Open brief aan de voorzitter van de Raad van Bestuur van VGZ

mevr. J. Berkelaar
(adres vertrouwelijk)

Coöperatie VGZ
de heer T. Kliphuis,
voorzitter Raad van Bestuur
Postbus 445
5600 AK Eindhoven

Datum: 21 september 2018
Betreft: VGZ-callcentermedewerkers in dienst bij datahandelaar Cendris, onderdeel van PostNL In kopie aan de voorzitter van de Raad van Commissarissen, de heer A. Levi

Geachte heer Kliphuis,

Recent heb ik gelezen dat VGZ werkt met callcentermedewerkers die in dienst zijn bij datahandelaar Cendris, dat onderdeel is van PostNL. De callcentermedewerkers mogen (deels) vanuit huis werken.

In een artikel van de correspondent van 13 oktober 2015 lees ik dat datahandelaren over veel gegevens van burgers en woonwijken beschikken en zij precies weten waar de juiste doelgroep zit voor een bepaald product. Zodoende krijgen bedrijven die deze gegevens kopen, een gedetailleerd inzicht in de karakteristieken van een doelgroep aan de hand van een groot aantal kenmerken op het gebied van bijvoorbeeld socio-demografie, koopgedrag en lifestyle. Het is niet ondenkbaar dat Cendris, al dan niet via VGZ, ook patiëntgegevens verzamelt om een gedetailleerd inzicht te verkrijgen in (patiënten)doelgroepen door deze te koppelen met de Cendrisdatabase en deze vervolgens weer te verkopen aan belanghebbende partijen zoals zorgverzekeraars. Deze gegevens zouden bijvoorbeeld door zorgverzekeraars gebruikt kunnen worden voor risicobeheer.

In het kader van het streven van zorgverzekeraars voor transparantie in de zorg, verzoek ik u vriendelijk mij te berichten:

*of het juridisch en IT-technisch geborgd is dat medewerkers van datahandelaar Cendris (beperkte) toegang hebben tot (een deel van de) dossiers van uw verzekerden. Ik lees in een vacaturetekst, waarin gevraagd wordt naar een customer service medewerker, dat het gaat om soms zeer persoonlijke onderwerpen

*of het juridisch en IT-technisch geborgd is dat externe medewerkers, zoals Cendris-medewerkers, vanuit een thuissituatie gegevens van uw verzekerden openen, dit in verband met risico’s op malware en/of het kopiëren van gegevens van verzekerden door Cendris-medewerkers. Zijn deze medewerkers verplicht om te werken op een laptop van VGZ die beveiligd is?

*of er derde partijen zijn, zoals Cendris-medewerkers, die werken met bijzondere persoonsgegevens (bijvoorbeeld BSN) en zo ja, of hier toestemming voor gevraagd wordt aan verzekerden?

*of het een bewuste keuze is om zaken te doen met datahandelaar Cendris die VGZ (in de toekomst) in staat zou kunnen stellen veel data over burgers te verzamelen. Zij zouden deze data bijvoorbeeld kunnen koppelen aan patiëntendata om een gedetailleerd overzicht te krijgen van een doelgroep in de gezondheidszorg, die gebruikt kunnen worden voor risicobeheer. Met andere woorden: worden er patiëntendata uitgewisseld met Cendris en/of ontvangt VGZ data van Cendris over burgers?

*aan te tonen dat u voldoet aan de maatschappelijke plicht, die voortvloeit uit de AVG, dat uw verwerkingen voldoen aan de regels van de AVG, met expliciete uitleg over de rechtmatigheid ervan en de doelbinding

*of u een verwerkingsregister heeft opgesteld en bijhoudt en of dit register bekend is bij de Autoriteit Persoonsgegevens; uw organisatie bestaat immers uit meer van 250 medewerkers.

*of u in zijn algemeenheid voldoende maatregelen heeft genomen om de persoonsgegevens van uw verzekerden te beveiligen door aan te tonen dat u hiervoor de juiste technische en organisatorische maatregelen heeft genomen. Heeft u een data Protection Impact Assessment opgesteld?

*of u een datalekprotocol heeft en of u een datalekregister bijhoudt en

*de verwerkersovereenkomst tussen VGZ en datahandelaar Cendris openbaar te maken.

Ik verzoek u vriendelijk mijn brief te beantwoorden vóór 5 oktober 2018.

Met vriendelijke groet,

mevr. J. Berkelaar,

verzekerde

2 gedachten over “Open brief aan de voorzitter van de Raad van Bestuur van VGZ”

  1. Top dat er mensen zijn, die zich zo verdiepen in deze materie. Voor de meeste verzekerden is dit totaal niet bekend. Zij worden niet geinformeerd, wat er met dossiers gedaan wordt en of er vertrouwelijk mee omgegaan wordt. Er is totaal geen sprake van transparantie.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *