image

Zorgverzekeraar Menzis krijgt privacyboete van 50.000 euro

donderdag 4 april 2019, 15:14 door Redactie, 9 reacties

De Autoriteit Persoonsgegevens heeft zorgverzekeraar Menzis een boete van 50.000 euro opgelegd omdat sommige medewerkers onnodig toegang tot gezondheidsgegevens van klanten hadden. Dat laat de zorgverzekeraar via de eigen website en het financieel jaarverslag weten (pdf).

De privacytoezichthouder stelde eind 2017 vast dat Menzis onvoldoende toezag op wie er binnen de organisatie toegang had tot persoonsgegevens betreffende de gezondheid. "Gebleken is dat enkele medewerkers onnodig toegang hadden tot deze gegevens", aldus de zorgverzekeraar. Volgens Menzis is er niet verkeerd omgegaan met de toegangsmogelijkheid en constateerde ook de Autoriteit Persoonsgegevens dat.

Menzis besloot de toegang van de medewerkers in kwestie onmogelijk te maken. De toegang is nu geregeld via machtigingsregels en ict-oplossingen. De Autoriteit Persoonsgegevens vond echter dat de zorgverzekeraar de verbeteringen niet snel genoeg heeft doorgevoerd en legde daarom een boete van 50.000 euro op.

"Onze verzekerden hebben recht op een goede omgang met hun privacy. Daarom werken wij nauwgezet samen met toezichthouders zoals de AP, de Nederlandse Zorgautoriteit en De Nederlandse Bank. Deze boete is voor ons een belangrijk signaal dat we nog alerter moeten zijn rondom privacy", laat Menzis weten.

Reacties (9)
04-04-2019, 15:40 door karma4
Raar verhaal. Het AP is geen toezichthouder op de realisatie van ICT processen.
De DNB is dat wel voor financiële instellingen zoals banken en heeft daar aan controles op ICT invulling nooit wat gedaan.
04-04-2019, 16:08 door Anoniem
Door karma4: Raar verhaal. Het AP is geen toezichthouder op de realisatie van ICT processen.
Ze houden ook geen toezicht op de realisatie van ICT-processen. Ze houden toezicht op het naleven van privacyregels en hun aanwijzingen daarin. Of dat per ICT gaat of niet zal ze worst wezen, tenminste dat hoop ik dan toch.

De DNB is dat wel voor financiële instellingen zoals banken en heeft daar aan controles op ICT invulling nooit wat gedaan.
Ik weet niet hoe het bij DNB zit, maar ik weet wel dat de ambtenaren van de Amerikaanse SEC in de regel drukker zijn met positief opvallen en hun CV plaatsen bij de banken waar ze toezicht op zouden moeten houden, dan hun werk doen.
04-04-2019, 22:35 door Anoniem
Menzis en privacy, zie hun website en je weet dat ze geen ene moer geven om jouw privacy.
Sowieso hebben ze daar overal lak aan, vooral het verspillen van andermans geld zijn ze zeer goed in.
05-04-2019, 07:42 door karma4
Door Anoniem:
Door karma4: Raar verhaal. Het AP is geen toezichthouder op de realisatie van ICT processen.
Ze houden ook geen toezicht op de realisatie van ICT-processen. Ze houden toezicht op het naleven van privacyregels en hun aanwijzingen daarin. Of dat per ICT gaat of niet zal ze worst wezen, tenminste dat hoop ik dan toch..
Ik las het verhaal. Er was geen datalek of ander probleem geconstateerd (een overtreding voor handhaving).
Iemand had een melding gemaakt bij het CBP dat hij vond dat er te veel mensen overal toegang tot hadden.
Het CBP is er toen bij wezen keken en die heeft de ICT inrichting beoordeeld en vond ook dat er te veel mensen toegang hadden. Het is op die manier geen privacy-zaak maar een beoordeling van de ICT inrichting.

De zaak lijkt nu bij de rechter te liggen en loopt nog. Dat het bekend geworden is komt door een passage in het jaarverslag van Menzis. ALs het om de beoordeling van de ICT inrichting gaat wordt het een raar verhaal. Neem nu: Jouw auto kan 160 dus nemen we hem bij voorbaat in wegens een te hoge snelheid in de bebouwde kom. Nee we hebben niet gezien dat het fout ging maar het zou kunnen. Zoiets is in het geheel niet acceptabel.

