Privacy Statement

Dit Privacy Statement beschrijft hoe wij persoonsgegevens verwerken en beschermen. Hoewel wij maar voor een paar van onze diensten zelf verwerkingsverantwoordelijke zijn, vinden wij het belangrijk om transparant te zijn.

Versie: 18 maart januari 2019 (bekijk wijzigingen)

Van wie verwerken wij persoonsgegevens?

Via onze diensten wisselen (keten)partijen digitaal en op een veilige manier administratieve berichten uit met andere (keten)partijen in de zorg. Hierbij kunt u onder andere denken aan een zorgaanbieder die een declaratie voor geleverde zorg indient bij de gemeente of zorgverzekeraar, maar ook aan berichtuitwisseling over de toewijzing van zorg. Binnen de VECOZO diensten verwerken wij persoonsgegevens van iedereen waarover voor specifieke zorg gerelateerde doeleinden wordt gecommuniceerd. Het doel van deze communicatie via de VECOZO-diensten is om de administratieve lasten in de zorg te verminderen.

Daarnaast verwerken wij ook persoonsgegevens van medewerkers van (keten)partijen die zijn aangesloten op VECOZO en gebruik maken van onze diensten. Dit zijn onder andere medewerkers van zorgverzekeraars, gemeenten, zorgaanbieders, administratiekantoren en softwarepartijen.

Wie is verantwoordelijk voor de verwerking van uw persoonsgegevens?

Wie de verwerkingsverantwoordelijke is voor de verwerking van de persoonsgegevens, is afhankelijk van onze opdrachtgever en de bijbehorende dienst. Bekijk het overzicht van opdrachtgevers en type verwerkingen.

Als uitgangspunt geldt dat opdrachtgevers van VECOZO als verwerkingsverantwoordelijken worden gezien en dat VECOZO de verwerker is. De (tussenpartijen van) zorgaanbieders worden ten opzichte van VECOZO als derde(n) gezien.

Welke persoonsgegevens worden door ons verwerkt?

Onze diensten maken veelal gebruik van zogenaamde ‘standaarden’. Een standaard bestaat uit een standaardbeschrijving en berichtspecificaties waardoor gestructureerd berichtenverkeer in de zorgketen wordt gefaciliteerd. Deze landelijke standaarden worden beheerd door Vektis of Zorginstituut Nederland. Op basis van standaarden wordt op cliëntniveau informatie uitgewisseld tussen (keten)partijen in de zorg, zoals zorgaanbieders en zorgverzekeraars.

Doel van deze standaarden is dat op basis van regels en afspraken binnen de hele keten, op een effectieve en efficiënte wijze informatie gestandaardiseerd kan worden uitgewisseld. Deze uniforme en eenduidige aanlevering van gegevens, leidt tot administratieve lastenverlichting in de zorg. In deze standaarden is bepaald welke persoonsgegevens op cliëntniveau worden verwerkt binnen de betreffende diensten. Hierbij kunt u denken aan NAW-gegevens (Naam, Adres, Woonplaats), Burgerservicenummer (BSN) en gegevens over uw gezondheid. Bij alle diensten geldt dat alleen de persoonsgegevens worden verwerkt die voor het doel noodzakelijk zijn.

Van medewerkers van op ons aangesloten partijen verwerken wij persoonsgegevens voor zover deze gegevens noodzakelijk zijn voor de uitvoering van onze bedrijfsprocessen. Denk hierbij aan een e-mail adres zodat wij contact met hen kunnen opnemen.

Aanmeldproces VECOZO

Als een partij zich aanmeldt bij VECOZO voor een aansluiting op VECOZO-diensten, verwerken we een aantal algemene bedrijfs- en contactgegevens van betrokken medewerkers. Dit is voor het aanmeldproces en het opmaken van de overeenkomst met VECOZO.

Om als zorgaanbieder uw aanmelding te voltooien, dient u zich te identificeren. Deze identificatie vindt persoonlijk of via IDIN plaats. Het gaat om een face to face persoonsidentificatie met een controle op uw identiteitsbewijs óf identificatie via uw bank. Daarbij verwerken we in ieder geval de volgende persoonsgegevens: naam, geboortedatum, geslacht, (zakelijk) telefoonnummer en (zakelijk) e-mailadres. De identificatie in-persoon vindt plaats op het opgegeven adres en tijdens de identificatie wordt (de echtheid van) uw identiteitsdocument gecontroleerd door middel van hard- en software.

De persoonsidentificatie vindt plaats voor zover deze noodzakelijk is voor beveiliging van communicatie en controle van de autorisatie. Belangrijk, want een instantie en haar betrokken collega’s krijgen bij een aansluiting op VECOZO-diensten toegang tot diensten waarin persoonsgegevens worden verwerkt. VECOZO zorgt er daarom voor dat zij alleen overeenkomsten aangaat met geïdentificeerde bevoegde personen en instanties.

