Privacy Statement Zilveren Kruis Zorgkantoor
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens die iets over u of uw persoonlijke situatie zeggen. Soms gaat de informatie niet direct over u maar is deze wel tot u te herleiden. Ook dan spreken we over persoonsgegevens. Gegevens over bedrijven zijn geen persoonsgegevens. Gegevens over hun werknemers, individuele zorgverleners of klanten wel.
Officieel ligt de verantwoordelijkheid voor de uitvoering van de Wet langdurige zorg (hierna: Wlz) bij zogenaamde Wlz-uitvoerders maar in de praktijk heeft u te maken met regionale kantoren, de Zorgkantoren. Zilveren Kruis Zorgkantoor is één van deze zorgkantoren.
U bent automatisch verzekerd voor de zorg in de Wlz. Uw zorgverzekeraar zorgt ervoor dat u wordt aangemeld bij het juiste Zorgkantoor.
Wij gaan zorgvuldig om met uw persoonsgegevens en willen u hierbij uitleg geven over het gebruik van uw persoonsgegevens. Omdat de Zorgkantoren het belangrijk vinden dat zij de wettelijke regels op de juiste wijze nakomen, hebben zij hierover gezamenlijke gedragsregels opgenomen in de Gedragscode verwerking persoonsgegevens zorgverzekeraars. U vindt de huidige Gedragscode op de website van Zorgverzekeraars Nederland. Eén van de wettelijke privacyregels is de verplichting om transparant te zijn over hoe omgegaan wordt met persoonsgegevens van klanten. Zilveren Kruis Zorgkantoor doet dit in de vorm van dit privacy statement.
Regels en wetten voor privacy
Wij gebruiken uw persoonsgegevens in overeenstemming met de wetten en regels die hiervoor gelden, zoals:
- Algemene Verordening Gegevensbescherming (AVG)
- Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)
- Wet langdurige zorg (Wlz) inclusief Besluit en Regeling langdurige zorg (Blz)
- De Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars (GPVZ)
- Het Protocol Incidenten Waarschuwingssysteem Financiële Instellingen (PIFI)
- Gedragscode Persoonlijk Onderzoek (GPO)
- De Telecommunicatiewet (Tw)
Waarvoor gebruiken wij uw gegevens?
Om uitvoering te kunnen geven aan de Wlz, zijn persoonsgegevens noodzakelijk. Specifiek om u te kunnen identificeren nemen wij uw burgerservicenummer op in onze administratie, dit is een wettelijke verplichting.
Wij gebruiken uw persoonsgegevens voor uitvoering van de Wlz. Onder uitvoering van de Wlz vallen verschillende handelingen:
- bepalen of u verzekerd bent voor de Wlz;
- het opnemen van de door het Centrum Indicatiestelling Zorg (CIZ) afgegeven indicatie in de administratie;
- bepalen of u recht heeft op een persoonsgebonden budget (pgb);
- betalen aan de zorgaanbieder (al dan niet via een pgb) of aan u;
- de beoordeling of zorg op verantwoorde wijze kan worden verleend, zonder dat u verblijft in een instelling of met een persoonsgebonden budget;
- uitvoeren van controles, bestrijden van fraude;
- verhalen van schade op derde partijen;
- onderzoek onder verzekerden dan wel zorgaanbieders naar de kwaliteit van zorg,
- verbeteren van dienstverlening;
- behandelen van bezwaren
- het analyseren van (persoons)gegevens voor risicobeheersing (waaronder beheersing van zorguitgaven), zorgkostenraming, zorginkoopbeleid en het maken van zorgafspraken.
Zilveren Kruis Zorgkantoor kan ervoor kiezen om werkzaamheden uit te besteden. Zilveren Kruis Zorgkantoor blijft wel altijd verantwoordelijk voor het gebruik van uw persoonsgegevens. Voorbeelden van uitbesteding zijn de werkzaamheden die bijvoorbeeld Vektis namens het zorgkantoor verricht. Vektis ondersteunt zorgprofessionals, patiëntenorganisaties en overheidspartijen bij het verbeteren van de zorg en het toegankelijk en betaalbaar houden van goede zorg in Nederland. Vektis doet voor zorgkantoren analyses van declaratiegegevens. Soms verstrekt Vektis in opdracht van zorgkantoren die gegevens aan derden, vaak voor wetenschappelijk onderzoek of om aan een wettelijke verplichting te voldoen.
