Bij de Nederlandse Zorgautoriteit (NZa) zetten wij ons iedere dag in om de zorg toegankelijk en betaalbaar te houden voor u en uw naasten. Om deze wettelijke taak uit te voeren, hebben we persoonsgegevens nodig. Zo gebruiken wij persoonsgegevens bijvoorbeeld om regels op te stellen over de bekostiging van zorg, om wachttijden terug te dringen, om in de gaten te houden of zorgverzekeraars zich houden aan hun wettelijke zorgplicht en om te controleren of zorgaanbieders de declaratieregels volgen om misbruik van zorggeld door fraude op te sporen.
Privacy bij de NZa
Als u een Nederlandse zorgverzekering heeft of in Nederland zorg ontvangt, verwerken we bij de NZa persoonsgegevens van u. Dit zijn gegevens die direct over u gaan of – in combinatie met andere gegevens – iets zeggen over uw persoon. Dat doen we ook als u contact met ons opneemt of als u ons kantoor of onze website bezoekt. Daarnaast verwerken we ook persoonsgegevens van (medewerkers van) zorgverleners en andere marktpartijen. Wat dit precies betekent, waarom we dit doen en wat uw rechten zijn, leest u hieronder in onze privacyverklaring.
Heeft u zorgen of klachten over uw privacy bij de NZa? De NZa heeft hiervoor een zogeheten Functionaris Gegevensbescherming (FG). De FG is onafhankelijk en houdt toezicht op de wijze waarop de NZa met privacy omgaat. De FG is vertrouwelijk te bereiken via fg@nza.nl. U kunt (daarnaast) ook contact opnemen met de privacytoezichthouder, de Autoriteit Persoonsgegevens. Op de website van de Autoriteit Persoonsgegevens staat hoe u dat kunt doen.
Privacyverklaring voor verzekerden
Wij verwerken bij de NZa gegevens over het zorggebruik van iedereen die een Nederlandse zorgverzekering heeft of zonder verzekering medisch-specialistische zorg in Nederland ontvangt. Waarom we dit doen, om welke gegevens het precies gaat en wat uw rechten zijn, leest u hieronder in onze privacyverklaring.
Welke persoonsgegevens verwerken wij van u?
Wij vragen als NZa op structurele basis aan zorgverleners, zorgverzekeraars en andere overheidsorganisaties informatie op over de zorg die aan alle (verzekerde) patiënten is verleend. Voordat de gegevens bij ons binnenkomen worden de gegevens door een derde partij ontdaan van de persoonsidentificerende kenmerken. Dat wil zeggen dat wij geen naam, adresgegevens of geboortedatum ontvangen. Het Burgerservicenummer (BSN) wordt bovendien gepseudonimiseerd, oftewel omgezet in een code van letters en cijfers. Uit dit gepseudonimiseerde BSN kunnen wij uw daadwerkelijke BSN niet herleiden. Deze persoonsidentificerende kenmerken hebben wij namelijk niet nodig om onze taken uit te kunnen voeren.
Voor de uitvoering van onze wettelijke taken verwerken wij medische gegevens. Het gaat dan bijvoorbeeld om een omschrijving van de aan u geleverde zorg, welke zorgverlener dit heeft gedaan en hoeveel geld hiervoor in rekening is gebracht. Daarnaast ontvangen wij ook informatie over uw zorgverzekering, de vier cijfers van uw postcode, de maand waarin u bent geboren en uw geslacht. Wij ontvangen dus niet uw naam en volledige adres. Een overzicht van de gegevens die we regelmatig over u als patiënt ontvangen vindt u hieronder. Welke gegevens worden uitgevraagd is ook opgenomen in onze regelingen. Middels deze regelingen leggen wij organisaties in de zorg verplichtingen op. Bijvoorbeeld hoe ze zorg declareren, hoe zorgverzekeraars controles uitvoeren en waar de administratie van zorgaanbieders en zorgverzekeraars aan moet voldoen.
Categorieën persoonsgegevens
De NZa verwerkt de volgende categorieën van persoonsgegevens:
-
Postcode (enkel de vier cijfers)
-
Geboortemaand
-
Geslacht
-
Informatie over uw (type) zorgverzekering
-
Informatie over uw gezondheid (gerelateerd aan de door u ontvangen zorg)
-
Informatie over de zorg die u heeft ontvangen
-
Informatie over uw zorgverlener
-
Kosten van de zorg die u heeft ontvangen
Van sommige personen verwerkt de NZa ook strafrechtelijke gegevens. Dit is bijvoorbeeld het geval als u zorg heeft ontvangen in een penitentiaire inrichting. De gegevens die de NZa verwerkt bevat geen informatie over de eventuele strafbare feiten die hebben plaatsgevonden.
Waarom hebben we uw persoonsgegevens nodig?
We werken aan toegankelijke en betaalbare zorg voor alle inwoners van Nederland. Wij hebben volgens de wet een aantal taken. De belangrijkste zijn:
-
we maken regels als dat nodig is;
-
we stellen tarieven en prestaties vast;
-
we houden toezicht op zorgverleners en zorgverzekeraars;
-
we doen onderzoek en adviseren het ministerie van Volksgezondheid, Welzijn en Sport.
De taken van de NZa volgen uit de Wet marktordening gezondheidszorg (Wmg).
Uw persoonsgegevens hebben we nodig om deze taken goed uit te voeren. Zo gebruiken we uw gegevens om te bepalen hoeveel mensen bepaalde zorg hebben ontvangen. Deze informatie gebruiken we bijvoorbeeld bij het berekenen van de tarieven die zorgaanbieders maximaal mogen declareren voor de door hun verleende zorg. Ook als er een vermoeden bestaat dat een zorgverlener of zorgverzekeraar niet volgens de regels handelt, kunnen we uw gegevens gebruiken om de situatie beter te onderzoeken. Zo voorkomen we dat zorggeld wordt misbruikt. Aan de hand van uw gegevens kunnen we bijvoorbeeld zien welke behandelingen een zorgverlener heeft gegeven en hoeveel geld uw behandelaar daarvoor in rekening heeft gebracht.
Hoe beschermen wij uw gegevens?
We zorgen dat uw gegevens goed beveiligd zijn. De Rijksoverheid heeft standaarden voor informatiebeveiliging opgesteld. Compliance met deze standaarden wordt periodiek gecontroleerd en over gerapporteerd. Waar nodig maken we afspraken over de beveiliging van persoonsgegevens met organisaties zoals onze softwareleveranciers en datacentra. We controleren ook of zij zich aan deze afspraken houden.
De toegang tot uw gegevens wordt alleen toegekend aan medewerkers die aantoonbaar deze toegang nodig hebben voor het uitvoeren van hun werk.
Van wie krijgt de NZa mijn persoonsgegevens?
Als NZa ontvangen wij van verschillende organisaties uw persoonsgegevens. Van uw zorgverzekeraar ontvangen we als NZa informatie die op uw factuur staat in gepseudonimiseerde vorm. Deze informatie krijgen we voor alle verschillende zorgsectoren die (deels) vergoed worden door de zorgverzekeraar of het zorgkantoor. U kunt hierbij denken aan een omschrijving van de zorg die aan u is verleend, wanneer u de zorg hebt ontvangen, welke zorgverlener dit heeft uitgevoerd en hoeveel geld hiervoor in rekening is gebracht. We ontvangen deze informatie ook van zorgverleners die medisch-specialistische zorg leveren en declareren, zoals ziekenhuizen. Als u geen zorgverzekering heeft, maar wel medisch-specialistische zorg heeft ontvangen in Nederland, kan het zijn dat we uw gegevens ook ontvangen van uw zorgverlener.
In aanvulling op uw gepseudonimiseerde medische gegevens ontvangen we van uw zorgverzekeraar ook informatie over uw zorgverzekering samen met de vier cijfers van uw postcode, de maand waarin u bent geboren en uw geslacht. Wij ontvangen van uw zorgverzekeraar geen naam, adresgegevens of BSN, waardoor de gegevens niet direct herleidbaar naar u als persoon zijn.
Vanuit het Zorginstituut Nederland ontvangen we bij de NZa gegevens over alle mensen met een Nederlandse zorgverzekering. Dit zijn gegevens over uw zorggebruik in het afgelopen jaar of de afgelopen jaren, aangevuld met persoonlijke gegevens als leeftijd en geslacht, regionale gegevens als postcode en administratieve gegevens als de aard van het inkomen en sociaaleconomische status.
Als NZa houden wij toezicht op zorgverleners, zorgverzekeraars, Wlz-uitvoerders en het CAK. Als onderdeel van dit toezicht kan het voorkomen dat we op bezoek gaan bij één van deze partijen en dat we daarbij dossiers van patiënten of cliënten inzien of opvragen. Als we deze gegevens opvragen, verzoeken we de partij altijd eerst om gegevens die direct naar u te herleiden zijn (zoals naam, geboortedatum of BSN) te verwijderen. Als we de dossiers alleen ter plekke inzien, zien we deze gegevens wel, maar slaan we deze nooit op.
Deelt de NZa mijn gegevens met anderen?
Als NZa moeten wij uw persoonsgegevens in sommige gevallen delen met andere organisaties. Denk bijvoorbeeld aan de Inspectie Gezondheidszorg en Jeugd, het Zorginstituut Nederland en het Centraal Bureau voor de Statistiek. Met deze gegevens kunnen deze organisaties hun wettelijke taken uitvoeren. Maar we delen deze gegevens niet zomaar. We delen alleen de gegevens met organisaties waarvan in wetten en regels staat dat dit mag. We bekijken elke keer of de gegevens ook echt nodig zijn voor wat een organisatie ermee wil doen. En we delen dan alleen de informatie die nodig is en die we mogen geven. Staat nergens in de wet of in regelgeving dat een organisatie persoonsgegevens mag krijgen van de NZa? Dan leveren we geen persoonsgegevens aan die organisatie.
We maken in sommige gevallen gebruik van verwerkers. Dit zijn andere organisaties die namens de NZa persoonsgegevens verwerken. We maken passende afspraken over hoe deze organisaties moeten omgaan met de gegevens. Voorbeelden van verwerkers zijn bijvoorbeeld leveranciers van ICT-diensten.
Waarom mag de NZa mijn gegevens verwerken (grondslag)?
Als de NZa persoonsgegevens wil gebruiken om haar wettelijke taken uit te voeren, dan mag dat alleen als er sprake is van een grondslag. De NZa beroept zich in bijna alle gevallen op het algemeen belang dat zij nastreeft met de uitvoering van haar taken en de wet waaruit volgt dat de NZa hiervoor ook daadwerkelijk persoonsgegevens mag gebruiken. De wettelijke taken van de NZa volgen uit de Wet marktordening gezondheidszorg (Wmg).
Hoe lang bewaart de NZa mijn gegevens?
We bewaren persoonsgegevens niet langer dan nodig is om ons werk te kunnen doen. Daarbij kijken we naar de reden waarom we de gegevens nodig hebben. We gebruiken of bewaren de gegevens in overeenstemming met de wettelijke termijn. Daarna vernietigen we deze gegevens. Meer informatie over het vernietigen en bewaren van gegevens vindt u in de selectielijst van de NZa. Dit is een lijst die iedere overheidsorganisatie op moet stellen volgens de Archiefwet. Hierin staat welke informatie wij permanent bewaren en welke informatie wij na een periode vernietigen.
Voor de meeste gegevens die we van uw zorgverzekeraar en zorgverlener krijgen, geldt dat we deze 20 jaar bewaren. Deze termijn gaat lopen vanaf het moment dat we voor het laatst deze gegevens hebben ontvangen. De gegevens die we over u ontvangen in het kader van een toezichtonderzoek of in het kader van onderzoek naar ontwikkelingen in de zorg, verwijderen we 10 jaar na afloop van het onderzoek.
Privacyverklaring voor (in)directe communicatie tussen u en de NZa.
Als u contact met ons opneemt, verwerken we uw gegevens. Zo ontvangen we bijvoorbeeld uw telefoonnummer als u ons belt, of uw e-mailadres als u ons een mail stuurt. Daarnaast kan het zo zijn dat u contact met ons opneemt om een vraag te stellen of een melding te doen over uw persoonlijke situatie. Uit de vraag die u stelt of uw melding, kan ook blijken welke zorg u heeft gehad. Deze gegevens gebruiken we als dit nodig is om de verschillende taken die we hebben uit te voeren. Als de bewaartermijn is verlopen, verwijderen we deze gegevens weer.
Om de kwaliteit van onze dienstverlening te onderzoeken en verbeteren, doen wij klanttevredenheidsonderzoek. Indien u eerder contact hebt gehad met de NZa, kunt u namens ons benaderd worden om deel te nemen aan dit klanttevredenheidsonderzoek. Ook kunnen telefoongesprekken worden opgenomen voor kwaliteitsdoeleinden als u daar zelf voorafgaand toestemming voor heeft verleend. U kunt uw toestemming op elk moment intrekken door contact op te nemen met de contactgegevens onderaan deze privacyverklaring.
Welke persoonsgegevens verwerken wij van u?
Als u contact met ons opneemt ontvangen we doorgaans uw naam, e-mailadres en/of telefoonnummer.
Als u een melding maakt met betrekking tot de zorg die u heeft ontvangen, ontvangen we vaak ook bij welke zorgverlener u bent geweest, wanneer u de zorg heeft ontvangen en welke zorg u daar heeft ontvangen. We geven bij het meldformulier nadrukkelijk aan dat we geen vertrouwelijke informatie wensen te ontvangen indien dit niet nodig is. Het gaat dan bijvoorbeeld om uw Burgerservicenummer (BSN), rekeningnummer of medische gegevens die niet relevant zijn voor uw melding. Indien wij deze gegevens toch ontvangen zullen wij die direct verwijderen.
Als u contact met ons opneemt als medewerker van bijvoorbeeld een zorgverlener of zorgverzekeraar, ontvangen we vaak ook uw functie en soms het adres van de organisatie waar u voor werkt.
Heeft u eerder contact gehad met de NZa, dan kunt u benaderd worden om deel te nemen aan ons klanttevredenheidsonderzoek. Hiervoor gebruiken wij uw e-mailadres. We nodigen u in dat geval per mail uit om een vragenlijst in te vullen om de kwaliteit van onze dienstverlening te onderzoeken en verbeteren. Wij ontvangen de resultaten van deze vragenlijst geanonimiseerd. Dit houdt in dat uw e-mailadres niet meer te koppelen is aan de antwoorden die u gegeven hebt op de vragenlijst.
Als u een melding maakt met betrekking tot uw (voormalige) werkgever, dan beschouwen we u als klokkenluider. Zie hiervoor de privacyverklaring Klokkenluidersmeldpunt.
Waarom hebben we uw persoonsgegevens nodig?
Uw contactgegevens ontvangen we en slaan we op, zodat we (ook op een later moment) contact met u kunnen opnemen over uw vraag of melding. We gebruiken de gegevens ook om eerdere contactmomenten op te kunnen zoeken zodat we u beter van dienst kunnen zijn.
Er kunnen verschillende redenen zijn waarom u contact met ons opneemt. U kunt met ons contact opnemen als u:
-
uitleg wilt hebben over (de juiste toepassing van) onze regels;
-
toelichting of hulp wilt bij het aanleveren van gegevens aan ons;
-
toelichting of hulp wilt bij het aanvragen van budgetten in de langdurige zorg of een beschikbaarheidbijdrage;
-
een melding wilt maken van mogelijke misstanden in de zorg.
