Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Medewerkers Menzis hadden onterecht toegang tot medische dossiers

Medewerkers van de Nederlandse verzekeraar Menzis hadden tot vorig jaar toegang tot medische dossiers terwijl dat niet mocht. Dat heeft de Autoriteit Persoonsgegevens vastgesteld. De AP stelde geen misbruik vast van die toegang.

Wel heeft de AP de last onder dwangsom van 50.000 euro geïnd, omdat bij een eerste controle bleek dat Menzis maatregelen om de ongeoorloofde toegang te stoppen 'onvolledig en onzorgvuldig' had doorgevoerd, zegt woordvoerder Sandra Loois van de AP tegen Tweakers.

De AP publiceerde nog niet over de boete, omdat de toezichthouder nog in een rechtszaak met verzekeraars is verwikkeld. "Ik kan er nog niet veel over zeggen, maar we hebben een handhavingsverzoek ontvangen vanwege ongeoorloofde toegang tot data bij meerdere verzekeraars, waaronder Menzis." Die zaak loopt nog en de AP publiceert pas over het onderzoek als dat klaar is.

Menzis heeft de inning van de last onder dwangsom genoemd in het jaarverslag dat door de regionale krant Tubantia werd doorgespit. Daarbij duidt de verzekeraar het aan als boete, hoewel dat dus niet juist is. "Het is voor ons een belangrijk signaal dat wij nog alerter moeten zijn rondom privacy. We zullen ons hier de komende jaren op blijven richten in nauwe samenwerking met toezichthouders."

De verzekeraar zegt dat de AP de 'boete' oplegde wegens 'onvoldoende snel' doorvoeren van de maatregelen, maar volgens Loois is dat onjuist. "Het is dus geen boete en Menzis was niet te laat met het doorvoeren van de maatregelen", aldus de woordvoerder.

Door Arnoud Wokke

Redacteur mobile

04-04-2019 • 13:28

106 Linkedin Google+

Submitter: GEi

Reacties (106)

Wijzig sortering
Seieuze vraag: hoezo heeft een zorgverzekering überhaupt toegang tot medische dossiers? Ze moeten gewoon de facturen betalen. Op basis van de facturen uit afgelopen jaren kunnen ze prima risico's inschatten en premies bepalen. Elk oordeel over een noodzaak van een behandeling hoort wat mij betreft bij de arts en niet bij de zorgverzekering te liggen. Als dat een perverse prikkel geeft tot iets als "lekker veel opereren" (zoals in Duitsland) dan moet je dat bij de financiering van de medische sector aanpakken maar de verzekeraars staan er buiten.
Om de zorg kosten te drukken en te voorkomen dat zorg instellingen frauderen, heeft onze overheid er voor gekozen deze verzekeraars naast hun rol, van betalen ook de rol van controle te geven.

Om deze controle uit te kunnen voren, hebben ze ver gaande toegang.
Hoe ga jij een wachtlijstbemiddeling doen zonder medische gegevens en deze te delen met
andere zorgaanbieders? (Na expliciete gesproken toestemming)
Hoe pak jij PGB fraude aan zonder inzage in medische gegevens? (om indicatie te toetsen aan werkelijk verbruik)
Hoe ga je maatwerk zorg aanbieden aan klanten die niet in de standaard hokjes geplaatst kunnen worden?
Hoe ga je een nieuwe huisarts vinden voor iemand die bij verschillende huisartsen is geweigerd wegens wangedrag zonder inzage in de historie verzekerde?

Het niet/zeer beperkt mogen delen van medische gegevens is een serieuze kostenpost van ons zorgstelsel. Er kunnen miljarden op bespaard worden en veel betere zorg worden geleverd als er meer en beter samengewerkt kan worden tussen de keten partners.

Helaas zijn Nederlanders anaal met hun privacy richting overheid e.d. terwijl Facebook en Google wel alles mogen weten/delen/verkopen. Zolang de app maar gratis is en de hardware goedkoop hé ;)

Een fractie daarvan inleveren voor veiligheid of het in stand houden van onze verzorgingstaat ho maar |:(

[Reactie gewijzigd door eL_Jay op 4 april 2019 16:14]

Helaas zijn Nederlanders anaal met hun privacy richting overheid e.d. terwijl Facebook en Google wel alles mogen weten/delen/verkopen
Dat is een serieus probleem maar wel een ander probleem.
Het niet/zeer beperkt mogen delen van medische gegevens is een serieuze kostenpost van ons zorgstelsel.
Vergeet niet zorgverzekeraars commerciele martkpartijen met een winstoogmerk zijn. De genoemde mogelijke kostenbeparing zou vereisen dat we de zorgverzekeraars weer tot door de overheid gecontroleerde ziekenfondsen maken, zodat de burger er greep op heeft. Zoals een autoverzekeraar alleen je statistische data als geslacht, leeftijd en schadevrije jaren gebruikt om een premie te bepalen hoort dat ook zo te zijn voor een commerciele zorgverzekeraar.
Van die andere punten die je opnoemt vraag ik me serieus af of die wel op de juiste plek ondergebracht zijn bij de commerciele zorgverzekeraars.
of een onafhankelijke instantie maken die de data krijgt van de verzekeraars en deze dan kan vergelijken met de medische gegevens.

