Datalek bij zorgverzekeraar Achmea. Gegevens duizenden klanten in verkeerde handen

Zorgverzekeraar Achmea heeft bij de Autoriteit Persoonsgegevens (AP) naar nu blijkt in augustus een datalekmelding gedaan, meldt het regionale dagblad De Stentor.

De gegevens van duizenden klanten in voornamelijk Noord- en Oost-Nederland zouden destijds als gevolg van een fout van een medewerker op het hoofdkantoor van Achmea in Apeldoorn in verkeerde handen zijn gekomen.

Autoriteit Persoonsgegevens wel geinformeerd, klanten niet

Op basis van de Algemene Verordening Gegevensbescherming (AVG) had de zorgverzekeraar de klanten ook moeten inlichten. Maar dat is niet gebeurd.

Op Twitter wordt er stevige kritiek geuit op de poging van Achmea om de zaak in de doofpot te stoppen. Het is de vraag hoe de AP hier op zal reageren.

Achmea had niet verwacht dat gelekte gegevens op straat zouden komen

Achmea zegt in een verklaring dat ze er in augustus nog vanuit ging dat de gelekte gegevens niet openbaar zouden worden. Het datalek zou daarom wel gemeld zijn bij de Autoriteit Persoonsgegevens, maar niet aan de duizenden getroffen verzekerden waarvan de gegevens gelekt zijn.

Achmea Holding BV is de grootste zorgverzekeraar van Nederland, als wordt gekeken naar in Nederland behaalde premieomzet. Achmea is het moederbedrijf van verzekeringsmerken als Centraal Beheer, Interpolis, FBTO, Zilveren Kruis en Avéro Achmea.

Gegevens ook in handen van dagblad De Stentor

De gegevens blijken ondertussen wel met derden te zijn gedeeld. De Stentor schrijft in het bezit te zijn van meerdere bestanden met de namen, BSN-nummer en adressen van circa 10.000 mensen.

In sommige bestanden staan ook bedragen die cliënten uitgekeerd kregen, soms ook van cliënten die inmiddels overleden zijn.

Iemand uit de omgeving van de medewerker wordt verdacht

,,We hebben gesproken met de medewerker in Apeldoorn, via wie het lek lijkt te zijn ontstaan’’, zegt woordvoerder Fleur Bello van Achmea.
“Het vermoeden is dat iemand uit ‘de omgeving’ van deze werknemer de gegevens heeft weten te bemachtigen en heeft verspreid.”

Wat het motief was om dat te doen, wil Achmea niet aangeven.

Alle ziekenhuizen en zorgverzekeraars voldoen aan de AVG. Ze hebben een functionaris voor de gegevensbescherming aangesteld

De Autoriteit Persoonsgegevens (AP) zegt dat alle ziekenhuizen en zorgverzekeraars nu een functionaris voor de gegevensbescherming (FG) hebben aangesteld. De Autoriteit Persoonsgegevens controleerde 91 ziekenhuizen en 33 zorgverzekeraars.

Bij een eerste controle bij bijna 25% van de organisaties trof de AP bij 17 ziekenhuizen en 2 zorgverzekeraars nog geen contactgegevens voor een FG op websites aan.

Verplicht aanmelden Functionaris Gegevensbescherming

Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de AVG.

Onderdeel hiervan is dat sommige organisaties, zoals ziekenhuizen en zorgverzekeraars, een functionaris voor de gegevensbescherming (FG) moeten aanstellen die binnen de organisatie toezicht houdt op naleving van de AVG.

Iedereen die dat wil kan ook makkelijk contact opnemen met de FG: hun (directe) contactgegevens zijn gepubliceerd op de websites van de organisaties.

De FG’s vervullen bij grotere zorgorganisaties een belangrijke functie om de medische gegevens van mensen te beschermen en om de privacywetgeving na te leven.

De FG kan vanuit een onafhankelijke positie adviseren over hoe de privacywetgeving moet worden toegepast in zijn organisatie.

Communiceren contactgegevens

Privacy-issues moeten snel en in vertrouwen gemeld kunnen worden bij de FG. Het moet daarom voor iedereen die dat wil makkelijk zijn om contact op te nemen met de FG zonder dat daar iemand tussen zit.

Het is verplicht een direct telefoonnummer of e-mailadres te vermelden waarmee de FG te bereiken is. De naam van de FG is niet noodzakelijk.

Van de organisaties die wel contactgegevens op hun website vermelden, vond de AP aanvankelijk bij 3 ziekenhuizen en 1 zorgverzekeraar geen direct e-mailadres of doorkiesnummer.