Certificaatdienstverlening

Wij gebruiken digitale certificaten voor de authenticatie van medewerkers en systemen van een op ons aangesloten partij. Het persoonlijke certificaat dient als ‘digitaal paspoort’ bij het gebruik van onze diensten.

Bij de uitvoering van onze certificaatdienstverlening verwerken we de volgende algemene persoonsgegevens: naam, e-mailadres, AGB-code of UZOVI-code, IP-adres en gebruikersnummer (dit unieke gebruikersnummer wordt automatisch gegenereerd). Wij verstrekken de aan het persoonlijke certificaat gekoppelde persoonsgegevens alleen aan derden als dat noodzakelijk is voor de verstrekking van het persoonlijke certificaat of omdat die derde is aan te merken als ‘vertrouwende partij’ van de certificaatdienstverlening. Deze partijen hebben dan een overeenkomst met VECOZO gesloten. Denk aan onze leverancier van certificaten, het gebruik van Single Sign On met ‘niet van VECOZO programmatuur’ (NVP) of verstrekking van de persoonsgegevens vanwege een wettelijke verplichting.

Voor meer informatie over de certificaatdienstverlening verwijzen wij u naar de Certificate Policy / Certificate Practice Statement.

Klantbeheersysteem

In ons klantbeheersysteem nemen we bedrijfsgegevens en algemene persoonsgegevens op van de aangesloten instantie en diens medewerkers  zoals (bedrijfs)naam, vestigingsadres, telefoonnummer(s) en e-mailadres(sen). Daarnaast ontvangen wij van Vektis gegevens uit het AGB-register die we in ons klantbeheersysteem opnemen. Het doel hiervan is om het proces om zorgaanbieders correct aan te sluiten op de systemen van VECOZO te ondersteunen. Ook gebruiken we deze gegevens voor de autorisatie van het gebruik van onze diensten. Zo maken we een uniforme, efficiënte en effectieve informatie-uitwisseling tussen zorgaanbieders en de verwerkingsverantwoordelijken van de diensten mogelijk.

Waarom verwerken wij uw persoonsgegevens?

Onze opdrachtgevers schakelen ons in om diensten uit te voeren. De verwerking van persoonsgegevens is daar onlosmakelijk mee verbonden. Wij verwerken deze persoonsgegevens in onze diensten op instructie van de betreffende opdrachtgever en vaak ook verwerkingsverantwoordelijke. Bekijk het overzicht van opdrachtgevers en type verwerkingen.

Bent u een medewerker van een op ons aangesloten zorgpartij? Dan verwerken wij uw persoonsgegevens omdat dat noodzakelijk is voor de uitvoering van onze bedrijfsprocessen en certificaatdienstverlening. Uw persoonsgegevens worden onder meer verwerkt in onze aanmeldprocedures. Ook verwerken wij uw persoonsgegevens bij het uitvoeren van de overeenkomst met VECOZO zodat u gebruik kunt maken van onze diensten.

Hoe komen wij aan uw persoonsgegevens?

De (keten)partijen die gebruik maken van onze diensten leveren persoonsgegevens van hun verzekerden en cliënten bij ons aan. Wij ontvangen deze persoonsgegevens voor de uitvoering van de betreffende dienst en routeren de persoonsgegevens naar de ontvangende partij. De aanleverende partij bepaalt wie de ontvangende partij is.

Voor wat betreft de persoonsgegevens van medewerkers van (keten)partijen die gebruik maken van onze diensten, worden deze aangeleverd en beheerd door de (keten)partij zelf.

Wie heeft toegang tot uw gegevens?

In beginsel heeft onze opdrachtgever - veelal tevens verwerkingsverantwoordelijke - van de dienst of gegevensuitwisseling, toegang tot uw gegevens. De verwerkingsverantwoordelijke bepaalt wie toegang heeft tot de dienst of gegevensuitwisseling en bijbehorende persoonsgegevens. Gegevensuitwisselingen vinden voornamelijk plaats op basis van een wettelijke verplichting van de betrokken partijen. Medewerkers van VECOZO hebben in zeer beperkte mate toegang tot uw gegevens en alleen als dit nodig is voor het uitvoeren van onze diensten en op instructie van de betreffende verwerkingsverantwoordelijke.

Tot de persoonsgegevens waarvoor VECOZO zelf als verwerkingsverantwoordelijke optreedt, zoals het geval is bij gegevens van medewerkers van op ons aangesloten partijen, heeft een beperkt aantal van onze medewerkers toegang.

Gebruiken wij uw persoonsgegevens ook voor andere doelen?

Nee, wij verwerken uw persoonsgegevens niet voor andere doeleinden. Uw persoonsgegevens worden alleen verwerkt in overeenstemming met de instructies die wij van onze opdrachtgever(s) hebben gekregen. Daarnaast kan het voorkomen dat een daartoe bevoegd orgaan, zoals de politie, bij ons persoonsgegevens opvraagt. In dat geval zijn wij verplicht om de persoonsgegevens te verstrekken.

Geven wij uw persoonsgegevens aan andere landen buiten de Europese Unie door?

Er is een aantal zorgaanbieders aangesloten op de VECOZO-diensten dat zich bevindt buiten de Europese Unie. Een aansluiting op de VECOZO diensten is voor een zorgaanbieder in het buitenland enkel mogelijk onder strenge voorwaarden. Zo is een aansluiting op de VECOZO-diensten alleen mogelijk als de zorgaanbieder kan aantonen dat er een relatie bestaat met de Nederlandse zorgmarkt en de zorgaanbieder is gevestigd en/of werkt vanuit een van de zogeheten ‘toegestane landen’. Bekijk het overzicht van 'toegestane landen'.

Hoe lang bewaren wij uw gegevens?

Dit hangt af van de doeleinden van de betreffende dienst of gegevensuitwisseling. De verwerkingsverantwoordelijke van de gegevensverwerking geeft ons instructie over de te hanteren bewaartermijnen. Uitgangspunt is steeds dat de bewaartermijn niet langer dan noodzakelijk is. Als sprake is van een wettelijke bewaartermijn, dan wordt die aangehouden. Na het verstrijken van de bewaartermijn vindt zorgvuldige vernietiging van de gegevens plaats.

Hoe beschermen wij uw persoonsgegevens?

Wij voeren passende technische en organisatorische maatregelen uit om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Wij hebben een informatiebeveiligingsbeleid en treffen beveiligingsmaatregelen. Om de werking hiervan aan te tonen, worden wij jaarlijks geaudit door een onafhankelijke, erkende auditor op PKI-, beveiligings- en privacy maatregelen. Hierbij wordt minimaal geaudit op de beveiligingsnormen WebTrust en NEN 7510.

Welke rechten heeft u bij ons?

Hieronder beschrijven wij de rechten die u bij ons heeft op grond van de Algemene Verordening Gegevensbescherming (AVG). In het geval u gebruik wenst te maken van een van uw rechten, kunt u hiervoor een verzoek indienen bij de betreffende verwerkingsverantwoordelijke. Indien VECOZO de verantwoordelijke is voor de verwerking van de persoonsgegevens, kunt u een e-mail sturen naar de Functionaris voor de Gegevensbescherming. Wij zullen uw verzoek binnen een maand behandelen.

Recht op inzage en rectificatie

U heeft het recht om na te vragen of en welke persoonsgegevens wij van u verwerken. Indien uw gegevens onjuist of onvolledig zijn, dan kunt u een verzoek indienen om deze gegevens te wijzigen of aan te vullen.

Recht op vergetelheid

U kunt bij de verwerkingsverantwoordelijke een verzoek indienen om uw gegevens te wissen. Bijvoorbeeld als u bezwaar heeft tegen de verwerking van uw gegevens. Uw belang moet dan boven het belang van de verwerkingsverantwoordelijke gaan om de persoonsgegevens te verwerken.

Recht op dataportabiliteit

U heeft het recht om gegevens die u in het kader van een overeenkomst met ons of met uw toestemming aan ons heeft verstrekt in een gestructureerde en leesbare vorm te verkrijgen. U kunt ons ook verzoeken om deze gegevens rechtstreeks over te dragen aan een derde partij. Dit laatste is alleen mogelijk indien dit ook technisch mogelijk is.

Recht van bezwaar

U heeft het recht om bewaar te maken tegen de verwerking van uw persoonsgegevens die op basis van het gerechtvaardigd belang worden verwerkt (artikel 6 lid 1 sub f AVG). U kunt bezwaar maken vanwege uw specifieke omstandigheden. Op basis van deze omstandigheden zal de verwerking opnieuw door ons beoordeeld moeten worden.

Waar kunt u terecht met een vraag of een klacht?

VECOZO heeft de grootst mogelijke aandacht en zorg besteed aan de gegevens en informatie die zijn opgenomen in dit Privacy Statement. Voor ons staat voorop dat informatie correct, actueel en duidelijk moet zijn en dat toegankelijkheid tot informatie zo veel mogelijk gewaarborgd is. Wij informeren u op hoofdlijnen en beschrijven niet alle situaties en uitzonderingen in detail.

Voor vragen over de verwerking van persoonsgegevens kunt u terecht bij de verwerkingsverantwoordelijke. Indien u niet precies weet wie dit is, neemt u dan gerust contact met ons op.

Indien u een klacht heeft over de verwerking van uw persoonsgegevens kunt u terecht bij:

Kunnen wij dit Privacy Statement wijzigen?

Wij hebben de grootst mogelijke aandacht en zorg besteed aan de inhoud van dit Privacy Statement. Toch kan het voorkomen dat wij genoodzaakt zijn om dit Privacy Statement te wijzigen. Bijvoorbeeld op instructie van onze opdrachtgevers, omdat onze dienstverlening wijzigt of omdat wet- en regelgeving hierom vraagt. Op deze pagina vindt u altijd de meest recente versie van ons Privacy Statement.