Bent u door uw werk in aanraking gekomen met (het vermoeden van) een misstand bij een zorgaanbieder, zorgverzekeraar of Wlz-uitvoerder, dan kunt u dit als klokkenluider melden bij de Nederlandse Zorgautoriteit (NZa). Het gaat dan bijvoorbeeld om meldingen over zorgfraude of andere onacceptabele en onwetmatige praktijken zoals het misleiden van verzekerden. Houdt de misstand verband met de wet- en regelgeving waar de NZa op toeziet, dan neemt een speciaal klokkenluidersteam de melding in behandeling. Dit team beoordeelt de melding en onderneemt indien nodig actie om de misstand te beëindigen.
Om deze wettelijke taak goed uit te kunnen voeren, verwerkt de NZa persoonsgegevens. De NZa gaat zeer zorgvuldig om met deze persoonsgegevens en verwerkt deze persoonsgegevens alleen als dit mag op grond van de wet, waaronder de Algemene Verordening Gegevensbescherming (AVG), de bijhorende uitvoeringswet (UAVG) en de Wet bescherming klokkenluiders. Hoe de NZa dit doet en om wat voor persoonsgegevens het gaat, leggen wij hieronder uit.
Wilt u meer informatie over wanneer iemand aangemerkt wordt als klokkenluider en wat dit voor diegene betekent, dan verwijzen wij naar de onze pagina meldpunt klokkenluiders en naar de website van het Huis voor Klokkenluiders.
Wat zijn persoonsgegevens?
In de AVG staat uitgelegd dat alle informatie, die over iemand gaat of naar iemand te herleiden is, een persoonsgegeven is. Dit kunnen directe herleidbare gegevens zijn, zoals een (volledige) naam of BSN (burgerservicenummer), maar ook een verzameling van indirecte gegevens op basis waarvan duidelijk wordt dat het om een bepaald persoon gaat. U kunt dan denken aan uw postcode in combinatie met een huisnummer, geslacht, en het jaar en de maand waarin iemand geboren is.
Welke persoonsgegevens verwerken wij?
Het antwoord op de vraag welke persoonsgegevens verwerkt worden, is afhankelijk van de ingediende klokkenluidersmelding en de eventueel toegestuurde documentatie. Dit leggen wij hieronder uit.
Om het (vermoeden van) een misstand bij de NZa te melden, dient de melder per e-mail een terugbelverzoek te sturen naar klokkenluider@nza.nl. Naast het verzoek om terug te bellen op een nader genoemd telefoonnummer, wordt de melder ook verzocht om in de e-mail op hoofdlijnen uit te leggen waar de melding over gaat en wat diens betrokkenheid is (geweest) bij de zorgaanbieder, de zorgverzekeraar of de Wlz-uitvoerder waarover gemeld wordt. De melder wordt vooralsnog verzocht géén vertrouwelijke informatie toe te sturen in de mail. Het hangt echter van (de inhoud van) de melding af welke persoonsgegevens verwerkt worden. Het is aannemelijk dat het gaat om ten minste de persoonsgegevens die hieronder vermeld staan. Er is daarbij onderscheid te maken tussen de persoonsgegevens van de melder en de eventuele persoonsgegevens van degene(n) waarover gemeld wordt.
Gegevens van de melder
• voor- en achternaam
• e-mailadres
• telefoonnummer
• functie/rol en eventueel andere werkgerelateerde gegevens
• inhoud melding, waaronder de opvattingen van de melder en mogelijk gegevens over de melder zelf (financiële gegevens, lidmaatschap vakbond, politieke overtuiging, gender, etc.).
Gegevens van degene(n) waarover gemeld wordt
• bedrijfsnaam, bijvoorbeeld in het geval van eenmanszaken.
• voor- en achternaam
• contact- en/of adresgegevens
• functie/rol en eventueel andere werkgerelateerde gegevens
• informatie over de (vermoedelijke) misstand, waaronder mogelijk strafrechtelijke gegevens en andere gegevens betreffende degene(n) waarover wordt gemeld (financiële gegevens, politieke overtuiging, gender, etc).
Vervolgens neemt het klokkenluidersteam binnen drie werkdagen contact met de melder op. Als de melding onder de reikwijdte van de klokkenluidersregeling valt en (het vermoeden van) de misstand verband houdt met de wet- en regelgeving waar de NZa op toeziet, dan wordt er een telefonische afspraak ingepland om de melding samen met de melder door te nemen. Dit gesprek wordt niet opgenomen, maar er wordt wel een gespreksverslag opgesteld. Als aanvullende informatie nodig is om uw melding in behandeling te kunnen nemen, dan wordt u gevraagd deze informatie via een beveiligd uitwisselportaal met ons te delen. Hier geldt eveneens dat de persoonsgegevens die verwerkt worden, afhangen van de informatie die verstrekt wordt door de melder. In aanvulling op de opsomming die hierboven staat, en dus in gezamenlijkheid bezien, kan het gaan om de volgende persoonsgegevens.