De DNB is dat wel voor financiële instellingen zoals banken en heeft daar aan controles op ICT invulling nooit wat gedaan.
Ik weet niet hoe het bij DNB zit, maar ik weet wel dat de ambtenaren van de Amerikaanse SEC in de regel drukker zijn met positief opvallen en hun CV plaatsen bij de banken waar ze toezicht op zouden moeten houden, dan hun werk doen.
Verklaart veel over het gemak van het ontstaan van de financiële crisis 2008. Ik doelde op: http://www.toezicht.dnb.nl/3/50-203304.jsp# Je ziet de ICT controls met informatiebeveiliging genoemd. Even doorklikken en je ziet "Onderdeel van dit onderzoek zijn periodieke self assessments, die bij banken, verzekeraars en pensioenfondsen worden uitgezet." Download een excel vul hem zelf in dat je alles goed is en dat is het externe toezicht.
05-04-2019, 10:13 door Anoniem
Inderdaad vreemde zaak want het gaat om een autorisatie probleem binnen Menzis zelf. Dit zul je bij veel bedrijven en overheden overigens tegenkomen want in en uit dienst werkt meestal wel oké maar verplaatsingen eigenlijk nooit. Medewerkers die regelmatig, binnen de eigen organisatie, verplaatsen tussen verschillende functies bouwen zoveel rechten op dat deze daardoor alle rechten hebben. Ik vraag me af of de AP ook eens bij grote gemeenten gaat kijken hoeveel medewerkers toegang hebben tot gegevens die ze voor hun werk niet nodig hebben.
Ik zou willen dat de AP hun tanden eens vaker zou laten zien bij echte privacy vraagstukken zoals bij MS die grote hoeveelheden privacy gevoelige gegevens via telemetry binnen haalt zonder dat de gebruikers dit weten of kunnen controleren of überhaupt daarin een keuze hebben. Ik zou daar toch graag een boete van een paar miljard voor willen zien. De AP heeft eerder vastgesteld dat MS de wet overtreedt maar doet daar dus niets mee. Tijd om het tuig bij MS eens de ballen te scheren.
05-04-2019, 12:15 door Anoniem
Door karma4:De DNB is dat wel voor financiële instellingen zoals banken en heeft daar aan controles op ICT invulling nooit wat gedaan.

Vertel dat maar aan de DNB mensen die hier audits uitvoeren op allerlei mogelijke ICT processen, variërend van netwerkbeveiliging tot aan compliance monitoring. Echt onzin wat je hier zegt.
05-04-2019, 14:46 door Anoniem
Door karma4: Raar verhaal. Het AP is geen toezichthouder op de realisatie van ICT processen.
Maar wel toezichthouder op de AVG en daarin wordt wel degelijk aan informatiesystemen, netwerken, elektronische verwerking en dergelijke gerefereerd. Daar gaat het expliciet over ICT. Een toezichtouder daarop die om alles wat ICT is heen draait doet zijn werk niet goed.
De DNB is dat wel voor financiële instellingen zoals banken en heeft daar aan controles op ICT invulling nooit wat gedaan.
Nooit? In de jaren dat ik als automatiseerder voor een bank werkte ben ik ettelijke keren doorgezaagd door auditors van DNB (naast die van de bank zelf en van de externe accountant) die meer te vragen hadden dan ik nog wist te beantwoorden over onderwerpen waar ik in gespecialiseerd was. Ze gingen serieus de diepte in. Afgaande op wat Anoniem 12:15 schrijft is men bij DNB niet opgehouden audits uit te voeren.

"Ik heb het zelf nooit meegemaakt" is iets heel anders dan "DNB heeft daaraan nooit wat gedaan". De wereld is groter dan de ervaring van één mens. Je was te stellig met je "nooit".
05-04-2019, 15:53 door karma4
Door Anoniem: Maar wel toezichthouder op de AVG en daarin wordt wel degelijk aan informatiesystemen, netwerken, elektronische verwerking en dergelijke gerefereerd. Daar gaat het expliciet over ICT. Een toezichtouder daarop die om alles wat ICT is heen draait doet zijn werk niet goed.
Een handhaver die zelf regels gaat verzinnen en er van alles bij haalt maakt zich ongeloofwaardig.
Let wel: er is her geen privacy overtreding geconstateerd. Er is enkel naar invulling ICT gekeken. Niet de taak van het AP.


Nooit? In de jaren dat ik als automatiseerder voor een bank werkte ben ik ettelijke keren doorgezaagd door auditors van DNB (naast die van de bank zelf en van de externe accountant) die meer te vragen hadden dan ik nog wist te beantwoorden over onderwerpen waar ik in gespecialiseerd was. Ze gingen serieus de diepte in. Afgaande op wat Anoniem 12:15 schrijft is men bij DNB niet opgehouden audits uit te voeren. ….
Ik heb niet voor niets de self-assesment met de betreffende link er bij gedaan.
Ik heb ook interne auditors over de vloer gehad. De laatste zeer serieus met de onderhanden specifieke zaak. Vervolg naar externe auditing is er niet gekomen. Navraag bij de risk-management afdeling was dat zoiets nooit plaatsvond.

Ik kan me maar één geval voorstellen waar het wel plaats vond. De DSB die daarmee van de markt gehaald werd. https://www.rtlnieuws.nl/economie/artikel/3544136/dsb-stond-al-maanden-onder-toezicht-dnb. Dat was een uitzonderlijke situatie. Bedenk dat daar pas de controles verscherpte werden na wat eerdere escalaties en het eigenlijk al te laat was. Bij de ondergang van SNS was er bij de vastgoedtak gewoon fraude.
09-04-2019, 15:36 door Anoniem
Eindelijk actie van het AP. Er zit nog meer in de pijplijn maar de grote zaken worden nog stilgehouden. Benieuwd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.