Voor het maken van een melding van een mogelijke misstand in de zorg, kunt u gebruik maken van het online meldformulier op de website van de NZa. Het is ook mogelijk om te bellen of via de mail contact te zoeken met het Informatie en Contactcentrum (ICC). Op de website zijn er aparte meldformulieren beschikbaar voor zorgprofessionals, patiënten en (voormalig) werknemers van de partij waarover u een melding maakt. Meer informatie hierover vindt u op: https://www.nza.nl/contact/meldpunt.
Als u een melding maakt van een mogelijke misstand in de zorg, vragen we u om de melding zo duidelijk mogelijk te beschrijven en bieden we u de mogelijkheid bestanden toe te voegen die een duidelijk beeld van de melding kunnen schetsen. Als uw melding betrekking heeft op de zorg die u zelf hebt ontvangen, komt het vaak voor dat we hierbij gegevens ontvangen over uw zorgvraag en de geleverde zorg. Deze gegevens gebruiken we om uw melding zo goed mogelijk te kunnen duiden en uw melding in het vervolg te kunnen onderzoeken. We gebruiken deze informatie bijvoorbeeld om soortgelijke vormen van zorg op te zoeken in de declaratiegegevens. Op die manier kunnen we een beeld vormen over de omvang van de mogelijke misstand en kunnen we de geleverde zorg vergelijken met die van andere aanbieders.
Hoe beschermen wij uw gegevens?
We zorgen dat uw gegevens goed beveiligd zijn. De Rijksoverheid heeft standaarden voor informatiebeveiliging opgesteld. Compliance met deze standaarden wordt periodiek gecontroleerd en over gerapporteerd. Waar nodig maken we afspraken over de beveiliging van persoonsgegevens met organisaties zoals onze softwareleveranciers en datacentra. We controleren ook of zij zich aan deze afspraken houden.
De toegang tot uw gegevens wordt alleen toegekend aan medewerkers die aantoonbaar deze toegang nodig hebben voor het uitvoeren van hun werk.
Van wie krijgt de NZa mijn persoonsgegevens?
Contactgegevens ontvangen we in de meeste gevallen van uzelf.
Het kan voorkomen dat u een vraag heeft gesteld of een melding heeft gemaakt bij een andere organisatie en dat deze organisatie van mening is dat uw vraag of melding beter bij de NZa past. Deze organisaties kunnen dan uw gegevens aan ons doorsturen. Dit gebeurt alleen als de wet dit toestaat.
Deelt de NZa mijn gegevens met anderen?
Als u met ons contact opneemt om een vraag te stellen, zullen we uw gegevens niet delen met andere organisaties. Wanneer de vraag niet voor ons, maar voor een ander bestuursorgaan is bedoeld, verwijzen we u door naar de juiste organisatie.
Als u een melding maakt van een mogelijke misstand in de zorg kan het voor ons noodzakelijk zijn deze melding door te zetten naar andere toezichthouders. Wij delen deze gegevens alleen als de wet dit toestaat. Zo deelt de NZa gegevens met andere toezichthouders, zoals de Inspectie Gezondheidszorg en Jeugd (IGJ), het Zorginstituut Nederland en de Autoriteit Consument en Markt (ACM). Sommige (overheids)partijen zijn verenigd in het Informatie Knooppunt Zorgfraude, het IKZ. Binnen het IKZ worden zorgfraudesignalen met elkaar gedeeld. De NZa draagt door het delen van deze signalen bij aan het tegengaan van zorgfraude.
We maken in sommige gevallen gebruik van verwerkers. Dit zijn andere organisaties die namens de NZa persoonsgegevens verwerken. We sluiten zogeheten verwerkersovereenkomsten af met deze organisaties. Denk aan leveranciers van ICT-diensten.
Waarom mag de NZa mijn gegevens verwerken (grondslag)?
Als de NZa persoonsgegevens wil gebruiken om haar wettelijke taken uit te voeren, dan mag dat alleen als er sprake is van een grondslag. Voor het verwerken van medische persoonsgegevens gelden strengere regels; dat mag alleen als er ook sprake is van een uitzonderingsgrondslag. Een dergelijke uitzondering is bijvoorbeeld dat de wet het voorschrijft. Daar is in het geval van de NZa sprake van.
De NZa beroept zich in bijna alle gevallen op het algemeen belang dat zij nastreeft met de uitvoering van haar taken en de wet waaruit volgt dat de NZa hiervoor ook daadwerkelijk persoonsgegevens mag gebruiken. Zo staat beschreven in de Wet marktordening gezondheidszorg (Wmg) dat wij voorlichting geven over onze regels en dat wij een meldpunt hebben voor het ontvangen van informatie met betrekking tot mogelijke misstanden in de zorg. Voor het behandelen van meldingen mogen we ook medische persoonsgegevens verwerken.
Hoe lang bewaart de NZa mijn persoonsgegevens?
We bewaren persoonsgegevens niet langer dan nodig is om ons werk te kunnen doen. Daarbij kijken we naar waarom we de gegevens nodig hebben. We gebruiken of bewaren de gegevens in overeenstemming met de wettelijke termijn. Daarna vernietigen we deze gegevens. Meer informatie over het vernietigen en bewaren van gegevens vindt u in de selectielijst van de NZa. Dit is een lijst die iedere overheidsorganisatie op moet stellen volgens de Archiefwet. Hierin staat welke informatie wij permanent bewaren en welke informatie wij na een periode vernietigen.
De gegevens die we van u ontvangen als u contact met ons opneemt, bijvoorbeeld om een vraag te stellen, bewaren we 5 jaar. Als u een melding maakt van een mogelijke misstand, bewaren wij deze gegevens 10 jaar.
Privacyverklaring klokkenluidersmeldpunt
Bent u door uw werk in aanraking gekomen met (het vermoeden van) een misstand bij een zorgaanbieder of zorgverzekeraar, dan kunt u dit als klokkenluider melden bij de NZa. Het gaat dan bijvoorbeeld om meldingen over zorgfraude of andere onacceptabele en onwetmatige praktijken zoals het misleiden van verzekerden. Houdt de misstand verband met de wet- en regelgeving waar de NZa op toeziet, dan neemt een speciaal klokkenluidersteam de melding in behandeling. Dit team beoordeelt de melding en onderneemt indien nodig actie om de misstand te beëindigen.
Om deze wettelijke taak goed uit te kunnen voeren, verwerkt de NZa persoonsgegevens. De NZa gaat zeer zorgvuldig om met deze persoonsgegevens en verwerkt deze persoonsgegevens alleen als dit mag op grond van de wet, waaronder de Algemene Verordening Gegevensbescherming (AVG), de bijhorende uitvoeringswet (UAVG) en de Wet bescherming klokkenluiders. Hoe de NZa dit doet en om wat voor persoonsgegevens het gaat, leggen wij hieronder uit.
Wilt u meer informatie over wanneer iemand aangemerkt wordt als klokkenluider en wat dit voor diegene betekent, dan verwijzen wij naar de pagina Ons meldpunt op onze website en naar de website van het Huis voor Klokkenluiders.
Welke persoonsgegevens verwerken wij van u?
Het antwoord op de vraag welke persoonsgegevens verwerkt worden, is afhankelijk van de ingediende klokkenluidersmelding en de eventueel toegestuurde documentatie. Dit leggen wij hieronder uit.
