Datum laatste wijziging: 28 april 2026
In dit Privacy Statement komen enkele begrippen regelmatig terug. Hierbij geven wij van deze begrippen een omschrijving.
De verwerkingsverantwoordelijke is degene die het doel van- en de middelen voor de verwerking van persoonsgegevens vaststelt. Een verwerker is degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Met persoonsgegevens wordt bedoeld; ieder gegeven dat verwijst naar een natuurlijk persoon. U kunt hierbij denken aan voor- en achternaam, geboortedatum, BSN of gegevens over uw gezondheid. Met verwerken van persoonsgegevens wordt bedoeld; iedere verwerking die wij uitvoeren met persoonsgegevens. Voorbeelden hiervan zijn het opslaan, wijzigingen, opvragen, raadplegen of doorsturen van persoonsgegevens.
Leveranciers van goederen en diensten
Medewerkers van- en sollicitanten bij VECOZO
Verwerking persoonsgegevens bij contact met VECOZO
Uw rechten, vragen en klachten
In dit hoofdstuk beschrijven wij de wijze waarop persoonsgegevens worden verwerkt in onze diensten.
Via onze diensten wisselen (keten)partijen digitaal en op een veilige manier administratieve berichten uit met andere (keten)partijen in de zorg. Hierbij kunt u onder andere denken aan een zorgaanbieder die een declaratie voor geleverde zorg indient bij de gemeente of zorgverzekeraar, maar ook aan berichtuitwisseling over de toewijzing van zorg.
Voor onze eigen diensten zijn wij verwerkingsverantwoordelijke.
Daarnaast verwerken wij ook voor opdrachtgevers, zoals zorgaanbieders, zorgverzekeraars en gemeenten persoonsgegevens. Onze opdrachtgevers zijn aan te merken als ‘verwerkingsverantwoordelijke’ en wij als ‘verwerker’ in de zin van de AVG. De opdrachtgevers bepalen in dat geval hoe de persoonsgegevens worden verwerkt, voor welke doelen, hoe lang de persoonsgegevens worden bewaard en wie toegang heeft tot de persoonsgegevens. Hiervoor sluit VECOZO met iedere opdrachtgever een verwerkersovereenkomst.
Overige (keten)partijen zoals tussenpartijen software en administratiekantoren, zijn voor ons een ‘derde’ op basis van de AVG, tenzij hierna anders aangegeven.
Via onze diensten wisselen (keten)partijen digitaal en op een veilige manier administratieve berichten uit met andere (keten)partijen in de zorg. Hierbij kunt u onder andere denken aan een dokter die een declaratie voor geleverde zorg indient bij de gemeente of zorgverzekeraar, maar ook aan berichtuitwisseling over recht op zorg.
Meer informatie over onze rolverdeling in de zorgketen kunt u vinden op de website van de Autoriteit Persoonsgegevens. Daarnaast kunt u op onze website een Dienstenoverzicht vinden, dat een generieke omschrijving van de verwerkingen bevatten.
Binnen de VECOZO diensten verwerken wij persoonsgegevens van diegenen, die betrokken zijn bij zorg gerelateerde communicatie.
Daarnaast verwerken wij ook persoonsgegevens van medewerkers van (keten)partijen die zijn aangesloten op VECOZO en gebruik maken van onze diensten. Deze aansluiting is noodzakelijk om het berichtenverkeer tussen (keten)partijen onderling te ondersteunen. Voorbeelden hiervan zijn onder andere medewerkers van zorgverzekeraars, gemeenten, zorgaanbieders, administratiekantoren en softwarepartijen.
In diverse diensten van VECOZO worden persoonsgegevens verwerkt. Wie de verwerkingsverantwoordelijke is voor de verwerking binnen de dienst hangt af van de dienst. Een overzicht vindt u hier. Voor de uitoefening van uw (privacy)rechten dient u zich te melden bij de relevante verwerkingsverantwoordelijke.
Hieronder geven wij u een nadere toelichting voor de diensten waarbij wij verwerkingsverantwoordelijke zijn:
Wanneer een partij zich aanmeldt bij VECOZO voor een aansluiting op de VECOZO-diensten, verwerken we enkele algemene bedrijfs- en contactgegevens van betrokken medewerkers. Dit is voor het aanmeldproces en het opmaken van de overeenkomst met VECOZO.
Om als zorgaanbieder uw aanmelding te voltooien, is identificatie verplicht. Dit kan persoonlijk of via IDIN plaatsvinden. Bij een persoonlijke identificatie wordt uw identiteit face-to-face gecontroleerd aan de hand van uw identiteitsbewijs. Bij identificatie via IDIN gebeurt dit via uw bank. Wij verwerken hierbij in ieder geval de volgende persoonsgegevens: naam, geboortedatum, geslacht, (zakelijk) telefoonnummer en (zakelijk) e-mailadres. Bij een persoonlijke identificatie vindt de controle plaats op het opgegeven adres en wordt (de echtheid van) uw identiteitsdocument gecontroleerd door middel van speciale hard- en software.
De persoonlijke identificatie vindt plaats voor zover deze noodzakelijk is voor beveiliging van communicatie en controle van de autorisatie. Dit is belangrijk, want aangesloten instanties krijgen toegang tot diensten waarin persoonsgegevens worden verwerkt. VECOZO zorgt er daarom voor dat zij alleen overeenkomsten aangaat met geïdentificeerde bevoegde personen en instanties.
Wij verwerken de persoonsgegevens tijdens het aanmeldproces om de uitvoering van de overeenkomst tussen VECOZO en de aangesloten instantie uit te voeren (artikel 6 lid 1 sub b AVG). Bij identificatie via IDIN worden de IDIN-gegevens uiterlijk 15 minuten na identificatie verwijderd.
In ons klantbeheersysteem (Relatiebeheer) nemen we bedrijfsgegevens en algemene persoonsgegevens op van de aangesloten instantie en diens medewerkers zoals (bedrijfs)naam, vestigingsadres, telefoonnummer(s), IP-adres(sen) en e-mailadres(sen). Het doel hiervan is om het proces om zorgaanbieders correct aan te sluiten op de systemen van VECOZO te ondersteunen. Ook gebruiken we deze gegevens voor de autorisatie van het gebruik van onze diensten. Zo maken we een uniforme, efficiënte en effectieve informatie-uitwisseling tussen zorgaanbieders en de verwerkingsverantwoordelijken van de diensten mogelijk.
Wij verwerken de persoonsgegevens in ons klantbeheersysteem ten behoeve van de uitvoering van de overeenkomst tussen VECOZO en de aangesloten instantie (artikel 6 lid 1 sub b AVG). We bewaren de persoonsgegevens conform de van toepassing zijnde wet- en regelgeving en nooit langer dan noodzakelijk.
Wij gebruiken digitale middelen voor de authenticatie van medewerkers en systemen van een op ons aangesloten partij. Het persoonlijke certificaat, eHerkenning en de UZI-pas, dienen als ‘digitaal paspoort’ bij het gebruik van onze diensten. Met een authenticatiemiddel krijgt u toegang tot de diensten waarvoor u geautoriseerd bent. Het authenticatiemiddel is persoonsgebonden. Dit betekent dat het enkel gebruikt mag worden door de persoon op wiens naam het is uitgegeven.
Bij de uitvoering van onze certificaatdienstverlening verwerken we de volgende persoonsgegevens: naam, e-mailadres, AGB-code of UZOVI-code, IP-adres, KVK-nummer, bedrijfsnaam en gebruikersnummer (dit unieke gebruikersnummer wordt automatisch gegenereerd). Wij verstrekken de aan het authenticatiemiddel gekoppelde persoonsgegevens alleen aan een verwerker, namelijk Signicat of KPN, als dat noodzakelijk is voor de verstrekking van het authenticatiemiddel of omdat die verwerker is aan te merken als ‘vertrouwende partij’ van de authenticatie. Deze partijen hebben dan een overeenkomst met VECOZO gesloten. Denk aan onze leverancier van certificaten (KPN), het gebruik van Single Sign On met ‘niet van VECOZO programmatuur’ (NVP) of verstrekking van de persoonsgegevens vanwege een wettelijke verplichting.
De grondslag voor de verwerking van persoonsgegevens van gebruikers is de uitvoering van de overeenkomst (inclusief de Certificate Policy/ Certificate Practice Statement (CP/CPS), welke de procedures beschrijft die VECOZO volgt bij uitgifte, beheer, onderhoud en acceptatie), tussen VECOZO en de instantie van de gebruiker (artikel 6 lid 1 sub b AVG). We bewaren de persoonsgegevens conform de van toepassing zijnde wet- en regelgeving en niet langer dan noodzakelijk.
Pincodebrieven (Berichtenbox en post)
VECOZO gebruikt de dienst Berichtenbox voor het veilig verzenden van de pincodebrieven naar de daarvoor geautoriseerde gebruiker. Daarnaast stuurt VECOZO pincodebrieven via de fysieke post naar geregistreerde bedrijfsadressen. De gebruiker heeft deze pincodebrief nodig voor de installatie van het certificaat van VECOZO.
De grondslag voor de verwerking van persoonsgegevens van gebruikers is de uitvoering van de overeenkomst (inclusief de CP/CPS) die is gesloten tussen de aangesloten instantie en VECOZO (artikel 6 lid 1 sub b AVG). De bewaartermijn bedraagt 60 dagen.
Een van de maatregelen die VECOZO heeft genomen om haar diensten te beveiligingen, ziet toe op logging van metadata op gebruikersniveau. Dit betekent dat wij de gebeurtenissen in onze diensten loggen. Zo kunnen wij onder andere zien welke gebruiker welke diensten (en tot welk niveau) heeft geraadpleegd. Wij kunnen op basis van deze logging in beginsel niet in het bericht zelf kijken, het gaat dus alleen over de track-and-trace informatie. Deze logging is bedoeld om fraudedetectie mogelijk te maken en om tijdig risico’s te signaleren bij (vermoedelijke) inbreuken op grond van de AVG.
De logging is alleen toegankelijk voor security-, risk- en compliance adviseurs alsmede de functionaris voor de gegevensbescherming. De persoonsgegevens die hierin worden verwerkt (zoals het IP-adres en het gebruikersnummer), worden verwerkt op grond van het gerechtvaardigd belang van VECOZO (artikel 6 lid 1 sub f AVG). VECOZO heeft een wettelijke verplichting om te zorgen voor passende technische en organisatorische maatregelen. VECOZO heeft een gerechtvaardigd belang om deze persoonsgegevens te verwerken, omdat wij op deze manier onze diensten kunnen beveiligen. De beveiliging is noodzakelijk om inbreuken in de VECOZO-diensten te voorkomen en onderzoeken, waardoor de gegevens van betrokkenen (in de zin van de AVG), de gebruikers van VECOZO-diensten en VECOZO beter worden beschermd. De privacy van gebruikers is geborgd doordat het gaat om metadata, waarbij zo min mogelijk inbreuk wordt gemaakt op de privacy van gebruikers. Bewaartermijn van deze logging is standaard 1 jaar plus enkele dagen voor het doen van onderzoek in geval van (mogelijke) inbreuken.
Indien VECOZO een overeenkomst sluit met een leverancier ten behoeve van de levering van goederen en/of diensten, kunnen hierbij persoonsgegevens worden verwerkt.
De volgende persoonsgegevens kunnen door VECOZO worden verwerkt: algemene contactgegevens zoals voor- en achternaam, e-mailadres, (zakelijk)telefoonnummer, (zakelijk)adres- en woonplaats. Specifieke contactgegevens zoals bedrijfsnaam, functie, KvK-nummer en/of BTW nummer en/of AGB-code (indien van toepassing).
De persoonsgegevens worden verwerkt voor het onderhouden van de relatie tussen VECOZO en haar leveranciers en het uitvoeren van betalingsverplichtingen. Dit is noodzakelijk voor de uitvoering van de overeenkomst tussen VECOZO en haar leveranciers (artikel 6 lid 1 sub b AVG). Indien er een wettelijke bewaartermijn geldt (bijvoorbeeld op grond van fiscale wet- en regelgeving) zal VECOZO deze bewaartermijn hanteren. Indien er geen wettelijke bewaartermijn geldt, zal VECOZO de betreffende persoonsgegevens verwijderen 7 jaar nadat de overeenkomst geëindigd is.
Indien u solliciteert bij VECOZO verwerken wij uw persoonsgegevens. In het Privacy Statement op onze werken-bij-pagina vindt u meer informatie hierover. Voor onze medewerkers is een apart privacy statement opgesteld dat bij indiensttreding beschikbaar wordt gesteld.
Als u het contactformulier invult op onze website, worden uw persoonsgegevens verwerkt. Deze gegevens zijn noodzakelijk, zodat wij kunnen reageren op uw vraag, klacht of opmerking. Gegevens die wij hiervoor kunnen verwerken zijn: voor- en
achternaam, geslacht, telefoonnummer, e-mailadres en (indien van toepassing) AGB-code. Meer informatie over het gebruik van cookies op onze website, kunt in vinden in ons cookie statement.
Indien u op andere manieren met ons contact opneemt, bijvoorbeeld per telefoon of per e-mail, kunnen wij dezelfde persoonsgegevens (inclusief de inhoud van uw bericht) verwerken, zoals hiervoor is aangegeven. Telefonische gesprekken kunnen in het kader van coaching en voor kwaliteitsdoeleinden worden opgenomen.
Indien u met VECOZO bijvoorbeeld een aansluitovereenkomst hebt gesloten en u aan ons een vraag stelt die hiermee verband houdt, verwerken wij uw persoonsgegevens voor de uitvoering van deze overeenkomst (artikel 6 lid 1 sub b AVG). Indien er bij een contact met VECOZO geen sprake is van het verwerken van gegevens voor de uitvoering van een overeenkomst, dan verwerkt VECOZO persoonsgegevens op basis van gerechtvaardigd belang (artikel 6 lid 1 sub f AVG). Het is namelijk noodzakelijk om op een correcte en juiste manier uw verzoek, vraag en/of klacht in behandeling te kunnen nemen. We bewaren de persoonsgegevens conform de van toepassing zijnde wet- en regelgeving en niet langer dan noodzakelijk.
Wie heeft toegang tot uw gegevens?
Een beperkt aantal van onze medewerkers heeft toegang tot de persoonsgegevens in de VECOZO-diensten. Daarnaast hebben wij een aantal verwerkers ingeschakeld, zoals KPN bij de uitvoering van onze certificaatdienstverlening, en AMP Groep en CM voor onze identificatieprocessen. Voor de uitvoering van de overeenkomst die zij hebben gesloten met VECOZO hebben zij in beperkte mate toegang tot persoonsgegevens. Alle door VECOZO ingeschakelde verwerkers dienen zorgvuldig met persoonsgegevens om te gaan op basis van een adequate verwerkersovereenkomst.
Gebruiken wij uw persoonsgegevens ook voor andere doeleinden?
Wij verwerken uw persoonsgegevens niet voor andere doeleinden, dan het doel waarvoor zij bedoeld zijn. Daarnaast kan het voorkomen dat een daartoe bevoegd orgaan, zoals de politie, bij ons persoonsgegevens opvraagt. In dat geval zijn wij verplicht om de persoonsgegevens te verstrekken.
Geven wij uw persoonsgegevens aan andere landen?
VECOZO geeft in beginsel géén persoonsgegevens door aan partijen buiten de Europese Economische Ruimte. Indien wij persoonsgegevens doorgeven aan partijen buiten de Europese Economische Ruimte (EER), doen wij dit uitsluitend wanneer passende waarborgen zijn getroffen, zoals het sluiten van door de Europese Commissie goedgekeurde standaardcontractbepalingen. Een aantal zorgaanbieders zijn buiten Nederland gevestigd, zoals in de grensstreken. Een aansluiting op de VECOZO diensten is voor een zorgaanbieder in het buitenland enkel mogelijk onder strenge voorwaarden. Zo is een aansluiting op de VECOZO-diensten alleen mogelijk als de zorgaanbieder kan aantonen dat er een relatie bestaat met de Nederlandse zorgmarkt en de zorgaanbieder is gevestigd en/of werkt vanuit een goed beveiligde omgeving.
Hoelang bewaren wij uw persoonsgegevens?
Dit hangt af van de doeleinden van de betreffende dienst of gegevensuitwisseling. Uitgangspunt is steeds dat de bewaartermijn niet langer dan noodzakelijk is. Als sprake is van een wettelijke bewaartermijn, dan wordt die aangehouden. Na het verstrijken van de bewaartermijn vindt zorgvuldige vernietiging van de gegevens plaats.
Hoe beschermen wij uw persoonsgegevens?
Wij voeren passende technische en organisatorische maatregelen uit om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Wij hebben een informatiebeveiligingsbeleid en treffen beveiligingsmaatregelen. Om de werking hiervan aan te tonen, worden wij jaarlijks geaudit door een onafhankelijke, erkende auditor. Meer informatie hierover vindt u op onze website. Hierbij wordt minimaal geaudit op de beveiligingsnormen WebTrust for Registration Authorities en NEN 7510.
Uw rechten, vragen en klachten
U heeft op grond van de AVG verschillende rechten, zoals het recht op inzage, wijziging of verwijdering van uw persoonsgegevens. VECOZO verwerkt persoonsgegevens meestal in opdracht van zorgverzekeraars en is in die gevallen verwerker. Dit betekent dat VECOZO niet zelf beslist over uw persoonsgegevens. Wilt u gebruikmaken van uw privacyrechten, dan moet u uw verzoek richten aan de zorgverzekeraar die verantwoordelijk is voor uw gegevens. De zorgverzekeraar is verplicht om uw verzoek in behandeling te nemen; VECOZO mag dat niet zelfstandig doen als verwerker. De systemen van VECOZO zijn gekoppeld aan die van de zorgverzekeraar. Als de zorgverzekeraar uw gegevens wijzigt of verwijdert, worden deze wijzigingen ook bij VECOZO doorgevoerd. De zorgverzekeraar is verantwoordelijk voor het aanpassen of verwijderen van uw gegevens bij VECOZO en kan VECOZO indien nodig opdracht geven om dit namens haar te regelen. In sommige gevallen is VECOZO zelf verwerkingsverantwoordelijke. Alleen in die situaties behandelt VECOZO uw verzoek rechtstreeks. U kunt dan contact opnemen met het privacyteam van VECOZO door ons een e-mail te sturen. Wij behandelen uw verzoek binnen één maand.
