Uit het vandaag verschenen jaarverslag over 2018 van zorgverzekeraar Menzis volgt dat de Autoriteit Persoonsgegevens (AP) een dwangsom heeft opgelegd aan Menzis. Waarom? Omdat onbevoegde medewerkers toegang hadden tot medische dossiers en Menzis “onvoldoende snel” verbeteringen had doorgevoerd. Het gevolg? Een dwangsom van € 50.000,00.

De AVG schrijft voor dat alleen bevoegde personen toegang mogen hebben tot persoonsgegevens. Dit geldt niet alleen voor zorgaanbieders, maar voor alle bedrijven. Deze verplichting volgt uit de plicht om beveiligingsmaatregelen te treffen als persoonsgegevens worden verwerkt.

Wat houdt dit in voor bedrijven? Als ondernemer moet je vooraf nadenken over de beveiliging van persoonsgegevens. Vragen die daarbij beantwoord moeten worden zijn:

1. Is er een beleid waarin is vastgelegd welke werknemers toegang hebben en is deze toegang noodzakelijk voor het uitoefenen van hun functie?
2. Houdt u bij welke werknemers toegang hebben gehad tot persoonsgegevens?
3. Hebben de werknemers een geheimhoudingsovereenkomst getekend?

Naast het opleggen van een last onder dwangsom heeft de AP ook de bevoegdheid om een boete op te leggen. Op 14 maart 2019 heeft de AP nieuwe boetebeleidsregels vastgesteld. De hierboven besproken overtreding zou vallen binnen de vastgestelde bandbreedte € 300.000 - € 750.000, waarbij een basisboete van € 525.000 als uitgangspunt geldt. Onder de AVG was een eventueel opgelegde boete dan ook hoger uitgevallen. Opvallend is nog dat de AP de last onder dwangsom die zij hebben opgelegd aan Menzis niet zelf heeft gepubliceerd. Door het jaarverslag van Menzis komt dit nu toch naar buiten.

Wij kunnen u helpen om bovenstaande vragen alsmede andere privacy vraagstukken te beantwoorden. Neem vrijblijvend contact met het privacy team van DVAN: Joost Mosselman, Thijs van Liempd of Lisanne Veerbeek.