Op die manier hebben de verzekeraars geen inzicht in de medische gegevens.
Lijkt me nogal een no-brainer.

De huidige situatie is nogal vreemd.
Nee, dat is niet zo...lang niet alle zorgverzekeraars zijn commerciele marktpartijen met een winstoogmerk.
Zo is Menzis een stichting zonder winstoogmerk. VGZ ook (geloof ik). Dat wil zeggen dat Menzis (en anderen) geen winst maken. Mocht er winst gemaakt worden, dan wordt dit gebruikt om bijvoorbeeld de reserves op te hogen (solvacy II), de premies laag te houden (teruggave door de premie minder te verhogen dan ze eigenlijk zijn) of maatschappelijke projecten waar in deelgenomen wordt.

Uberhaupt bestaat een zorgverzekering uit 2 delen: De basisverzekering en de aanvullende verzekering. De basisverzekering wordt gereguleerd door de overheid, de aanvullende verzekeringen zijn pakketten die wél door de zorgverzekeraars gereguleerd worden.

Medische gegevens/dossiers in dit concept is abstract. Niemand bij een zorgverzekeraar kan b.v. bij jouw doktersdossier of ziekenhuisdossier.
Wél heeft een zorgverzekeraar natuurlijk inzage in declaraties die gebeuren, machtigingen die aangevraagd worden, etc.
Wat er bij Menzis gebeurt lijkt te zijn, is dat een afdeling die niet bij de declaratiegegevens zou mogen door de AVG wet, daar toch een bepaalde toegang voor had (of wel: een autorisatie fout). Hoewel ze geen gebruik hebben gemaakt van die toegang, konden ze het blijkbaar wel en daarvoor is een dwangsom opgelegd.
AngryMartian in 'nieuws: Medewerkers Menzis hadden onterecht toegang tot medi...

Er zijn ook mensen die de titel verzekeringsarts met zich mee dragen, dit zijn mensen die deze gegevens juist wel in moeten kunnen zien maar net als van andere medische professionals wordt verwacht de privacy van hun 'patiënten' te respecteren. Hun patiënten in dit geval zijn de verzekeringsnemers van wie zij het dossier controleren.
dan vindt ik dat zij die toestemming moeten verkrijgen van de zorgvrager. En in geval van betwisting omwille van welke reden dan ook via een rechterlijke toets. Niet zomaar in dossiers liggen duiken.
Maar hoe zou een verzekeraar iets kunnen betwisten zonder eerst een indicatie daarvoor van hun verzekeringsarts te hebben ontvangen?

En zoals ik al aangaf, een verzekeringsarts heeft net als elke andere arts een plicht om te zorgen voor de privacy van zijn patiënten.

@icecreamfarmer ik kan mij vergissen maar volgens mij heb je wel het recht om op te vragen wie er in jouw dossier kijkt ( tenzij dit een lopend onderzoek naar fraude in gevaar zou kunnen brengen ). Weet het niet zeker, maar je hebt wel het recht om van elke instantie inzage te krijgen in de informatie die zij van jou hebben dus zo vergezocht zou ik het niet vinden om inzage te vragen in wie er toegang hebben gehad tot jouw patiëntendossier.
op dezelfde manier waarop dat gebeurt bij een ongeval (België). Er is reden tot twijfel -> mijn toestemming, geef ik die niet dan ga je maar naar de rechter. Verder kan de arts bij enige twijfel dat doorgeven -> betaling wordt (tijdelijk)stopgezet en ik wordt uitgenodigd tot een gesprek / onderzoek. (waar ik weeral mee doe wat ik wil) waarna de arts zijn conclusie kan trekken.

Als een zorgverstrekker moet kunnen aangeven waarom die in je dossier moet zijn, als dat volledig opgevolgt moet kunnen worden (met triggers! als die die toestemming niet heeft noch de noodzaak (welke eenheid lig je, welke kamer, is dat wel jouw sector, ...), en zo is het in sommige landen / instellingen) dan lijkt het me de normaalste zaak van de wereld dat dat bij de verzekeraar minstens even goed moet zijn.

Let wel, ik kom uit België, dus sommige ervaringen en regels zijn hier nu eenmaal anders :-).

[Reactie gewijzigd door white modder op 4 april 2019 18:46]

Dit idd. En als ze het doen wil ik kunnen zien wie er allemaal in is geweest want ik vertrouw ze er niet mee.
Naar mijn weten zou dat zijn om fraude tegen te gaan: https://www.privacybarome...ers_door_zorgverzekeraars Al was dat met een olifant schieten op een mug.

Alleen lees ik net dat dit toch niet doorgegaan zou zijn omdat de eerste kamer uiteindelijk tegen was (al zullen ze akkoord gaan na wat aanpassingen). Het vreemde is dat de AP niets zegt over toegang tot een volledig dossier - enkel behandelcodes: https://www.autoriteitper...zondheid/zorgverzekeraars

Nu zit ik dus met dezelfde vraag als jij. Die wet is er blijkbaar niet door. Hoe komen ze dan aan die dossiers en waarom mogen ze die hebben...?

[Reactie gewijzigd door WhatsappHack op 4 april 2019 14:14]

Hoe weet je anders wie je niet wilt verzekeren als ze weggaan en niet meer terug komen?

Of gewoon mensen stoppen met verzekeren als je ziet dat ze een bepaalde dure ziekte oplopen.
Dat zie je toch ook gewoon aan de factuur? Daar heb je toch geen medische gegevens voor nodig?
Iets eenmaligs is aanvaardbaar, maar iemand die alleen maar een kostenpost zal zijn totdat hij doodgaat...... Ik weet niet of dat je dat zo 1 2 3 op een factuur ziet staan.
Maar dat zie je toch ook niet in een medisch dossier? Daarin wordt toch niet aangegeven welke ziekten je allemaal nog gaat krijgen? Maar of je bijvoorbeeld kanker hebt, dat kan een zorgverzekeraar echt wel zien. Als ik de facturen van mijn zorgverzekering bekijk dan staat daar redelijk nauwkeurig bij welke kosten er zijn gedeclareerd.
In Nederland is er een acceptatieplicht voor het basispakket. Dus geen enkele verzekeraar mag je weigeren als je een 'normale' zorgverzekering aanvraagt of uit de verzekering zetten als je 'te duur' bent. Dus hetgeen je suggereert slaat nergens op.
Voor de basisverzekering mag je niemand weigeren (basisverzekering is overheid gereguleerd)
Voor de aanvullende pakketten zou je mensen onder bepaalde voorwaarden mogen weigeren (Av's zijn van de verzekeraars zelf), maar de meer maatschappelijk betrokken verzekeraars laten dat wel uit hun hoofd.
In de regel wordt je alleen uit de AV's gezet als je zware betalingsachterstanden hebt.
De Basisverzekering kan nooit éénzijdig worden beeindigd. Wél kan het zo zijn dat je, vanwege betalingsachterstanden, wordt aangemeld bij het Zorginstituut Nederland, die dan de premiebetaling en inning over gaat nemen. De verzekerde betaald aan hen dan wel een hogere premie (overheids bepaald)
Dat weet ik, maar dat kan altijd veranderen.
klopt, dat zou kunnen, maar dan ligt het hele sociale verzekeringsstelsel compleet op zijn gat.
Het is juist die basisverzekering die voor iedereen geldt, die het hart is van het stelsel. Als dat weg zou vallen, zou je eigenlijk alleen de vroegere 'particuliere' verzekeringen overhouden en dan zouden hele groepen mensen zich wss niet meer, of alleen erg duur, kunnen laten verzekeren.
Ik denk niet dat dat in NL realistisch is...(dan zijn we wel erg ver heen met zijn allen haha)
Kijk naar de huidige politiek, ik denk dat ze dit allemaal willen, maar weten dat ze het er nog niet doorheen kunnen duwen.
Waarom hadden ze uberhaupt daar toegang toe? De verzekeraar of elke niet zorgverlener zou daar nooit toegang toe moeten hebben.
Dat is tegenwoordig verplicht dacht ik? Het medische beroepsgeheim is wat dat betreft opgeheven. Verzekeraars moeten op verzoek volledige toegang krijgen tot een compleet dossier. Dat was zogenaamd heel hard nodig om een extreem laag aantal gevallen van fraude op te lossen, maar het bleek voor zover ik me kan herinneren eigenlijk ordinair zakkenvullen te zijn voor de minister en haar man.

Ik kan me alleen niet herinneren of de eerste kamer nu wel of niet had ingestemd. Ga het eens opzoeken.

-edit- Nee, eerste kamer niet akkoord. Dan snap ik niet hoe ze aan dossiers komen. Maar aan een andere post te zien gaat het hier ook niet om complete dossiers.

[Reactie gewijzigd door WhatsappHack op 4 april 2019 14:19]

De fraude in de zorg zit idd niet daar.
Alleen mensen met de juiste bevoegdheden zouden daar toegang tot moeten krijgen. Maar ik ben het helemaal met je eens.
Naar mijn mening bestaan die niet bij een zorgverzekeraar.
Ze moeten declaraties kunnen ontvangen en meer niet.
Naar mijn mening bestaan die niet bij een zorgverzekeraar.
Ze moeten declaraties kunnen ontvangen en meer niet.
Het jaarverslag waar Tubantia naar verwijst heeft het over "persoonsgegevens betreffende de gezondheid", niet over medische dossiers, dat is wat ze er zelf van maken. Declaraties vallen wel degelijk onder dat soort persoonsgegevens.
Eens. Ik vraag me ook af waarom dit nodig zou zijn. Daarnaast neem ik aan dat artsen, ziekenhuizen deze toegang hebben toegestaan. Als dat zo is, waarom?
De declaraties geven ook aan waarvoor er gedeclareerd wordt. En die moeten gecontroleerd kunnen worden of iets wel of niet verzekerd is, al dan niet aanvullend.