Om het (vermoeden van) misstand bij de NZa te melden, dient de melder per e-mail een terugbelverzoek te sturen naar klokkenluiders@nza.nl. Naast het verzoek om terug te bellen op een nader genoemd telefoonnummer, wordt de melder ook verzocht om in de e-mail op hoofdlijnen uit te leggen waar de melding over gaat en wat diens betrokkenheid is (geweest) bij de zorgaanbieder of zorgverzekeraar waarover gemeld wordt. De melder wordt vooralsnog verzocht géén vertrouwelijke informatie toe te sturen met de mail. Het hangt echter van (de inhoud van) de melding af welke persoonsgegevens verwerkt worden. Het is aannemelijk dat het daarbij gaat om ten minste de persoonsgegevens die hieronder vermeld staan. Er is daarbij onderscheid te maken tussen de persoonsgegevens van de melder en de eventuele persoonsgegevens van degene(n) waarover gemeld wordt.
Gegevens van de melder
-
voor- en achternaam
-
e-mailadres
-
telefoonnummer
-
functie/rol en eventueel andere werkgerelateerde gegevens
-
inhoud melding, waaronder de opvattingen van de melder en mogelijk gegevens over de melder zelf (financiële gegevens, lidmaatschap vakbond, politieke overtuiging, gender, etc.).
Gegevens van degene(n) waarover gemeld wordt
-
bedrijfsnaam, bijvoorbeeld in het geval van eenmanszaken.
-
voor- en achternaam
-
contact- en/of adresgegevens
-
functie/rol en eventueel andere werkgerelateerde gegevens
-
informatie over de (vermoedelijke) misstand, waaronder mogelijk strafrechtelijke gegevens en andere gegevens betreffende degene(n) waarover wordt gemeld (financiële gegevens, politieke overtuiging, gender, etc).
Vervolgens neemt het klokkenluidersteam binnen drie werkdagen contact met de melder op. Als de melding onder de reikwijdte van de klokkenluidersregeling valt en (het vermoeden van) de misstand verband houdt met de wet- en regelgeving waar de NZa op toeziet, dan wordt er een telefonische afspraak ingepland om de melding samen met de melder door te nemen. Dit gesprek wordt niet opgenomen, maar er wordt wel een gespreksverslag opgesteld. Als aanvullende informatie nodig is om uw melding in behandeling te kunnen nemen, dan wordt u gevraagd deze informatie met ons te delen. De wijze waarop dit gebeurt zullen wij u dan over informeren. Hier geldt eveneens dat de persoonsgegevens die verwerkt worden, afhangen van de informatie die verstrekt wordt door de melder. In aanvulling op de opsomming die hierboven staat, en dus in gezamenlijkheid bezien, kan het gaan om de volgende persoonsgegevens.
Gegevens van de melder
-
klokkenluidersstatus (of het ontbreken hiervan)
-
inhoud van het gespreksverslag, waaronder de opvattingen van de melder.
Gegevens van anderen
Waarom hebben we uw persoonsgegevens nodig?
Vooropgesteld verwerken wij persoonsgegevens op grond van de wet en doen wij dit alleen als dit noodzakelijk is en niet anders kan. In dit geval verwerkt de NZa de eerder genoemde persoonsgegevens (zie 'welke persoonsgegevens verwerken wij') om opvolging te geven aan de taak zoals vervat in Wet bescherming klokkenluiders. Op basis van deze wet is de NZa aangemerkt als een zogeheten bevoegde autoriteit voor het ontvangen en behandelen van klokkenluidersmeldingen, althans voor zover deze meldingen zien op (vermoedelijke) misstanden die verband houden met wet- en regelgeving waar de NZa op toeziet. Zonder persoonsgegevens, zoals bijvoorbeeld de naam en de contactgegevens van de melder, is het niet mogelijk voor de NZa om vast te stellen of een melding onder de klokkenluidersregeling valt en is het ook niet mogelijk om de melding vervolgens verder op te volgen.
Hoe beschermen wij uw gegevens?
We zorgen dat uw gegevens goed beveiligd zijn. De Rijksoverheid heeft standaarden voor informatiebeveiliging opgesteld. Compliance met deze standaarden wordt periodiek gecontroleerd en over gerapporteerd. Waar nodig maken we afspraken over de beveiliging van persoonsgegevens met organisaties zoals onze softwareleveranciers en datacentra. We controleren ook of zij zich aan deze afspraken houden.
Verder is elke NZa-medewerker gebonden aan geheimhouding en houdt het klokkenluidersteam de identiteit van de melder en (andere) betrokkene geheim, tenzij de melder instemt met het openbaren van diens identiteit. De toegang tot de (inhoud van de) klokkenluidersmelding is om die reden beperkt tot het klokkenluidersteam.
Van wie krijgt de NZa mijn persoonsgegevens?
De NZa ontvangt de persoonsgegevens (zie 'welke persoonsgegevens verwerken wij') veelal van de melder die een klokkenluidersmelding indient. Het kan echter ook voorkomen dat de NZa een melding doorgestuurd krijgt van een andere bevoegde autoriteit, omdat niet deze autoriteit maar de NZa de bevoegdheid is de melding in behandeling te nemen of omdat de NZa naast deze autoriteit óók bevoegd is. Dit gebeurt alleen als de melder hier voorafgaand mee instemt.
Deelt de NZa mijn gegevens met anderen?
Als de NZa een melding ontvangt over een (vermoedelijke) misstand die niet verband houdt met de wet- en regelgeving waar de NZa op toeziet, dan kan de NZa de melding doorsturen naar de juiste, bevoegde autoriteit. Dit doet de NZa alleen als de melder hiermee voorafgaand instemt. Ditzelfde geldt als de NZa een melding wil doorsturen naar een andere autoriteit, omdat deze óók bevoegd is om de melding in behandeling te nemen en verder op te volgen.
Van belang om op te merken is dat de identiteit van de melder in beginsel niet zonder diens instemming door de NZa geopenbaard wordt en dat ook andere betrokkenen in beginsel geheimhouding genieten, in ieder geval zolang het onderzoek loopt. Het kan echter zo zijn dat de NZa op grond van een wettelijke verplichting of in het kader van een rechtelijke procedure ertoe gehouden is de identiteit van de melder of een betrokkene bekend te maken. Als dit het geval is, dan ontvangt de melder en/of de betrokkene vooraf een schriftelijke toelichting met de redenen voor het bekendmaken van diens identiteit. Dit is anders als door dit laatste het onderzoek of de gerechtelijke procedure in gevaar brengt.
Waarom mag de NZa mijn gegevens verwerken (grondslag)?
De NZa is op grond van de Wet bescherming klokkenluiders (Wbk), die invulling geeft aan Richtlijn EU 2019/1937, aangemerkt als een bevoegde autoriteit. Als bevoegde autoriteit is de NZa ertoe gehouden om een meldkanaal op te richten waar (vermoedelijke) misstanden gemeld kunnen worden: het 'Meldpunt misstanden bij zorgaanbieders of zorgverzekeraars'. Bij dit meldpunt kunnen vermoedelijke misstanden gemeld worden, die de NZa indachtig de bepalingen genoemd in de Wbk in ontvangst neemt en opvolgt, althans voor zover het (vermoedelijke) misstanden betreffen die verband houden met wet- en regelgeving waar de NZa op toeziet.
De toezichtstaken die de NZa kan aanwenden om een eventuele misstand te beëindigden, zijn vervat in de Wet marktordening gezondheidszorg (Wmg). Voor het uitoefenen van haar wettelijke toezichtstaken is het de NZa ingevolge de Regeling categorieën persoonsgegevens WMG toegestaan de voor deze taak noodzakelijke identificerende, medische en strafrechtelijke persoonsgegevens te verwerken. De NZa verwerkt deze persoonsgegevens daarmee op basis van een rechtmatige AVG-grondslag (artikel 6(1)(e) AVG artikel 9(2)(g) AVG en artikel 10 AVG).
