Minister moet onderzoek doen naar lek bij Zilveren Kruis
Zilveren Kruis verstuurde op 28 oktober een e-mail met medische gegevens naar 2463 personen, om een enquête uit te voeren naar de zorg in ziekenhuizen. Op 3 november werd bekend dat ze hierbij een blunder had begaan door de medische gegevens naar het verkeerde e-mailadres te sturen.
Uit ons eerdere onderzoek was bekend dat alle zorgverzekeraars persoonsgegevens gebruiken voor marketingdoelen, maar dat men bij Zilveren Kruis zelfs medische gegevens gebruikt, is zeer onwenselijk. Minister Schippers van Volksgezondheid en het College Bescherming Persoonsgegevens (CBP) moeten dan ook snel onderzoek doen naar wat er bij Zilveren Kruis precies is gebeurd en of vergelijkbare praktijken ook bij andere zorgverzekeraars plaatsvinden.
Onwettig
Zilveren Kruis moet weten dat medische gegevens bijzondere bescherming genieten. In de Wet bescherming persoonsgegevens (Wbp) is vastgelegd dat het verwerken van medische gegevens verboden is. Alleen in bijzondere situaties mag dit.
Zilveren Kruis stuurde in de mailing onder andere de naam van de afdeling en het ziekenhuis waar en wanneer de behandeling plaatsvond. De toelichting bij de Wbp stelt duidelijk dat dit medische gegevens zijn. Zelfs "het enkele gegeven dat iemand ziek is [is] een gegeven omtrent gezondheid". Gegevens over een behandeling zijn daarom medische gegevens. Voor onderzoeksdoeleinden zijn er uitzonderingen mogelijk, maar het gebruik in een mailing valt daar niet onder.
Zilveren Kruis volgt de gedragscode van Zorgverzekeraars Nederland voor de omgang met persoonsgegevens. Maar de rechter heeft deze gedragscode vorig jaar vernietigd, omdat er te weinig rekening met privacy was gehouden bij het gebruik van medische gegevens. Zelfs in deze afgekeurde gedragscode wordt niet gerept over het gebruik van medische gegevens voor online enquêtes of het verzenden via e-mail.
Toestemming
Als men deze bijzondere gegevens wil gebruiken, is volgens het Wbp "uitdrukkelijke toestemming" vereist. Stilzwijgende of impliciete toestemming is onvoldoende: de betrokkene dient in woord, schrift of gedrag duidelijk toestemming te geven voor het desbetreffende gebruik van gegevens. Een opt-out regeling kan dus niet. Een woordvoerster van Zilveren Kruis laat Privacy Barometer weten dat de verzekeraar de mensen niet vooraf om toestemming heeft gevraagd. "Zilveren Kruis houdt zich aan alle wettelijke privacy regels. In de polisvoorwaarden staat dat we persoonsgegevens voor onderzoek gebruiken. Mensen kunnen zich afmelden als ze dergelijke enquetes niet op prijs stellen."
Zilveren Kruis heeft in algemene termen melding gemaakt van de verwerking van de medische gegevens in het meldingenregister van het CBP. Maar noch in het privacy statement noch in de polisvoorwaarden van Zilveren Kruis wordt aangegeven dat ook uw medische gegevens in online enquêtes of mailings worden gebruikt.
Onbevredigend
De antwoorden die Zilveren Kruis in de persverklaring geeft zijn onvolledig en lijken gericht op 'damage control'. Er blijven genoeg vragen open:
- Op welke basis mogen (marketing-)medewerkers van Zilveren Kruis deze medische gegevens voor deze doeleinden verwerken?
- Welke afdelingen binnen Zilveren Kruis mogen met deze gegevens aan de slag? Hebben deze medewerkers een geheimhoudingsverklaring getekend?
- Voor wat voor enquêtes of onderzoeken worden deze medische gegevens nog meer gebruikt?
- Wat zijn de (privacy-)waarborgen die Zilveren Kruis heeft genomen bij het uitvoeren van deze enquête?
Onzorgvuldig
Er lijkt slecht nagedacht te zijn over de uitvoering van de enquête en daardoor hebben verzekerden een onnodig risico gelopen. Het is laakbaar dat Zilveren Kruis zo slordig met de medische gegevens van haar klanten omgaat.
Deze affaire toont de noodzaak van een meldplicht datalekken aan waarbij de betrokkenen volledig ingelicht moeten worden. Staatssecretaris Teeven moet nu snel zijn wetsvoorstel, inclusief een stevige boeteclausule, bij de Tweede Kamer indienen.
Update 23 januari 2015: Ook Ohra, onderdeel van CZ, stuurt zonder toestemming te vragen enquêtes met medische gegevens naar klanten. Dat bleek uit een uitzending van Kassa op 17 januari jl. Voor het versturen van de enquêtes maakt Ohra gebruik van de diensten van MediQuest. Helaas heeft Kassa tijdens het gesprek met de woordvoerder van CZ niet gevraagd naar de "uitdrukkelijke toestemming" die nodig is voor het verwerken van medische gegevens en of deze data wel aan een derde partij als MediQuest mogen worden gegeven. Renske Leijten (SP) heeft gezegd hier Kamervragen over te stellen.