Als je weet wat iemand declareert (of heeft gedeclareerd, bijvoorbeeld controle dubbele declaraties), kan je vaak ook een ziektebeeld afleiden.
Dat snap ik maar in een medisch dossier staat vaak wel wat meer info dan alleen een code.
Sterker nog; veel ziekenhuistrajecten zitten in zogenaamde DBC's. Dat zijn zeg maar behandelstraten die je in een ziekenhuis aflegt voor bepaalde aandoeningen. Bijvoorbeeld (ik noem maar wat, weet niet of dit een bestaande DBC is)...je komt binnen met een gebroken been...dan zou er een DBC kunnen zijn waarin de volgende vergoedingen zit:
- artsenbezoek -> rontgenfoto -> gipskamer bezoek -> uitlenen hulpmiddelen...enz, enz...
Nogmaals, of deze bestaat weet ik niet, maar dit is even een hele simpele weergave van wat een DBC zou kunnen zijn. Ben je langdurig ziek of heb je veel behandelingen nodig (b.v. kanker), dan kan het zijn dat er een DBC voor is die vele, vele malen langer is.
Het ziekenhuis krijgt dus voor een heel behandeltraject in 1 x betaald, ongeacht of zij inhoudelijk van de DBC afwijken of niet, de vergoeding blijft hetzelfde...
Bijna Goed,

Een DBC staat voor Diagnose, Behandeling en Controle.
Er is een getal voor bepaalde controles, bepaalde behandelingen en bepaalde controles.
Een acute blindedarmontsteking is bijvoorbeeld (fictief):
14720;47231;09092
En een hersenbloeding:
14720;47231;18023
De combinaties zijn zo fijnmazig dat alleen al dor de DBC combinatie de verzekeraar precies weet wat jij hebt/had. Ja er zijn combinaties die voor 2 of 3 behandelingen staan, maar dan is optie 1 alleen van toepassing op baby's, 2 op tiener meisjes en 3 op mannen boven de tachtig. En verzekeraars weten je geboortedatum....

De getallen zijn namelijk toegekend zonder logica. diagnose voor luieruitslag kan hetzelfde getal hebben als de diagnose voor grijze staar.
ahhh dank je voor de extra uitleg :)
Zo zie je maar weer; klok klepel blijft een moeilijk verhaal. Ik dacht dat een DBC daadwerkelijk synoniem stond voor 1 bepaald behandeltraject.
Fijn dat je het even extra uitlegt!
Tot niet zo heel lang geleden deden ze dat ook, toe kwam naar boven dat daar veel fraude mee was en kreeg de verzekeraar de plicht (!) controle uit te oefenen. Ik vind dat niet gek, tenslotte betalen ze met ons geld en willen we dat daar goed mee omgegaan word.

Hoe zou volgens jou een verzekeraar anders moeten checken of een behandeling wel uitgevoerd is? Of checken of de behandeling wel zinvol is? Of dat de een behandeling zin heeft gehad? Gewoon alle behandelaars op hun blauwe ogen geloven?

Uitsluitend de code doorsturen is hetzelfde als de rekening sturen, niet voldoende om ook maar enige controle uit te oefenen. Als je het daar niet mee eens bent moet je bij de politiek zijn en vragen of er nieuwe grote Medische Fraude Politie of iets dergelijks opgericht kan worden die die controle taak overneemt.

[Reactie gewijzigd door falconhunter op 4 april 2019 15:15]

Of een behandeling is uitgevoerd kunnen ze aan de patient vragen. Sterker nog sommige patienten rapporteerden niet bestaande behandelingen en daar werd niets meegedaan.

Of een behandeling zinvol is of heeft gewerkt daar hebben ze niets mee van doen. Al zouden ze dat ook aan de patient kunnen vragen samen met een kwaliteitsmeting.
Dat lijkt mij zinniger dan lopen grasduinen in vertrouwelijke medische dossiers waarvan nu uitkomt dat ze daar niet mee om kunnen gaan.

Overigens heb ik afgelopen week nog gelezen dat de meeste fraude anders van aard was dan spookbehandelingen.

Zie: https://www.privacybarome...ers_door_zorgverzekeraars

[Reactie gewijzigd door icecreamfarmer op 4 april 2019 15:53]

Een patient ziet onmogelijk alle handelingen die gedeclareerd worden.
Zo zie jij wss ook niet dat er ieder kwartaal een bedrag naar je huisarts wordt overgemaakt (tariefhonorarium ivm jouw inschrijving).
Als jij een auto koopt, zie je ook niet de afzonderlijke rekeningen voor ieder boutje, moertje enz...

Tuurlijk zit er een deel in wat je wel kunt zien. Als jij niet naar een fysiotherapeut bent geweest en er is er 1 die op jouw naam declareert, dan kun je dat aangeven en wordt dat onderzocht. Het is echter niet een kwestie van 'gewoon ff terugboeken'. Er moet wel een gedegen onderzoek plaatsvinden naar eventuele fraude.
Dat van de huisarts zie ik gewoon bij mijn zorgverbruik declaraties staan. Precies die omschrijving ook.
Dat nemen ze maar voor lief. Tevens zegt zo'n dossier ook niets want als je slim fraudeert type je het daar vaag bij.

Uit mijn medisch dossier horen ze gewoon weg te blijven.
Een verzekeringsarts heeft ten alle tijden toegang tot jouw medische gegevens, of jij dit nu wilt of niet.

Nou ja, je kan altijd je verzekering opzeggen natuurlijk ;)
Daar heb ik geen toestemming toe gegeven.
Een verzekering zal niets doen zonder dat het in de kleine lettertjes staat.