Voor de bescherming van de belangen van Zilveren Kruis Zorgkantoor, haar medewerkers, klanten en ook andere financiële instellingen verwerken we uw persoonsgegevens (waaronder in sommige gevallen ook strafrechtelijke gegevens) voor risicobeheersing en het voorkomen en bestrijden van fraude. In dit kader houdt Zilveren Kruis een Gebeurtenissenadministratie bij. De afdeling Speciale Zaken kan besluiten de persoonsgegevens uit de Gebeurtenissenadministratie op te nemen in een Intern Verwijzingsregister (IVR). Indien een gebeurtenis voldoet aan de criteria uit het Protocol Incidenten waarschuwingssysteem Financiële Instellingen (PIFI), neemt Zilveren Kruis de relevante persoonsgegevens op in een Incidentenregister (IR), en in voorkomende gevallen, het Extern Verwijzingsregister (EVR). Overigens beperken bovenstaande registers zich niet tot persoonsgegevens. Ook gegevens over zorgverleners worden in deze registers opgenomen. Door uw gegevens op te nemen in de bovenstaande registers kunnen we onder andere toetsen of u ooit fraudeerde of dit heeft geprobeerd. Uzelf of, indien u een zorgverlener bent, uw organisatie wordt op de hoogte gesteld van opname in een van de registers. Dit gebeurt in de meeste gevallen voordat uw gegevens in de registers worden opgenomen, tenzij openbaarmaking het onderzoek schaadt, dan wordt u na afloop van het onderzoek – bij continuering van uw registratie in het IVR, IR of EVR – op de hoogte gebracht.
Voor het uitvoeren van de Wlz is het noodzakelijk dat wij gegevens ontvangen en/of uitwisselen met anderen. Welke instanties dat onder andere zijn leest u hier:
- Zorgaanbieders: zorgaanbieders declareren de kosten van zorg bij ons;
- Centrum Indicatiestelling Zorg (CIZ) : het CIZ neemt het indicatiebesluit op grond waarvan u recht heeft op zorg die is opgenomen in de Wlz, het CIZ stuurt dit indicatiebesluit naar ons;
- Centraal Administratie kantoor (CAK): wij sturen aan het CAK de gegevens die het nodig heeft voor het vaststellen en innen van eigen bijdragen;
- Zorgverzekeraar: om te voorkomen dat zorg zowel op grond van de Wlz als de basisverzekering Zvw wordt betaald, en voor de onderlinge afstemming van de op grond van de zorgverzekering en de Wlz verzekerde zorg;
- Sociale Verzekeringsbank (SVB): de SVB ontvangt gegevens van ons voor de verzekerdenadministratie, bedoeld in artikel 35 van de Wet structuur uitvoeringsorganisatie werk en inkomen, en de betalingen ten laste van het persoonsgebonden budget en het daarmee verbonden budgetbeheer;
- Zorginstituut: om te voorkomen dat zorg zowel op grond van de Wlz als de basisverzekering Zvw wordt betaald en om rechtmatige en doelmatige uitvoering van de Wlz te bevorderen.
- Andere Zorgkantoren (niet Zilveren Kruis):Bij verhuizing van de verzekerde en voor bovenregionale zorgconsumptie (zorg buiten de regio van het Zorgkantoor).
- Toezichthouders: wij wisselen persoonsgegevens uit met toezichthouders (bijvoorbeeld Nederlandse Zorgautoriteit of de Autoriteit Persoonsgegevens) indien dit nodig is in het kader van de toezichthoudende taak. Dit is een wettelijke verplichting.