Hoe lang bewaart de NZa mijn persoonsgegevens?
De NZa is gehouden aan de Archiefwet en de hierop gebaseerde Selectielijst. Op grond van de Selectielijst bewaart de NZa klokkenluidersmeldingen en gegevens die hiermee (rechtstreeks) verband houden, voor een periode van 10 jaar.
Privacyverklaring voor (medewerkers van) zorgaanbieders
Wij verwerken persoonsgegevens van zorgaanbieders die zorg leveren vanuit de Zorgverzekeringswet of Wet langdurige zorg. In de meeste gevallen blijft dit beperkt tot de namen van bestuurders en contactgegevens van de contactpersonen die bij ons bekend zijn. Voor sommige zorgaanbieders geldt dat de financiële gegevens van de organisatie ook persoonsgegevens zijn. Deze gegevens ontvangen we, zodat we deze gegevens kunnen gebruiken voor de verschillende taken van de NZa of kunnen delen met andere rechtmatige ontvangers. Als de bewaartermijn is verlopen, verwijderen we deze gegevens weer.
Welke persoonsgegevens verwerken wij van u?
Als we uw contactgegevens verwerken betreft dit doorgaans uw naam, zakelijke contactgegevens als een e-mailadres en/of telefoonnummer en soms ook een zakelijk adres.
Het kan voorkomen dat iemand of een andere organisatie een melding bij ons maakt over u of uw organisatie en daarbij uw persoonsgegevens met ons deelt. Als we besluiten zo'n melding te onderzoeken maken we tijdens het onderzoek gebruik van verschillende bronnen: het Handelsregister van de KvK, het AGB-register en declaratiegegevens van Vektis en de jaarverantwoording van uw organisatie. Ook ontvangen we soms aanvullende informatie van het 'Informatie Knooppunt Zorgfraude' (IKZ). Tijdens dit onderzoek is het mogelijk dat we gegevens over u verwerken. U kunt hierbij denken aan zakelijke contact- en adresgegevens, maar ook uw AGB-code, BIG-nummer, omzetgegevens en in sommige gevallen eerdere strafrechtelijke veroordelingen en strafbare feiten.
We voeren in verschillende zorgsectoren periodiek kostenonderzoeken uit. Hierbij brengen we de kosten van zorgaanbieders in kaart, die de basis kunnen vormen voor nieuwe tarieven. Doorgaans wordt hierbij een aantal zorgaanbieders verplicht gegevens aan te leveren om deze kosten te kunnen berekenen. Hierbij ontvangen we naast uw contactgegevens soms ook financiële gegevens over u of uw organisatie. U kunt hierbij denken aan de kosten die uw organisatie maakt voor salarissen en toeslagen voor medewerkers van uw organisatie of inhuur van personeel dat niet vast in loondienst is.
Waarom hebben we uw persoonsgegevens nodig?
We werken aan toegankelijke en betaalbare zorg voor alle inwoners van Nederland. Wij hebben volgens de wet een aantal taken. De belangrijkste zijn:
-
we maken regels als dat nodig is;
-
we stellen tarieven en prestaties vast;
-
we houden toezicht op zorgverleners en zorgverzekeraars;
-
we doen onderzoek en adviseren het ministerie van VWS.
Uw persoonsgegevens hebben we nodig om deze taken goed uit te voeren. Zo gebruiken we uw gegevens bijvoorbeeld om contact met u op te kunnen nemen, maar ook om te onderzoeken of u (of uw organisatie) zich wel aan de regels houdt. Dit doen we bijvoorbeeld als gevolg van een melding, of tijdens het opsporen van risicovolle of ongewenste bedrijfs¬constructies. We gebruiken ook financiële gegevens over u of uw organisatie als we de kosten van zorgaanbieders in kaart brengen om nieuwe tarieven in een zorgsector te berekenen.
We gebruiken uw gegevens niet om automatisch besluiten te nemen over uw organisatie.
Hoe beschermen wij uw gegevens?
We zorgen dat uw gegevens goed beveiligd zijn. De Rijksoverheid heeft standaarden voor informatiebeveiliging opgesteld. Compliance met deze standaarden wordt periodiek gecontroleerd en over gerapporteerd. Waar nodig maken we afspraken over de beveiliging van persoonsgegevens met organisaties zoals onze softwareleveranciers en datacentra. We controleren ook of zij zich aan deze afspraken houden.
De toegang tot uw gegevens wordt alleen toegekend aan medewerkers die aantoonbaar deze toegang nodig hebben voor het uitvoeren van hun werk.
Van wie krijgt de NZa mijn persoonsgegevens?
Contactgegevens ontvangen we in de meeste gevallen van uzelf of uw eigen organisatie. Dit betreft dan doorgaans uw naam, zakelijke contactgegevens als een e-mailadres en/of telefoonnummer en soms ook een zakelijk adres. Het kan voorkomen dat u uw gegevens hebt doorgegeven aan een andere partij die het vervolgens met ons deelt, bijvoorbeeld het CIBG in het kader van uw jaarverantwoording.
Deelt de NZa mijn gegevens met anderen?
De NZa verzamelt en gebruikt persoonsgegevens om de zorg toegankelijk en betaalbaar te houden, en dus voor haar eigen wettelijke taken. Dit betekent dat wij deze gegevens niet delen met anderen, tenzij de wet dit toestaat. Zo deelt de NZa gegevens met andere toezichthouders, zoals de Inspectie Gezondheidszorg en Jeugd (IGJ), het Zorginstituut Nederland en de Autoriteit Consument en Markt (ACM). Sommige (overheids)partijen zijn verenigd in het Informatie Knooppunt Zorgfraude, het IKZ. Binnen het IKZ worden zorgfraudesignalen met elkaar gedeeld. De NZa draagt door het delen van deze signalen bij aan het tegengaan van zorgfraude.
De NZa beoordeelt per geval welke gegevens gedeeld mogen worden en deelt deze gegevens alleen als partijen kunnen aantonen dat zij de gegevens echt nodig hebben om hun wettelijke taken uit te voeren. Als de wet aanvullende waarborgen voorschrijft, dan gaat de NZa na of partijen deze waarborgen ook daadwerkelijk treffen.
Tot slot maakt de NZa met enige regelmaat gebruik van andere partijen die de NZa ondersteunen bij het uitvoeren van haar wettelijke taken. Te denken valt daarbij aan een ICT-dienstverlener die gegevens namens de NZa opslaat en beheert of een bureau dat ondersteunt bij het uitvoeren van kostenonderzoeken. De NZa blijft verantwoordelijk voor deze gegevens en maakt duidelijke afspraken met deze partijen. Deze afspraken leggen wij vast in een verwerkersovereenkomst.
Waarom mag de NZa mijn gegevens verwerken (grondslag)?
Als de NZa persoonsgegevens wil gebruiken om haar wettelijke taken uit te voeren, dan mag dat alleen als er sprake is van een grondslag. De NZa beroept zich in bijna alle gevallen op het algemeen belang dat zij nastreeft met de uitvoering van haar taken en de wet waaruit volgt dat de NZa hiervoor ook daadwerkelijk persoonsgegevens mag gebruiken. De wettelijke taken van de NZa volgen uit de Wet marktordening gezondheidszorg (Wmg).
Hoe lang bewaart de NZa mijn persoonsgegevens?
We bewaren persoonsgegevens niet langer dan nodig is om ons werk te kunnen doen. Daarbij kijken we naar waarom we de gegevens nodig hebben. We gebruiken of bewaren de gegevens in overeenstemming met de wettelijke termijn. Daarna vernietigen we deze gegevens. Meer informatie over het vernietigen en bewaren van gegevens vindt u in de selectielijst van de NZa. Dit is een lijst die iedere overheidsorganisatie op moet stellen volgens de Archiefwet. Hierin staat welke informatie wij permanent bewaren en welke informatie wij na een periode vernietigen.
De gegevens die we van u ontvangen als u contact met ons opneemt, bijvoorbeeld om een vraag te stellen, bewaren we 5 jaar. Gegevens die we gebruiken om prestaties en tarieven vast te stellen of om toezicht te houden op zorgaanbieders bewaren we 10 jaar. Notulen van externe overleggen verwijderen we nooit.
Privacyverklaring voor contactpersonen van marktpartijen
Wij verwerken persoonsgegevens van contactpersonen van verschillende partijen in de gezondheidszorg waarmee we samenwerken. Denk daarbij aan andere overheidsorganisaties, maar ook branche- en beroepsorganisaties.
De samenwerking omvat het onderhouden van relaties via periodieke overleggen, het sluiten van samenwerkingsovereenkomsten en het uitvoeren van gezamenlijke initiatieven. Tijdens deze samenwerkingen bespreken we actuele ontwikkelingen, delen we informatie, stemmen we beleid af en maken we analyses van trends en problemen. Deze afstemming is essentieel voor het vormgeven van effectief en breedgedragen beleid in het licht van de taken van de NZa.
Om deze samenwerkingen mogelijk te maken, ontvangen wij namen, e-mailadressen, telefoonnummers en informatie over functies en rollen van personen betrokken bij de marktpartijen. Deze gegevens gebruiken we in overeenstemming met wettelijke verplichtingen om de samenwerking te faciliteren.
Zodra de bewaartermijn is verstreken, verwijderen we deze gegevens weer.
Welke persoonsgegevens verwerken wij van u?
Als we uw gegevens verwerken betreft dit doorgaans uw naam, zakelijke contactgegevens als een e-mailadres en/of telefoonnummer en een eventueel zakelijk adres. Daarnaast verwerken wij vaak ook informatie met betrekking tot uw dienstverband, denk aan uw functie of rol binnen een bedrijf of bepaalde projecten binnen een bedrijf.
Waarom hebben we uw persoonsgegevens nodig?
We werken aan toegankelijke en betaalbare zorg voor alle inwoners van Nederland. Wij hebben volgens de wet een aantal taken. De belangrijkste zijn:
-
we maken regels als dat nodig is;
-
we stellen tarieven en prestaties vast;
-
we houden toezicht op zorgverleners en zorgverzekeraars;
-
we doen onderzoek en adviseren het ministerie van VWS.
De wettelijke taken van de NZa volgen uit de Wet marktordening gezondheidszorg (Wmg).
Uw persoonsgegevens hebben we nodig om deze taken goed uit te voeren. Zo gebruiken we uw gegevens bijvoorbeeld om contact met u op te kunnen nemen over actuele ontwikkelingen en het afstemmen van beleid. Het verwerken van uw persoonsgegevens dient het specifieke doel van het toezicht, de regulering en de verbetering van de gezondheidszorg in Nederland.
Hoe beschermen wij uw gegevens?
We zorgen dat uw gegevens goed beveiligd zijn. De Rijksoverheid heeft standaarden voor informatiebeveiliging opgesteld. Compliance met deze standaarden wordt periodiek gecontroleerd en over gerapporteerd. Waar nodig maken we afspraken over de beveiliging van persoonsgegevens met organisaties zoals onze softwareleveranciers en datacentra. We controleren ook of zij zich aan deze afspraken houden.
De toegang tot uw gegevens wordt alleen toegekend aan medewerkers die aantoonbaar deze toegang nodig hebben voor het uitvoeren van hun werk.
Van wie krijgt de NZa mijn persoonsgegevens?
Contactgegevens ontvangen we in de meeste gevallen van uzelf of uw eigen organisatie. Dit betreft dan doorgaans uw naam, zakelijke contactgegevens als een e-mailadres en/of telefoonnummer en informatie over functies en rollen.
Deelt de NZa mijn gegevens met anderen?
Uw persoonsgegevens worden niet gedeeld en worden uitsluitend verstrekt indien dit nodig is voor de uitvoering van de samenwerking met u of uw organisatie, om te voldoen aan hetgeen u verzoekt of om te voldoen aan een wettelijke verplichting.
Waarom mag de NZa mijn gegevens verwerken (grondslag)?
Als de NZa persoonsgegevens wil gebruiken om haar wettelijke taken uit te voeren, dan mag dat alleen als er sprake is van een grondslag. De NZa beroept zich in bijna alle gevallen op het algemeen belang dat zij nastreeft met de uitvoering van haar taken en de wet waaruit volgt dat de NZa hiervoor ook daadwerkelijk persoonsgegevens mag gebruiken. De wettelijke taken van de NZa volgen uit de Wet marktordening gezondheidszorg (Wmg).
Hoe lang bewaart de NZa mijn persoonsgegevens?
We bewaren persoonsgegevens niet langer dan nodig is om ons werk te kunnen doen. Daarbij kijken we naar waarom we de gegevens nodig hebben. We gebruiken of bewaren de gegevens in overeenstemming met de wettelijke termijn. Daarna vernietigen we deze gegevens. Meer informatie over het vernietigen en bewaren van gegevens vindt u in de selectielijst van de NZa. Dit is een lijst die iedere overheidsorganisatie op moet stellen volgens de Archiefwet. Hierin staat welke informatie wij permanent bewaren en welke informatie wij na een periode vernietigen.
De gegevens die we van u ontvangen, bijvoorbeeld ter voorbereiding op een ketenoverleg of in het kader van een lopend project, bewaren we 5 jaar. Notulen van bijvoorbeeld technisch overleg verwijderen we nooit.
Privacyverklaring voor leveranciers en andere bezoekers van ons kantoor
Als u een afspraak bij ons op kantoor heeft of als u een dienst op het terrein van ons kantoor verleent, moet een medewerker van de NZa u daarvoor aanmelden. Daarnaast hangen er ter beveiliging ook camera's zichtbaar aan de buitenkant van het kantoorpand. Als bezoeker of leverancier van de NZa verwerken we dus uw persoonsgegevens. Daarmee bedoelen we dat we uw gegevens opslaan en, als we ze niet meer nodig hebben, weer verwijderen.
Welke persoonsgegevens verwerken wij van u?
De persoonsgegevens die we in ons bezoekerssysteem opslaan als we een bezoeker aanmelden zijn uw naam en de datum en het tijdstip van uw bezoek. In sommige gevallen wordt hier ook het bedrijf namens wie u hier komt en uw telefoonnummer bij opgegeven. Deze worden door een medewerker van de NZa ingevuld. In de meeste gevallen zal deze de informatie van uzelf hebben verkregen. Daarnaast wordt u gevraagd om een geldig identiteitsbewijs bij de receptie/beveiliging. We ontvangen daarnaast beelden van u, die door de camera's zijn opgenomen.
Waarom hebben we uw persoonsgegevens nodig?
We verwerken veel gevoelige persoonsgegevens bij het uitoefenen van onze taken. We proberen om de toegang tot deze gegevens zoveel mogelijk te beperken. Dat doen we digitaal maar ook fysiek, bijvoorbeeld door middel van toegangspoortjes en camera's aan de buitenwanden. Indien er sprake is geweest van een incident of calamiteit, kunnen we aan de hand van deze gegevens achterhalen wie er op welk moment in ons pand is geweest, zodat u, indien nodig, kunnen benaderen. Daarnaast is er sprake van cameratoezicht op het terrein van ons kantoor, om te zorgen voor een veilige werkomgeving.
Hoe beschermen wij uw gegevens?
We zorgen dat uw gegevens goed beveiligd zijn. De Rijksoverheid heeft standaarden voor informatiebeveiliging opgesteld. Compliance met deze standaarden wordt periodiek gecontroleerd en over gerapporteerd. Waar nodig maken we afspraken over de beveiliging van persoonsgegevens met organisaties zoals onze softwareleveranciers en datacentra. We controleren ook of zij zich aan deze afspraken houden.