Recht op inzage: U heeft het recht om na te vragen of en welke persoonsgegevens wij van u verwerken.
Recht op rectificatie: Mochten de persoonsgegevens die worden verwerkt onjuist of onvolledig zijn, dan kunt u de persoonsgegevens laten corrigeren of aanvullen.
Recht op vergetelheid: U kunt een verzoek indienen om uw gegevens te wissen. Bijvoorbeeld als u bezwaar heeft tegen de verwerking van uw gegevens. Uw belang moet dan boven ons belang gaan om persoonsgegevens te verwerken.
Recht op dataportabiliteit: U heeft het recht om gegevens die u in het kader van een overeenkomst met ons of met uw toestemming aan ons heeft verstrekt in een gestructureerde en leesbare vorm te verkrijgen. U kunt ons ook verzoeken om deze gegevens rechtstreeks over te dragen aan een derde partij. Dit laatste is alleen mogelijk indien dit ook technisch mogelijk is.
Recht van bezwaar: U heeft het recht om bewaar te maken tegen de verwerking van uw persoonsgegevens die op basis van het gerechtvaardigd belang worden verwerkt (artikel 6 lid 1 sub f AVG). U kunt bezwaar maken vanwege uw specifieke omstandigheden. Op basis van deze omstandigheden zal de verwerking opnieuw door ons beoordeeld moeten worden.
Recht op beperking van de verwerking: U kunt de verwerkingsverantwoordelijke verzoeken om minder persoonsgegevens van u te verwerken. Hierbij zullen we u informeren wat het gevolg kan zijn van de beperking van de verwerking van uw persoonsgegevens.
Het recht met betrekking tot geautomatiseerde besluitvorming en profilering: Oftewel het recht op een menselijke blik/ beoordeling bij besluiten.
Het recht om uw toestemming in te trekken: Indien uw persoonsgegevens worden verwerkt op grond van door u gegeven toestemming, hebt u altijd het recht uw toestemming in te trekken. Vindt verwerking uitsluitend plaats op basis van de door u verleende toestemming? Dan mogen wij, na de ingetrokken toestemming, uw persoonsgegevens niet verder verwerken. Het intrekken van uw toestemming doet niets af aan de rechtsgeldigheid van de verwerking vóór de intrekking.
VECOZO informeert u vooraf over situaties waarin u verplicht bent om persoonsgegevens te verstrekken. Dit is bijvoorbeeld het geval als VECOZO persoonsgegevens moet verwerken op grond van een wettelijke of contractuele verplichting. Of omdat dit een absolute voorwaarde is om een overeenkomst te sluiten. In deze gevallen informeren wij u over de gevolgen van uw eventuele weigering om persoonsgegevens te verstrekken.
VECOZO heeft de grootst mogelijke aandacht en zorg besteed aan de gegevens en informatie die zijn opgenomen in dit Privacy Statement. Voor ons staat voorop dat informatie correct, actueel en duidelijk moet zijn en dat toegankelijkheid tot informatie zo veel mogelijk gewaarborgd is. Wij informeren u op hoofdlijnen en beschrijven niet alle situaties en uitzonderingen in detail.
Voor vragen over de verwerking van persoonsgegevens kunt u terecht bij de verwerkingsverantwoordelijke. Indien u niet precies weet wie dit is, neemt u dan gerust contact met ons op.
Indien u een klacht heeft over de verwerking van uw persoonsgegevens kunt u terecht bij:
VECOZO B.V.
Postbus 4050
5004 JB Tilburg
Telefoonnummer: 013 - 46 25 641
E-mailadres (vragen en verzoeken): privacy@vecozo.nl
E-mailadres (klachten): fg@vecozo.nl
Wij hebben de grootst mogelijke aandacht en zorg besteed aan de inhoud van dit Privacy Statement. Toch is het soms nodig dit Privacy Statement te wijzigen. Bijvoorbeeld op instructie van onze opdrachtgevers, omdat onze dienstverlening wijzigt of omdat wet- en regelgeving hierom vraagt. Op deze pagina vindt u altijd de meest recente versie van ons Privacy Statement.