(Al is het vaker zo dat ze juist iets niet doen, omdat een bepaalde dekking in de kleine lettertjes is uitgesloten.)
Je bent verplicht ene verzekering te hebben en kunt er dus niet onder uitkomen.
Dat ligt er dus aan. Ik heb zelf zes jaar bij een zorgverzekeraar gewerkt, en bij vragen over het eigen risico bijvoorbeeld, kon ik toch in de declaratie geschiedenis van de zorgverlener. Nu ging het daarbij om algemene gegevens, maar op basis van de gedeclareerde zorg codes kon je wel echt achterhalen wat er behandeld was.

Sowieso moet de verzekeraar weten wat zij betalen aan de zorgverlener. Alleen al op dat punt moeten ze inzicht hebben
Nee dat ze de dbc codes ontvangen snap ik er moet natuurlijk gedeclareerd worden en fraude moet bestreden worden. Maar volledige toegang tot een zorgdossier lijkt mij hiervoor nogal onnodig.

Het systeem van de zorgverlener moet alleen de dbc codes sturen naar de verzekeraar. Dat moet compleet gescheiden zijn van de rest van het dossier.
Het systeem van de zorgverlener moet alleen de dbc codes sturen naar de verzekeraar. Dat moet compleet gescheiden zijn van de rest van het dossier.

Maar dat is het dus niet! bron: https://www.zorgictzorgen...dat-nou-met-die-rom-data/

Uit bovenstaande:

Herleidbaarheid

Vaak vergeet men dat naast het geboortejaar, geslacht en postcode, ook nog andere tot een patiënt herleidbaar kenmerk meegezonden wordt naar de SBG. Op basis van het koppelnummer (identificerende interne unieke code van een cliënt) en/of het zorgtrajectnummer en/of het DBC-behandeltrajectnummer die ook in de SBG-aanlevering van ROM-data meegestuurd worden, zijn cliënten ook terug te vinden. De SBG geeft verder aan dat het zorgtrajectnummer hetzelfde kan zijn als het zorgtrajectnummer dat wordt aangeleverd bij DIS . Het is uitermate waarschijnlijk, dat dit bij de meeste softwareleveranciers ook op deze manier geïmplementeerd is. Hetzelfde zal ook gelden voor het DBC-trajectnummer. Van belang is ook te weten dat via Vecozo ook het patiënt(identificatie)nummer dat veelal (veelal gelijk aan het koppelnummer) en het zorgtrajectnummer aan de zorgverzekeraar aangeleverd worden. Gegevens van Vecozo, DIS en SBG zijn dus gewoon aan elkaar te koppelen, mocht iemand op de een of andere manier aan deze bestanden komen.

Codes verwijderd?

In de SBG-specificaties is verder nergens aangegeven dat zij deze uniek identificerende codes na ontvangst verwijderen. Integendeel, SBG geeft aan deze informatie juist nodig te hebben om ROM-gegevens aan eenzelfde zorgtraject te kunnen koppelen bij bv een vervolg-DBC. Als deze informatie dus in de gegevensverzameling van SBG opgenomen is, is dit gewoon de manier om cliëntgegevens te kunnen traceren en is het dus ook mogelijk op basis van deze kenmerken de cliënt het recht om verwijderd te mogen worden te laten effectueren. Iets waarover SBG zegt dat het niet uitgevoerd kan worden.

*edit: aanvulling.

[Reactie gewijzigd door Elmo_nl op 4 april 2019 15:56]

Waarom hadden ze uberhaupt daar toegang toe? De verzekeraar of elke niet zorgverlener zou daar nooit toegang toe moeten hebben.
Hanlon's scheermes zegt dat als iets verklaard kan worden met zowel kwade opzet als domheid, dat die laatste het meest waarschijnlijk is.
"Schrijf nooit aan kwade opzet toe wat afdoende verklaard kan worden door domheid."
Oh dat geloof ik wel maar ik snap in de eerste plaats al niet waarom ze toegang hebben gehad.
Muziek in de oren van diverse tech bedrijven. Was de wereld maar zo mooi. Occam’s scheermes is een goeie, die van Hanlon is gewoon naïef.
Of..

AngryMartian in 'nieuws: Medewerkers Menzis hadden onterecht toegang tot medi...
En ze moeten die declaraties maar gewoon altijd uitkeren? Er zijn niet iets als verzekeringsvoorwaarden? Er wordt nooit fraude gepleegd, niet door verzekeraars maar door verzekeringsnemers of juist uitvoerende instanties die behandelingen in rekening brengen die niet uitgevoerd zijn ( of andere behandelingen dan gespecificeerd ).

