Het belang van een passend autorisatiebeleid.
Uit het jaarverslag over 2018 van Menzis blijkt dat de zorgverzekeraar een boete heeft gekregen van de Autoriteit Persoonsgegevens (hierna: AP). Door onjuiste autorisaties hadden (onbevoegde) medewerkers van de commerciële afdeling toegang tot de gezondheidsgegevens van verzekerden. De NOS publiceerde hierover onlangs een artikel.
Wat is er aan de hand?
Medewerkers van de commerciële afdeling hadden toegang tot medische gegevens van verzekerden. De AP stelde niet vast dat er (aantoonbaar) verkeerd of oneigenlijk gebruik is gemaakt van persoonsgegevens. Menzis had er echter voor moeten zorgen dat de gegevens enkel toegankelijk waren voor die medewerkers die de medische gegevens ook echt nodig hadden.
De AP heeft een boete opgelegd omdat Menzis te traag heeft gehandeld in het wijzigen van de autorisaties.
Wat betekent dit praktisch voor uw organisatie?
Hoewel deze overtreding nog onder de oude wet (Wet Bescherming Persoonsgegevens) plaats vond, blijkt uit deze handhaving dat er veel waarde wordt gehecht aan een passend autorisatiebeleid. Organisaties die denken “klaar” te zijn de AVG met een register van verwerkingen en een privacyverklaring, hebben veelal de technische en organisatorische invulling van de AVG over het hoofd gezien.
Uit het opleggen van deze boete blijkt niet alleen het belang van een autorisatiebeleid, maar het toont ook aan dat het belangrijk is om adequaat en pro-actief te handelen bij constatering van onjuistheden.
Meer informatie?
Weten of uw organisatie een passend informatiebeveiligingsbeleid heeft of heeft u hulp nodig bij het opstellen ervan? Download dan hier onze brochure of bel: 030 – 78 52 791 voor meer informatie.
mr. K.S. (Keshia) Echter
privacy specialist en Functionaris Gegevensbescherming bij (o.a.) Zaamzorg Amsterdam, PRO Groep, Kindercentrum Panta Rhei, stichting Nieuw Unicum en Equipe Zorgbedrijven.
E-mail: echter@avgjuristen.nl
AVG Juristen, praktisch met privacy
Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.