Steekproeven Autoriteit Gegevensbescherming

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) controleert de AP onder meer steekproefsgewijs of vereisten uit de privacywetgeving worden nageleefd.

De controleerde AP eerder overheidsorganisaties op FG’s. Daarnaast deed de AP een steekproef bij grote private organisaties om te onderzoeken of zij een register voor verwerkingsactiviteiten bijhouden.

AVG in de wachtkamer. Patiënt 031872 naar behandelkamer 2

Het is tien uur ‘s ochtends. Je ligt in het ziekenhuis op een verpleegzaal met drie andere patienten. Je behandelend specialist maakt samen met de verpleegsters een ronde. Jij krijgt alles mee over de ziekte van je kamergenoten.

Hoe zit het eigenlijk met de AVG op verpleegzalen in ziekenhuizen?

Veel artsen en patienten worstelen met de Algemene Verordening Gegevensbescherming (AVG). Hoe ga je om met privacy in wachtkamers en kamers in ziekenhuizen waar meerdere patienten liggen?

Sommige artsen en patienten denken dat niets meer mag. Artsen laten voor de zekerheid krampachtig patienten een verwerkingsovereenkomst tekenen waarin zij akkoord gaan met het omroepen van hun naam als ze aan de beurt zijn.

Het gaat verder met de samenwerking met andere artsen en eindigt met een overeenkomst over samenwerking met de zorgverzekeraar.

Absurd. Nergens voor nodig.

Om te beginnen is er volgens de AVG geen toestemming vereist voor de omroepen van de naam van patienten die aan de beurt zijn. Het anonimiseren van patienten door nummers te gebruiken is dus niet nodig.

Hoe zit het met privacy op de verpleegzaal met 4 bedden?

Hetzelfde geldt ook voor verpleegzalen met meerdere bedden in het ziekenhuis. Ook hier is het niet nodig om de individuele patiënten (in hun bed) telkens te verplaatsen naar een seperate behandelkamer waar het medische team slechts met één patiënt kan praten.

De samenwerking met andere artsen, laboratoria en zorgverzekeraars kan worden samengevat onder de noemer “ontheffing van de geheimhoudingsplicht”.

In principe vallen alle verwerkingen die nodig zijn om aan het verwerkingscontract te voldoen, onder het verwerkingscontract.

Toestemming is niet vereist!

Diverse andere wetten verlenen artsen ook transmissiebevoegdheden.

De gegevens kunnen ook worden doorgestuurd naar de ziektekostenverzekeraars. Anders zouden ze geen rekeningen kunnen vereffenen met de artsen.

Kwart van ziekenhuizen heeft volgens Autoriteit Persoonsgegevens AVG beleid nog niet op orde

Ongeveer 25 procent van de ziekenhuizen en zorgverzekeraars voldoet volgens de Autoriteit Persoonsgegevens (AP) nog niet aan de Algemene Verordening Persoonsgegevens. Zij hebben onvoldoende verplichte informatie op de website staan en moeten dit aanpassen.

De Autoriteit Persoonsgegevens heeft bij 91 ziekenhuizen en 33 zorgverzekeraars gecontroleerd of zij een Functionaris Gegevensbescherming (FG) in dienst hebben.

Twee ziekenhuizen bleken niet aan die verplichting die is vastgelegd in de Algemene Verordening Persoonsgegevens te voldoen.

De twee ziekenhuizen zonder FG hebben vier weken de tijd gekregen om hier iemand voor aan te nemen.

Verplichte publicatie contactgegevens FG

 

Ziekenhuizen en zorgverzekeraars zijn ook verplicht om de contactgegevens van hun AP op de website te publiceren.

In de nieuwe privacywet staat vastgelegd dat een ieder die dat wil, gemakkelijk contact moet kunnen opnemen met de FG van een organisatie.

17 ziekenhuizen en 2 zorgverzekeraars

 

Zeventien ziekenhuizen en twee zorgverzekeraars hadden deze contactgegevens niet op hun website staan.

In andere gevallen ontbrak een direct e-mailadres of doorkiesnummer.

Sinds de invoering van de privacywet AVG (Algemene verordering gegevensbescherming) op 25 mei 2018 is het de taak van de Autoriteit Persoonsgegevens om de naleving ervan te controleren.

AVG controle overheid

 

Al eerder werden overheidsorganisaties gecontroleerd op de aanwezigheid van een Functionaris Gegevensbescherming.

Overigens hoeft niet iedere medische organisatie een FG aan te stellen. Huisartspraktijken zijn bijvoorbeeld niet verplicht om dit te doen, omdat zij niet op grootschalig niveau medische gegevens verwerken.