Nee, verzekeraar hoort toegang te hebben tot je patiëntendossier, alleen niet zomaar elke werknemer van een verzekeraar zou dit moeten kunnen. Een verzekeringsarts moet dit wel kunnen bijvoorbeeld.
Schandalig dat ze er zomaar bij konden komen. Stel iemand had wel kwade bedoelingen of wilde even een zakcentje verdienen, dan konden ze het mooi doorspelen naar de buitenwereld.
Even een aluhoedje opzetten: wie zegt dat dat niet gebeurd is?
Als het goed is zijn verzekeraars verplicht een logging bij te houden wie wanneer toegang heeft gehad bij de systemen. Dat zou daar dus uit moeten blijken :) Een last onder dwangsom is inderdaad overigens geen boete, maar een last onder dwangsom. Het verschil is de intentie. Een boete is bestraffend en een dwangsom corrigerend. Een boete en een dwangsom kunnen dus beide tegelijkertijd worden opgelegd. Het ne bis idem beginsel gaat hier niet op omdat de strekking niet eenzelfde is.

[Reactie gewijzigd door WouterL op 4 april 2019 13:46]

De wantrouwenden onder ons zouden zich hard op kunnen afvragen dat als de dossiers (redelijk) eenvoudig zijn in te zien waren en de zorgorganisatie onvoldoende maatregelen nam om het lek tijdig te dichten, hoe waterdicht/correct/betrouwbaar die logging dan is?
Hoe waterdicht de logging is/was kan ik natuurlijk geen uitspraak over doen. Dat zal een technisch verhaal zijn. Of het één ook invloed heeft op het ander is lastig te bepalen.

[Reactie gewijzigd door WouterL op 4 april 2019 13:53]

Ik geloof ook best dat dat twee losse zaken zijn. Misschien dat de aluhoedjes onder ons daar weinig vertrouwen in hebben. Ik geloof wel dat de diverse aanbieders hard hun best doen om alles veilig proberen te regelen voor hun klanten. Grote lekken bij zorgverzekeraars zijn bijzonder slecht voor de omzet.
Nou, dan hap ik wel als aluhoedje drager: We hebben in een jaar tijd blijkbaar weinig geleerd.

Weten we dit nog? https://www.ad.nl/show/gl...cultuurprobleem~aaf028e1/

- Niemand is ontslagen.
- We beloven dat dit soort zaken in de nabije toekomst niet meer kunnen, echt!
- En als het dan toch mis gaat: "Tja, we kunnen er weer van leren, het zal nooit meer gebeuren!" ga terug naar stap 1 hierboven...

Uit het artikel: "Ik kan er nog niet veel over zeggen, maar we hebben een handhavingsverzoek ontvangen vanwege ongeoorloofde toegang tot data bij meerdere verzekeraars, waaronder Menzis." Het probleem is blijkbaar veel groter dan "alleen" Menzis.

En nu? Kunnen getroffen patienten a.d.h.v. GDPR/AVG vragen alle over hen opgevraagde data inzichtelijk te maken, en dan te laten verwijderen bij deze verzekeraars?
Soms worden er dingen gedaan! Goeie vriend van mij werkt bij een bedrijf dat slachtoffer was van Cryptolocker achtig iets. Nu hebben ze daar military grade IT security. Ze worden helemaal gek, maar wel veilig!
En wie zegt dat die logging wel goed werkte? :P
Dan heeft je alu hoedje er denk ik ook eentje op :p

Zeker weten doe we dingen natuurlijk nooit. Goede afspraken maken en maatregelen treffen is hetgeen ons rest.
Uiteraard.
Ik ben bedoel gewoon, er wordt op de vingers getikt omdat toegang mogelijk was. De structuur is dus niet OK.
En dan wordt er gezegd: er is niets mee gebeurd, want onze structuur voorkomt dat. Ah, hoe zeker kan je daar dan van zijn als bewezen is dat er problemen zijn met de beveiliging?
Toch niet zo overdreven alu-boerka? :+
Een boete is bestraffend en een dwangsom corrigerend
Op deze manier (omdat Menzis de last onder dwangsom heeft moeten betalen), klinkt dat behoorlijk als "potato, potato"...

Echter, na enig zoekwerk online denk ik dat het me zo duidelijk is:
- Een boete leg je achteraf op om te bestraffen voor dingen die iemand in het verleden heeft gedaan voor degene die de boete oplegt er achter is gekomen.
- Een last onder dwangsom zegt: "Stop er mee (of evt.: Begin er niet aan), want als je niet stopt (of toch begint), dan pas moet je ons gaan betalen"

Het grote verschil is dus dat een last onder dwangsom je de kans geeft 'gratis' te stoppen met het ongewenste gedrag, een boete met een ontsnappingsclausule. En zo te lezen heeft Menzis toch moeten betalen omdat ze na het opleggen van de maatregel niet op de juiste manier heeft gehandeld. Niet te laat, wel 'onvolledig en onzorgvuldig'.
dat je een log hebt, daar twijfel ik niet aan. Maar wie controleert die log? Die wordt wss enkel bekeken als er iets bekend geraakt . Een log an sich sluit niets uit en komt in de meeste gevallen te laat, beter een trigger met controlemechanisme

pt A brengt factuur binnen, alleen persoon B van verzekeraar C mag dit inkijken, hij heeft hiervoor toestemming verkegen (hoewel dat laatste blijkbaar niet moet) van A. C heeft vragen en vraagt aan D om even na te kijken en deze raadpleegt het dossier, deze krijgt een waarschuwing dat hij hiervoor geen toestemming heeft maar kan overrulen -> trigger naar externe controleur E. Dan Kan D en C zich verantwoorden.

