Marketingpersoneel van zorgverzekeraar VGZ kon bij medische gegevens van verzekerden, terwijl dat niet mogelijk had moeten zijn, maakt toezichthouder Autoriteit Persoonsgegevens (AP) maandag bekend.

De Autoriteit Persoonsgegevens (AP) heeft niet vastgesteld dat medewerkers van VGZ daadwerkelijk medische gegevens hebben gebruikt voor marketingdoeleinden. Omdat dat technisch wel mogelijk was, dreigde de AP toch met een boete. VGZ heeft daarop op tijd maatregelen genomen.

Bedrijven zijn onder de Nederlandse privacywetgeving, de AVG, verplicht om persoonsgegevens goed te beveiligen. Personeel dat bepaalde persoonsgegevens niet mag gebruiken voor hun werk, moet daar ook technisch niet toe in staat zijn. Op die manier moet misbruik voorkomen worden.

Ook marketingpersoneel Menzis kon bij medische gegevens

Ook bij zorgverzekeraar Menzis kon marketingpersoneel bij medische gegevens, terwijl dat niet mogelijk had moeten zijn. Na onderzoek van de AP had Menzis tot 26 mei 2018 de tijd om ervoor te zorgen dat dit niet meer mogelijk was.

Omdat de verzekeraar de benodigde actie niet op tijd ondernam, moest het bedrijf een boete van 50.000 euro betalen. Net als bij VGZ heeft de Autoriteit Persoonsgegevens niet geconstateerd dat het personeel misbruik heeft gemaakt van toegang tot medische gegevens.