

Update 23 januari 2015: Ook Ohra, onderdeel van CZ, stuurt zonder toestemming te vragen enquêtes met medische gegevens naar klanten. Dat bleek uit een uitzending van Kassa op 17 januari jl. Voor het versturen van de enquêtes maakt Ohra gebruik van de diensten van MediQuest. Helaas heeft Kassa tijdens het gesprek met de woordvoerder van CZ niet gevraagd naar de "uitdrukkelijke toestemming" die nodig is voor het verwerken van medische gegevens en of deze data wel aan een derde partij als MediQuest mogen worden gegeven. Renske Leijten (SP) heeft gezegd hier Kamervragen over te stellen.
 

Hoe zit het met mijn privacy beste zorgverzekeraar

Zorgverzekeraars zitten op een enorme berg met zeer gevoelige gegevens, maar hoe ze daar precies mee omgaan is niet altijd even duidelijk. Zo zijn veel privacybepalingen van zorg­verzekeraars moeilijk leesbaar.
Lees verder >>>

Eis inzage medisch dossier misleidend

Zorgverzekeraars VGZ en CZ hebben in hun contracten voor huisartsen opgenomen dat ze recht op inzage hebben in medische dossiers. Daarmee lijken de zorgverzekeraars af te wijken van dwingende regels van het ministerie van Volksgezondheid.
Lees verder >>>

reacties

Eindelijk een nieuwssite die aan de blunder van het Zilveren Kruis een vervolg koppelt. Dit soort zaken wordt veel te vaak afgedaan met een 'sorry' achteraf. Daar komen de grote jongens steeds mee weg. Nu nog zonder boete. Heer Teeven, doe je werk.

Voeg zelf uw reactie toe:

naam: 
reactie: 
0/1500
 

 

Facebook opzeggen

opzeggenLees hier hoe je je Facebook-account kan opzeggen. >>>

Download onze app

Privacy VandaagVolg het actuele nieuws van het Nederlandse privacyfront met onze Android app. Download hem hier!

Deel deze pagina via:

Heb jij wat te verbergen?

fotoMensen hebben niets te verbergen als je ze dat vraagt. Of toch wel? Bekijk de video op Youtube.

Laatste reacties:

Minister duwt door met inzage medische dossiers door zorgverzekeraars

Theo Maas: Het is interessant om deze wijzigingen tegen de GDPR en AVG aan te houden....

Wetsvoorstel aanpassing sleepwet ondermaats

doet er niet toe: velen zijn u voor gegaan en hebben voor dit alles gewaarschuwd jaren terug, maar nee we zijn gek en weten niet waar we over praten....
Caroline: Eigenlijk is het dus zo dat wij allemaal moeten voldoen aan de AVG, we zijn bijna paranoia geworden over privacy, maar de overheid staat daar volledig boven en verzamelt letterlijk alles van ons....

Wetsvoorstel geeft minister vrijbrief voor vergaand doorlichten burgers

De_Democraat: Tja,dit gaat gewoon te ver,zo kan niemand meer vrij bewegen en leven in dit,land,we gaan steeds meer naar Chinese praktijken....
Middenstander: Volg over het onderwerp SyRI risicoprofilering ook de lopende discussies op Security....
redactie: @12 Het is onze ervaring dat de reacties op een internetconsultatie in ieder geval worden gelezen....
Dhr. R.O. Verheid: Overigens een vraag (als iemand dit leest). Hoe zinvol is het eigenlijk om te reageren middels de consultatie (wordt er iets meegedaan)? Daarnaast, zonder in complot theorie├źn te verzanden, vraag ik mij af of we inmiddels geen rekening moeten houden dat evt....

Slimme meter weigeren

J Prins: En het laatste gedeelte van de brief. U hoort uw medewerking te verlenen aan het vervangen van de elektrameter U heeft twijfels of Liander wettelijk gezien wel in haar recht staat om haar elektrameter in uw woning te verwisselen....
J Prins: Volgende Uw vraag over onderbouwing controle en afkeur Niet alleen Liander maar alle netbeheerders, meetbedrijven en leveranciers van warmte houden deze steekproeven onder de meters, waarbij Agentschap Telecom uiteindelijk beslist welke populatie meters worden afgekeurd....
J Prins: Vandaag het volgende bericht gekregen van Liander....

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.082 seconden