Maar los toegang krijgen (en ondertussen loggen) lijkt me niet afdoende.

edit:
typo

[Reactie gewijzigd door white modder op 4 april 2019 15:34]

De AP. Derde regel van het artikel.
Nee, zo werkt bewijsvoering niet.
Nee, zo werkt bewijsvoering niet.
Waarschijnlijk heb je teveel detectives gezien op tv en verwar je dit met strafrecht.
Het is gewoon logica.
Als je iets niet kunt bewijzen betekent het niet dat het niet heeft plaatsgevonden.
Autoriteit Persoonsgegevens verspreid zeker nep nieuws dan of iets dergelijks?
Zoals @WouterL hieronder aangeeft heeft de AP vast een protocol gevolgd om vast te stellen wat er gebeurt is en zal zo'n uitspraak niet zomaar worden gedaan.
Correct, ik weet het niet met zekerheid, maar ik kan wel wijzen naar de meest waarschijnlijke casus. De meeste mensen zijn niet zo wantrouwend tegenover 'nieuws'.
Je moet juist heel goed opletten bij teksten die door bedriijven en hun legertje juristen en advocaten zijn gemaakt.
Ik probeer een gezonde scepsis te houden bij nieuws berichten, maar heb geen zin om steeds mijn alu hoedje uit de kast te halen. Het is niet echt makkelijk om te bepalen wanneer het wel tijd wordt om hem te pakken, zelfs stellingen waar ik heilig in zou geloven niet zo lang geleden worden door nieuwe perspectieven ( met feitelijke onderbouwing ) toch aardig aan het wankelen gebracht.
Dat zou mooi balen zijn en zou ik nog meer schandalig vinden als het daadwerkelijk ook gebeurt is.
Wie zegt dat het wel gebeurd is? Zet je hoedje maar weer af.
En aan wie had je die gegevens dan willen verkopen? Ik ben het er helemaal mee eens dat dit een fout is en dat het goed is dat het nu verholpen is maar je moet je in vreemde bochten wringen om er commercieel baat in te zien.

Iedereen die de gegevens zou gebruiken weet dat die zwaar illegaal zijn en als je gepakt word zijn de gevolgen enorm. Je hebt dan niet meer te maken met de AP maar met justitie en de mogelijke straffen enorm. Een verzekeraar zou bijvoorbeeld zijn vergunning verliezen en dus failliet zijn. Een werkgever zou enorme boetes krijgen en niemand zou meer voor hem willen werken. Voor een firma als Facebook hebben de gegevens al helemaal weinig waarde want reclame voor geneesmiddelen (gericht op de gebruiker) is bijzonder ongebruikelijk.

Nogmaals, het is prima dat dit is aangepakt, maar tweakers zien wel vaak beren in het bos die er waarschijnlijk niet zien en voor de discussie is dat dodelijk.
Ik weet dat dit een beetje appels met peren vergelijken is maar dit is hetzelfde wat er bij de politie is gebeurt. Iemand had toegang tot data en speelde het door aan criminelen. Nou ging het daar om andere data en hoogstwaarschijnlijk data die nog veel beter beschermd is maar stel je hebt er 1 persoon tussen zitten die kwaad wilde doen en een extra centje bij wilde verdienen. Die persoon ziet door de bomen het bos niet meer en doet er dan alles aan om zo snel mogelijk van die data af te komen. Hij hoeft alleen maar de "Juiste" (Om het zo maar even te verwoorden) persoon te vinden die raad weet met de data en er kunnen nare gevolgen optreden.
Maar ik snap wat je bedoelt hoor, daar niet van haha.
Verbaasd me niks , had dat al lang aan zien komen , lang leve privatisering
We moeten gewoon weer terug naar 1 zorg instantie
Dat geldt natuurlijk ook voor diegene die er wel rechtmatig bij kunnen.
De de kop en het artikel (en Tubantia) hebben het over "medische dossiers," de bron zegt het volgende:
Naar aanleiding van een onderzoek bij Menzis eind 2017, constateerde toezichthouder AP dat Menzis onvoldoende toezag op wie er binnen onze organisatie toegang had tot persoonsgegevens betreffende de gezondheid. Gebleken is dat enkele medewerkers onnodig toegang hadden tot deze gegevens.
Dit zijn in mijn ogen nog al verschillende dingen. Medische dossiers zijn dingen die door artsen worden bijgehouden over patienten, "persoonsgegevens betreffende de gezondheid" is veel breder dan dat. Het zou daarbij ook kunnen gaan over declaratiegegevens, iets waarvan het niet meer dan logisch is dat deze bekend zijn bij een zorgverzekeraar (hoe moeten ze immers anders uitkeren), terwijl medische dossiers uitsluitend bij de zorgverlener zouden moeten liggen. Natuurlijk is het uitermate slordig (om het zacht uit te drukken) dat er medewerkers zijn geweest die toegang hadden, terwijl dit voor hun werk niet nodig was.

[Reactie gewijzigd door the_shadow op 4 april 2019 13:47]

Als het enkel om behandelcodes gaat, dan is het inderdaad een compleet ander verhaal. Bij “medisch dossier” denk ik ook aan je volledige historie, notulen van privégesprekken met de arts, behandelverslagen, (lab)resultaten en noem het maar op.