De toegang tot uw gegevens wordt alleen toegekend aan medewerkers die aantoonbaar deze toegang nodig hebben voor het uitvoeren van hun werk.
Van wie krijgt de NZa mijn persoonsgegevens?
De gegevens die wij verwerken in het kader van de toegangscontrole ontvangen wij van u of van uw werkgever. De camerabeelden verzamelen wij zelf.
Deelt de NZa mijn gegevens met anderen?
We delen uw gegevens nooit zomaar. Uw gegevens worden alleen gedeeld als u daar zelf toestemming voor heeft verleend, of als de gegevensdeling noodzakelijk is voor de naleving van een wettelijke verplichting van de NZa of ter vrijwaring van een vitaal belang van betrokkene. Beelden kunnen gedeeld worden ter voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten.
We maken gebruik van verwerkers. Dit zijn andere organisaties die namens de NZa persoonsgegevens verwerken. We sluiten zogeheten verwerkersovereenkomsten af met deze organisaties.
Waarom mag de NZa mijn gegevens verwerken (grondslag)?
Als de NZa persoonsgegevens wil gebruiken om haar wettelijke taken uit te voeren, dan mag dat alleen als er sprake is van een grondslag. De NZa beroept zich in bijna alle gevallen op het algemeen belang dat zij nastreeft met de uitvoering van haar taken en de wet waaruit volgt dat de NZa hiervoor ook daadwerkelijk persoonsgegevens mag gebruiken. De wettelijke taken van de NZa volgen uit de Wet marktordening gezondheidszorg (Wmg). Onderdeel van deze taken is het beveiligen van de gegevens die wij verwerken, zowel digitaal als fysiek.
Hoe lang bewaart de NZa mijn persoonsgegevens?
We bewaren persoonsgegevens niet langer dan nodig is om ons werk te kunnen doen. Daarbij kijken we naar waarom we de gegevens nodig hebben. We gebruiken of bewaren de gegevens in overeenstemming met de wettelijke termijn. Daarna vernietigen we deze gegevens. Meer informatie over het vernietigen en bewaren van gegevens vindt u in de selectielijst van de NZa. Dit is een lijst die iedere overheidsorganisatie op moet stellen volgens de Archiefwet. Hierin staat welke informatie wij permanent bewaren en welke informatie wij na een periode vernietigen.
De gegevens die we van u verwerken als u bij ons op bezoek komt, bewaren we 7 jaar. De camerabeelden worden automatisch na 28 dagen gewist. Als de beelden opgevraagd zijn in het kader van een onderzoek naar een mogelijk incident of calamiteit kunnen we een kopie van de beelden langer bewaren. Deze beelden worden niet langer bewaard dan voor het onderzoek benodigd.
Privacyverklaring voor abonnees van onze nieuwsbrieven
Om u te abonneren op onze nieuwsbrief moet u een e-mailadres opgeven waarop u de nieuwsbrief wenst te ontvangen. Dit e-mailadres bewaren we zo lang u ingeschreven staat voor (een van) de nieuwsbrieven. Tijdens deze periode worden de gegevens niet gedeeld.
Welke persoonsgegevens verwerken wij van u?
Als u zich aanmeldt voor een nieuwsbrief, registreren wij uw e-mailadres. Daarnaast verwerken wij ook beperkt analytische data over het gebruik van onze nieuwsbrief.
Waarom hebben we uw persoonsgegevens nodig?
Wij gebruiken uw e-mailadres om u de nieuwsbrieven te kunnen sturen waarvoor u zich heeft aangemeld.
Hoe beschermen wij uw gegevens?
We zorgen dat uw gegevens goed beveiligd zijn. De Rijksoverheid heeft standaarden voor informatiebeveiliging opgesteld. Compliance met deze standaarden wordt periodiek gecontroleerd en over gerapporteerd. Waar nodig maken we afspraken over de beveiliging van persoonsgegevens met organisaties zoals onze softwareleveranciers en datacentra. We controleren ook of zij zich aan deze afspraken houden.
De toegang tot uw gegevens wordt alleen toegekend aan medewerkers die aantoonbaar deze toegang nodig hebben voor het uitvoeren van hun werk.
Van wie krijgt de NZa mijn persoonsgegevens?
De gegevens verkrijgen wij van u op het moment dat u zich inschrijft voor een nieuwsbrief.
Deelt de NZa mijn gegevens met anderen?
Wij delen uw gegevens niet. We maken gebruik van Webpower, een nieuwsbrieventool van Rijksoverheid, om onze nieuwsbrieven mee op te stellen en te versturen.
Waarom mag de NZa mijn gegevens verwerken (grondslag)?
De NZa verwerkt u gegevens op basis van uw toestemming. Door u in te schrijven voor de nieuwsbrief geeft u ons toestemming om uw e-mailadres te gebruiken om de nieuwsbrief naar u toe te sturen.
Hoe lang bewaart de NZa mijn persoonsgegevens?
Uw e-mailadres bewaren we zo lang u ingeschreven staat voor (een van) de nieuwsbrieven. U kunt u op elk moment afmelden van de nieuwsbrief. Hiervoor is een link opgenomen onderaan elke nieuwsbrief. Het open- en klikgedrag van lezers van de nieuwsbrief wordt na 24 maanden geanonimiseerd.
Privacyverklaring voor kinderen
Soms moet je naar de dokter. Bijvoorbeeld omdat je pijn hebt of ziek bent. Dit kost geld. Dat betaal je vaak niet zelf. Een verzekeraar betaalt dat.
Hoeveel geld jouw bezoek aan de dokter kost bepalen wij. Wij zijn de Nederlandse Zorgautoriteit. Wij zijn onderdeel van de overheid.
Wij doen onderzoek om de juiste prijzen te kiezen. Dit onderzoek doen we met informatie over jou. Bijvoorbeeld informatie over jouw bezoek aan de dokter. Meer informatie lees je hieronder.
Waarom verzamelen we jouw gegevens?
Bij de dokter zitten er vaak veel mensen in de wachtkamer. Ze lezen een tijdschrift. Ze kijken wat om zich heen.
Deze mensen wachten op hun afspraak. Omdat zij ziek zijn of omdat ze pijn hebben. Dit kost allemaal geld. Wij bepalen hoeveel geld een dokter mag vragen.
Die prijzen bepalen is moeilijk. Daarom doen wij veel onderzoek. Hiervoor hebben wij informatie van jou nodig.
Wij, de Nederlandse Zorgautoriteit, doen dus vooral veel onderzoek. Dit moeten wij doen van de wet. Na dit onderzoek maken we regels. Bijvoorbeeld over de prijzen van zorg.
Ook kijken we of dokters en verzekeraars zich wel aan deze regels houden. We geven ook advies aan de overheid.
Het werk dat wij doen helpt om de zorg in Nederland betaalbaar te houden. Dat betekent dat het niet te veel kost. We willen dat alle mensen naar de dokter kunnen.
Welke gegevens gebruiken wij?
Voor ons werk hebben wij informatie van jou nodig. Je hoeft zelf niets te doen. Wij krijgen die informatie via jouw dokter. We krijgen deze informatie over jou:
-
hoe de dokter jou heeft geholpen;
-
hoe de dokter heet die jou heeft geholpen;
-
hoeveel het bezoek aan de dokter kost.
Wij krijgen niet te weten:
-
hoe je heet;
-
waar je woont;
-
wanneer je jarig bent
Van wie krijgen we jouw gegevens?
Als NZa ontvangen wij van verschillende organisaties jouw gegevens. De belangrijkste zijn:
Delen wij jouw gegevens met anderen?