- Wij krijgen regelmatig verzoeken van bijvoorbeeld universitaire ziekenhuizen om persoonsgegevens (over gezondheid) te mogen gebruiken voor wetenschappelijk onderzoek of statistiek. Deze gegevens worden alleen verstrekt voor zover niet volstaan kan worden met anonieme gegevens, het onderzoek in het algemeen belang is, en toestemming vragen niet mogelijk was.
- In het Extern Verwijzingsregister worden de persoonsgegevens opgenomen van personen waarvan in voldoende mate vaststaat dat zijn gedragingen een bedreiging (kunnen) vormen voor de financiële belangen van (medewerkers van) ons of zijn verzekerden. Het Extern Verwijzingsregister kan worden ingezien door de deelnemers aan het Protocol Incidenten waarschuwingssysteem Financiële Instellingen.
Wij zijn extra voorzichtig met gevoelige gegevens
Wij ontvangen gegevens over uw gezondheid van zorgaanbieders en het CIZ. Gegevens over uw gezondheid zijn gegevens waar wij extra zorgvuldig mee omgaan. Wij gebruiken deze gegevens om te bepalen of u recht heeft op (de vergoeding van) zorg en de beoordeling of zorg op verantwoorde wijze kan worden verleend zonder dat de verzekerde verblijft in een instelling of met een persoonsgebonden budget. Voor zover dat nodig is, worden gegevens over de gezondheid ook gebruikt voor controle, het doen van fraudeonderzoek, verhaal op een derde en analyses voor zorginkoop en risicobeheersing.
De medisch adviseur van het Zorgkantoor is een in het register inzake Beroepen in de Individuele Gezondheidszorg (BIG) ingeschreven: arts, tandarts, fysiotherapeut, verloskundige, verpleegkundige, gezondheidszorgpsycholoog, psychotherapeut of apotheker. Het gebruik van gezondheidsgegevens valt onder verantwoordelijkheid van de medisch adviseur(s). De medisch adviseur heeft een wettelijke geheimhoudingsplicht. Iedere medewerker die gezondheidsgegevens gebruikt, valt onder de verantwoordelijkheid van de medisch adviseur, behalve voor wat betreft handelingen met een puur administratief karakter zoals het verwerken van declaraties van zorgaanbieders en het doorzenden en digitaliseren van post. De groep van medewerkers onder verantwoordelijkheid van de medisch adviseur, heet de ‘functionele eenheid’. De medewerkers in de functionele eenheid hebben daarbij dezelfde geheimhoudingsplicht als de medisch adviseur.
Geautomatiseerde verwerking aanvraag
Uw aanvraag doorloopt een zorgvuldig proces, waarbij toetsingscriteria gebaseerd op de Wlz worden toegepast op uw aanvraag. Het toepassen van deze criteria kan geautomatiseerd plaatsvinden. U krijgt altijd een bericht waarin de aanvraag wordt toe- of afgewezen. Daarin staat beschreven hoe u een bezwaar kunt indienen als u dat wilt.
Hoe lang bewaren wij uw gegevens?
Wij bewaren uw persoonsgegevens zolang deze nodig zijn voor het doel waarvoor uw gegevens in eerste instantie zijn gekregen. Dit betekent dat de meeste gegevens 7 jaar worden bewaard (met ingang van het volgende jaar dan het jaar waarop de gegevens betrekking hebben), met een aantal uitzonderingen.
-
Onderzoek medische gegevens
Hebben wij een onderzoek uitgevoerd, waarbij uw medische gegevens zijn gebruikt of zijn uw medische gegevens nodig voor toekomstig onderzoek? Dan bewaren wij deze zolang dat nodig is om het onderzoek uit te voeren en af te ronden, en daarna om onze rechten veilig te stellen. Bijvoorbeeld om declaraties terug te vorderen als zorg is gedeclareerd die niet verleend is.
- Fraude
Als wij uw gegevens hebben gebruikt in een fraudeonderzoek, bewaren wij deze gegevens in principe 8 jaar nadat het onderzoek is gesloten.