Enkel behandelcodes is idd heel anders. Dan is het slordig, maar een minder groot probleem. Ik snapte al niet hoe ze legaal aan complete medische dossiers konden zijn gekomen.
Een beetje cherry-picking in je betoog, want je gaat voorbij aan de vetgedrukte eerste alinea: "Zorgverzekeraar Menzis heeft een boete gekregen van 50.000 euro van de Autoriteit Persoonsgegevens (AP) omdat onbevoegde medewerkers toegang hadden tot medische dossiers van klanten."

Bovendien ga je er wel erg makkelijk van uit, dat 'persoonsgegevens betreffende de gezondheid' iets heel anders is dan een medisch dossier. Vroeger had je ook een 'Verklaring van goed gedrag.' Dat hebben ze toen wat neutraler omgetoverd naar 'Verklaring omtrent gedrag.' Maar het betreft nog steeds hetzelfde.
Dat was zijn punt toch juist? Tweakers en Tubantia zeggen dat wel (en Tubantia is wat jij nu citeert), maar de originele bron (het Menzis jaarverslag) zegt dat dus niet. Dat laatste is wat hij citeert. Tweakers baseert zich op Tubantia en Tubantia lijkt zich te baseren op het artikel van Menzis zelf. Maar ergens is "medische gegevens" (kan enkel behandelcodes zijn, dat lekt weliswaar privédetails maar is véél minder erg dan een compleet dossier) vertaald naar "medische dossiers" (impliceert volledige toegang tot het hele dossier.).
Ik cherry pick totaal niet. Ik ga uit van de originele bron, zijnde het jaarverslag van Menzis, niet de interpretatie hiervan door Tubantia. In het jaarverslag wordt geen woord gerept over medische dossiers, maar staat uitsluitend het stuk dat ik quote.

Ik vind dan weer dat er erg makkelijk vanuit wordt gegaan dat het dan wel dossiers moeten zijn, terwijl dat niet het geval hoeft te zijn. Declaraties vallen onder de noemer persoonsgegevens, maar zijn geen medische dossiers. De eerste horen wel thuis bij een verzekeraar, de tweede niet.
Dit soort zaken zullen we de komende jaren alleen nog maar vaker gaan zien. Steeds meer gekoppelde systemen, ontwikkelaars en managers die security niet snappen en/of niet relevant vinden (of het gewoon maar best vinden als alleen mensen die 'per ongeluk' misklikken er niet in kunnen, omdat de mensen die hun best doen toch wel binnen komen).

Het wordt tijd dat patienten zelf meer zelfbeschikking krijgen over hun gegevens en bepalen wie wel en wie geen toegang krijgt. Nu lijkt het wel alsof iedere malloot bij medische dossiers kan komen, stagairs, zorgverzekeraar medewerkers.

Ik snap dat het in veel gevallen nodig is om bij het medische dossier te moeten kunnen van mensen, zeker als zorgverlener in een ziekenhuis, artsenpraktijk of soortgelijke situatie. Maar daarbij is het op zich niet verkeerd om patienten iets meer regie te geven over de toegankelijkheid van hun gegevens(als is het maar een alert dat hun dossier bekeken is).

[Reactie gewijzigd door Toolmaker op 4 april 2019 13:41]

Ik vraag me dan af in welke mate een zorgverzekeraar inzicht mag hebben in dat dossier, en wat ze dan moesten kunnen zien.

Ik heb zelf zes jaar bij een zorgverzekeraar gewerkt, en bij vragen over het eigen risico bijvoorbeeld, kon ik toch in de declaratie geschiedenis van de zorgverlener. Nu ging het daarbij om algemene gegevens, maar op basis van de gedeclareerde zorg codes kon je wel echt achterhalen wat er behandeld was.
Dat is wel zorgelijk... zijn er polissen geweigerd?
Olvg was toch ook in het nieuws paar maanden terug daar kon ook elke administratieve uitzendkracht overal bij. Zou aangepakt worden maar volgens studenten die daar werkten konden ze nog steeds overal bij. Tijd dat die ook bietes krijgen. Enige wat helpt. Bij sommige werkgevers hebben teveel mensen tot de hoofd database of een kopie ervan. even SQL querie erover en je hebt alle data zonder logging.
Een wonder dat dat niet eerder misging. Lees complete kopie gevoelige data op internet.
een dwangsom van 50000 euro.
dat is minimaal, is het 50000 per verzekerde persoon of totaal?
en hoeveel % van deze dwangsom wordt uitgekeerd aan de persoon wiens gegevens zijn geschaad???
Drie dingen:
1. € 50.000 voor Menzis is zoiets als € 5 parkeerboete voor illegaal parkeren in Amsterdam
2. Bij een ziektekosten verzekeraar zou helemaal niemand inzicht mogen hebben in mijn medisch dossier
3. Een ziektekosten verzekeraar zou helmaal geen medische dossiers mogen hebben

Ja, artsen moeten al met code's declareren waardoor de verzekeraar uiteindelijk precies weet waarom je naar een dokter gaat en wat je dus mankeert. Dat alles omdat we verzekeraars meer vertrouwen dan artsen 8)7


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True