Soms delen wij jouw gegevens met andere organisaties. Dit doen wij als het mag van de wet.
Waarom wij jouw gegevens mogen gebruiken?
Wij moeten onderzoek doen van de wet. Dat doen we met jouw gegevens. Dat mag van de wet.
Hoe gaan wij om met jouw gegevens?
Jouw gegevens zijn geheim. Je wil niet dat iedereen alles over jou weet. Daarom beschermen wij jouw geheimen. We gebruiken speciale computers. We hebben ook strenge regels voor medewerkers. Op die manier bewaren wij jouw geheimen.
We hebben jouw gegevens niet voor altijd nodig. De meeste gegevens bewaren we 20 jaar. Daarna gooien we ze weg.
Heb je vragen of een klacht?
Heb je vragen over jouw gegevens? Of heb je een klacht? Stuur dan een e-mail naar fg@nza.nl. Vraag je ouders om hulp.
Wil je weten welke gegevens wij van jou verwerken? Of ben je het niet met ons eens? Vul dan het formulier in op de website.
Een bericht sturen naar de Autoriteit Persoonsgegevens kan ook. Dat is een soort politieagent voor privacy. Vraag hiervoor je ouders om hulp. Lees meer op de website van de Autoriteit Persoonsgegevens.
Welke privacyrechten heb ik over het gebruik van mijn persoonsgegevens?
Op basis van de AVG heeft u een aantal rechten. Om hier gebruik van te maken, kunt u een verzoek indienen bij de NZa. U kunt uw AVG-verzoek per e-mail sturen aan info@nza.nl. Vermeld in het onderwerpveld: AVG-verzoek. Per post kunt u uw verzoek sturen naar het volgende adres: Nederlandse Zorgautoriteit o.v.v. AVG-verzoek, Postbus 3017, 3502 GA in Utrecht.
Na ontvangst van uw verzoek, neemt iemand van het privacyteam van de NZa contact met u op om uw verzoek en de vervolgstappen te bespreken. Eén van deze vervolgstappen is dat wij uw identiteit moeten vaststellen, zodat we weten dat het verzoek echt van u afkomstig is. Wij reageren vervolgens zo snel mogelijk en uiterlijk binnen een maand op uw verzoek. Soms kan het wat langer duren, bijvoorbeeld omdat uw verzoek complex is. In dat geval laten wij u weten 1 of 2 maanden langer de tijd nodig te hebben.
Individuele afweging bij ieder verzoek
Als overheidsorganisatie moeten we ons houden aan de wet, net als iedereen. We toetsen daarom elk verzoek aan de AVG en andere wetten en regels die gelden. Op basis van de wet zijn er ook gevallen waarin wij uw verzoek niet of niet volledig kunnen uitvoeren. Wij gaan daar hieronder nader op in.
Afwijzing
Bij ieder AVG-verzoek neemt de NZa een besluit. Dit besluit kan bijvoorbeeld zijn dat wij uw verzoek om inzage in uw gegevens, verwijdering of wijziging daarvan, afwijzen. Bent u het niet eens met ons besluit? Dan kunt u bezwaar maken. Uw verzoek wordt dan opnieuw beoordeeld. Daarna kunt u ook nog naar de rechter.
Inzage in uw gegevens
U heeft het recht om een inzageverzoek te doen. Dit betekent dat u ons mag vragen of, en zo ja, welke persoonsgegevens wij van u verwerken en mag verzoeken om een kopie van uw gegevens. U krijgt uiteraard alleen inzage in uw eigen gegevens. Voor veel van de gegevens die we over u hebben, geldt dat we zelf niet weten welke gegevens op u betrekking hebben, omdat deze gepseudonimiseerd zijn. Dit betekent dat wij niet direct zien over wie de gegevens gaan omdat wij geen een naam, adres of BSN van u ontvangen. Om u inzage te kunnen geven in uw gepseudonimiseerde persoonsgegevens, hebben wij veel aanvullende informatie van u nodig, waaronder specifieke gegevens over uw zorggebruik. Wij krijgen dan dus ook zicht op welke gegevens van u zijn. Ook in medische gegevens waarvan wij nu niet weten van wie die zijn.
Verwijderen van uw gegevens
U mag vragen om het verwijderen van uw gegevens of een deel daarvan. Vaak kunnen wij geen gehoor geven aan uw verzoek. Dit is zo, omdat wij veel gegevens verwerken in het kader van het algemeen belang, namelijk om de zorg voor iedereen in Nederland toegankelijk en betaalbaar te houden, ook voor u. Zonder gegevens kunnen wij dit niet doen, en daarom geldt in die gevallen vaak een wettelijke uitzondering.
Wijzigen van uw gegevens
U heeft het recht om uw gegevens te laten wijzigen als deze niet kloppen. Of als uw gegevens niet compleet zijn. Het gaat om het wijzigen van feitelijke gegevens. Indien het gaat om gegevens die wij niet rechtstreeks van uzelf hebben ontvangen, vragen wij u om dit in eerste instantie te laten wijzigen bij de organisatie aan wie u uw persoonsgegevens heeft verstrekt, denk aan uw zorgaanbieder of verzekeraar.
Hebben we uw gegevens doorgegeven aan andere organisaties? Dan geven we een correctie van uw persoonsgegevens aan hen door. We hoeven dit niet te doen als het niet mogelijk is of het heel veel werk kost. U kunt ons vragen met welke organisaties we uw persoonsgegevens hebben gedeeld.
Stoppen met het verwerken van uw gegevens
U kunt ons vragen te stoppen met het verwerken van uw persoonsgegevens. U maakt dan bezwaar tegen de verwerking.
We verwerken uw gegevens niet zomaar. Dat doen we in bijna alle gevallen in het kader van het algemeen belang, namelijk het toegankelijk en betaalbaar houden van de zorg. Als u bezwaar heeft tegen verwerkingen die we in het kader van het algemeen belang verwerken, zullen we een afweging maken tussen uw persoonlijke belang en het belang in het kader waarvan we de gegevens verwerken. Als uw persoonlijke belang zwaarder weegt dan het algemene belang, zullen we de verwerking stoppen en mogelijk als gevolg daarvan uw gegevens verwijderen.
Tijdelijk stoppen van de verwerking
U kunt ons vragen om (tijdelijk) te stoppen met het verwerken van uw persoonsgegevens. Bijvoorbeeld als u bezwaar heeft gemaakt tegen het verwerken van uw persoonsgegevens en daarop nog geen antwoord van ons heeft gekregen. Of als wij uw persoonsgegevens niet langer nodig hebben, maar u wel.
Gegevens overdragen
U heeft het recht om persoonsgegevens die u met ons heeft gedeeld weer (terug) te ontvangen. Dit recht is niet vaak van toepassing, omdat dit recht alleen geldt voor informatie die u aan ons heeft verstrekt en die de NZa verwerkt op basis van uw (uitdrukkelijke) toestemming of om te voldoen aan een overeenkomst met u. De NZa verwerkt bijna geen gegevens op basis van toestemming of een overeenkomst. In plaats daarvan verwerkt de NZa de gegevens het kader van het algemeen belang, dat bij wet aan de NZa is opgedragen.
Bij wie kan ik terecht met vragen of een klacht?
Als u een klacht heeft over de omgang met uw persoonsgegevens, kunt u met ons contact opnemen via onze Functionaris Gegevensbescherming (FG). U doet dit door een e-mail te sturen naar fg@nza.nl. De FG ziet er op toe dat de NZa de privacy wet- en regelgeving naleeft. Zij geeft hier ook advies over aan de organisatie.
U kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens. Hoe u dat doet lees u op de pagina 'Een tip of klacht indienen bij de AP' van de Autoriteit Persoonsgegevens.