- Opnemen telefoongesprekken voor onderzoek en trainingsdoelen
Wij kunnen uw telefoongesprekken met ons opnemen. Dat doen wij om onze medewerkers te kunnen trainen en zo onze dienstverlening beter te maken. Deze gegevens bewaren wij 6 weken, tenzij opgenomen telefoongesprekken worden gebruikt bij het uitvoeren van fraudeonderzoeken.
- Bezwaren
Als wij uw gegevens hebben gebruikt in het kader van bezwaren bewaren wij deze gegevens 2 jaar nadat de procedure is afgerond.
Welke contactmomenten leggen wij vast?
Wij leggen vast wat wij met u afspreken. En we gebruiken onze contactmomenten om onze communicatie te verbeteren. Dit zijn bijvoorbeeld contactmomenten die we vastleggen:
- brieven en e-mails die wij sturen en van u ontvangen;
- telefoongesprekken en chats;
- wat u op onze websites doet en bekijkt;
In een (persoonlijk) onderzoek kunnen wij ook gegevens gebruiken van camerabeelden, van gegevens die wij over u op internet vinden en van telefoongesprekken of (video) chatgesprekken met onze collega’s.
Achmea B.V. is verantwoordelijk
Zorgkantoor Friesland is een handelsnaam van Zilveren Kruis Zorgkantoor N.V. en is een onderdeel van Achmea B.V. Achmea B.V. is verantwoordelijk voor een goede verwerking van uw persoonsgegevens.
Uw rechten
U heeft recht op inzage, rectificatie, gegevenswissing, beperking van het gebruik van uw persoonsgegevens, bezwaar en op het intrekken van uw toestemming. Hieronder kunt u lezen wat deze rechten inhouden.
Inzage
- U heeft recht op inzage in de persoonsgegevens die wij hebben en informatie waarvoor het die persoonsgegevens gebruikt.
- Vermeld in uw verzoek welke gegevens u wilt inzien.
Rectificatie
- U heeft recht op correctie (rectificatie) van onjuiste persoonsgegevens die op uw betrekking hebben.
- U heeft er recht op dat onvolledige persoonsgegevens volledig worden gemaakt, bijvoorbeeld door het verstrekken van een aanvullende verklaring.
- Vermeld in uw verzoek welke gegevens gecorrigeerd moeten worden en waarom.
Gegevenswissing
- U kunt het Zilveren Kruis Zorgkantoor vragen uw persoonsgegevens te wissen als volgens u één van de volgende gevallen van toepassing is:
- u heeft uw persoonsgegevens niet meer nodig;
- uw gegevens worden gebruikt op grond van uw toestemming, maar u trekt deze toestemming in;
- u maakt bezwaar zoals hierna omschreven, tegen het gebruik van uw persoonsgegevens;
- het Zorgkantoor mocht uw persoonsgegevens niet gebruiken;
- het Zorgkantoor was op grond van de wet al verplicht uw gegevens te wissen;
- het Zorgkantoor gebruikt uw gegevens voor social media.
- Vermeld in uw verzoek welke gegevens u wilt laten wissen en waarom u vindt dat wij dit moeten doen. Wanneer uw verzoek betrekking heeft op uw verzekering is het wissen van gegevens vaak niet mogelijk, bijvoorbeeld omdat wij deze gegevens nog nodig hebben, met inachtneming van de geldende bewaartermijnen.
Beperking
- U heeft er recht op dat het gebruik van uw persoonsgegevens wordt beperkt:
- in de periode die wij nodig hebben om vast te stellen of uw gegevens inderdaad gecorrigeerd moeten worden;
- als wij uw persoonsgegevens niet hadden mogen gebruiken, maar u wilt niet dat die gegevens worden gewist;
- in de periode dat u tegen het gebruik van uw persoonsgegevens bezwaar heeft gemaakt maar van ons nog geen antwoord heeft gekregen.
- Als het gebruik van uw persoonsgegevens wordt beperkt, hebben wij uw toestemming nodig om toch nog gebruik van die gegevens te mogen maken. Hierop zijn een aantal uitzonderingen. U persoonsgegevens mogen toch worden gebruikt:
- voor de uitvoering van de Wlz, omdat u verzekerd moet blijven en zodat uw zorgkosten kunnen worden betaald;
- voor het instellen, uitoefenen of onderbouwen van een rechtsvordering;
- ter bescherming van de rechten van een ander persoon of een rechtspersoon; of
- om redenen van groot algemeen belang voor de Europese Unie of een lidstaat van de Europese Unie, zoals volksgezondheid.
- Vermeld in uw verzoek waarom wij uw persoonsgegevens niet mochten gebruiken. Of voeg het verzoek tot beperking van het gebruik van uw persoonsgegevens toe aan een verzoek tot rectificatie of een bezwaar.
- Als u samen met het beroep op rectificatie of uw bezwaar ook een beroep op beperking van het gebruik van uw persoonsgegevens heeft gedaan, worden uw persoonsgegevens in deze termijn minder gebruikt.
Bezwaar
- Als uw gegevens worden gebruikt – maar niet voor de uitvoering van de Wlz - mag u daartegen bezwaar maken, als u daarvoor bijzondere persoonlijke redenen heeft. Vermeld in uw bezwaar om welke gegevens het gaat en wat de reden van uw bezwaar is.
Toestemming
- Als wij alleen met uw toestemming uw persoonsgegevens hebben gebruikt, dan mag u deze toestemming te allen tijde intrekken. De intrekking van uw toestemming heeft geen terugwerkende kracht. Het intrekken van uw toestemming heeft dus geen gevolgen voor al uitgevoerde handelingen.
- Vermeld bij uw verzoek welke toestemming u wilt intrekken.
Laat ons weten als u gebruik wilt maken van uw rechten
Als u een beroep wilt doen op één van de rechten die hiervoor genoemd worden, kunt u daarvoor een verzoek indienen via onze website.
We vertellen u dan binnen een maand wat we met uw verzoek hebben gedaan. Als uw verzoek erg ingewikkeld is, kan deze termijn met nog eens twee maanden worden verlengd. Als wij de termijn willen verlengen, laten wij u dat binnen een maand na ontvangst van uw verzoek weten.
Als u het niet eens bent met de afhandeling van uw verzoek kunt u daarover een klacht indienen bij de Autoriteit Persoonsgegevens (of iedere andere Europese toezichthoudende autoriteit). U kunt ook een verzoekschrift indienen bij de rechtbank.
Hoe zorgen wij dat uw gegevens veilig zijn bij ons?
Wij passen in het hele bedrijf beveiligingsmaatregelen toe om persoonsgegevens te beveiligen. Deze maatregelen betreffen: de organisatie, het personeel, processen, techniek, en fysieke beveiliging , en zijn vastgelegd in het beveiligingsbeleid.
De ontwikkelingen binnen de wereld van informatiebeveiliging gaan snel. De invulling van de maatregelen is afgeleid van internationaal geldende standaarden, zoals ISO norm ISO27002. Periodiek wordt door ons gecontroleerd of de maatregelen nog adequaat zijn. Dit gebeurt door middel van het uitvoeren van risicoanalyses, interne controleplannen en door onafhankelijke audits. Daarnaast staan wij onder direct toezicht van verschillende toezichthouders en de externe accountant, waarbij onder meer wordt toegezien op de werking van interne beheersing van informatiebeveiliging. Als wij gebruik maken van derde partijen bij de verwerking van persoonsgegevens dan controleren wij dat die derde partij, afhankelijk van het soort persoonsgegevens, beschikt over voldoende beveiliging.
Heeft u een vraag, tip of klacht over privacy?
Stuur een e-mail naar de Functionaris Gegevensbescherming van Achmea via privacymanager@achmea.nl. U kunt ook een brief sturen naar:
Achmea B.V.
Privacy manager
Compliance & Operational Risk Management
Postbus 866
3700 AW Zeist
Tot slot, wij kunnen dit privacy statement veranderen. Dat mag bijvoorbeeld als er iets verandert in de wetten of regels. Of als wij nieuwe producten of diensten ontwikkelen. Op onze website vindt u altijd de laatste versie. Deze laatste versie is van 23 augustus 2022.