Gegevens van de melder
• klokkenluidersstatus (of het ontbreken hiervan)
• inhoud van het gespreksverslag, waaronder de opvattingen van de melder.
Gegevens van anderen
• de inhoud van toegestuurde documentatie ter onderbouwing van de melding, waaronder mogelijk (gepseudonimiseerde) medische gegevens van patiënten.
Waarom hebben we persoonsgegevens nodig?
Vooropgesteld verwerken wij persoonsgegevens op grond van de wet en doen wij dit alleen als dit noodzakelijk is en niet anders kan. In dit geval verwerkt de NZa de eerder genoemde persoonsgegevens (zie 'welke persoonsgegevens verwerken wij') om opvolging te geven aan de taak zoals vervat in Wet bescherming klokkenluiders. Op basis van deze wet is de NZa aangemerkt als een zogeheten bevoegde autoriteit voor het ontvangen en behandelen van klokkenluidersmeldingen, althans voor zover deze meldingen zien op (vermoedelijke) misstanden die verband houden met wet- en regelgeving waar de NZa op toeziet. Zonder persoonsgegevens, zoals bijvoorbeeld de naam en de contactgegevens van de melder, is het niet mogelijk voor de NZa om vast te stellen of een melding onder de klokkenluidersregeling valt en is het ook niet mogelijk om de melding vervolgens verder op te volgen.
Hoe beschermt de NZa persoonsgegevens?
De NZa neemt passende technische en organisatorische maatregelen om een – op het risico afgestemd –beschermingsniveau te waarborgen. Naast de geldende wet- en regelgeving, conformeert de NZa zich ook aan regels en standaarden die door de Rijksoverheid worden voorgeschreven. Verder is elke NZa-medewerker gebonden aan geheimhouding en houdt het klokkenluidersteam de identiteit van de melder en (andere) betrokkene geheim, tenzij de melder instemt met het openbaren van diens identiteit. De toegang tot de (inhoud van de) klokkenluidersmelding is om die reden beperkt tot het klokkenluidersteam.
Van wie ontvangt de NZa de persoonsgegevens?
De NZa ontvangt de persoonsgegevens (zie 'welke persoonsgegevens verwerken wij') veelal van de melder die een klokkenluidersmelding indient. Het kan echter ook voorkomen dat de NZa een melding doorgestuurd krijgt van een andere bevoegde autoriteit, omdat niet deze autoriteit maar de NZa bevoegd is de melding in behandeling te nemen, of omdat de NZa naast deze autoriteit óók bevoegd is. Dit gebeurt alleen als de melder hier voorafgaand mee instemt.
Deelt de NZa persoonsgegevens met anderen?
Als de NZa een melding ontvangt over een (vermoedelijke) misstand die niet verband houdt met de wet- en regelgeving waar de NZa op toeziet, dan kan de NZa de melding doorsturen naar de juiste, bevoegde autoriteit. Dit doet de NZa alleen als de melder hiermee voorafgaand instemt. Ditzelfde geldt als de NZa een melding wil doorsturen naar een andere autoriteit, omdat deze óók bevoegd is om de melding in behandeling te nemen en verder op te volgen.
Van belang om op te merken is dat de identiteit van de melder in beginsel niet zonder diens instemming door de NZa geopenbaard wordt en dat ook andere betrokkenen in beginsel geheimhouding genieten, in ieder geval zolang het onderzoek loopt. Het kan echter zo zijn dat de NZa op grond van een wettelijke verplichting of in het kader van een rechtelijke procedure ertoe gehouden is de identiteit van de melder of een betrokkene bekend te maken. Als dit het geval is, dan ontvangt de melder en/of de betrokkene een schriftelijke toelichting met de redenen voor het bekendmaken van diens identiteit. Dit is anders als door dit laatste het onderzoek of de gerechtelijke procedure in gevaar brengt.
Waarom mag de NZa mijn gegevens verwerken (grondslag)?
De NZa is op grond van de Wet bescherming klokkenluiders (Wbk), die invulling geeft aan Richtlijn EU 2019/1937, aangemerkt als een bevoegde autoriteit. Als bevoegde autoriteit is de NZa ertoe gehouden om een meldkanaal op te richten waar (vermoedelijke) misstanden gemeld kunnen worden: het meldpunt misstanden van de NZa. Bij dit meldpunt kunnen vermoedelijke – en voor de NZa relevante – misstanden gemeld worden, die de NZa indachtig de bepalingen genoemd in de Wbk in ontvangst neemt en opvolgt.
De toezichtstaken die de NZa kan aanwenden om een eventuele misstand te beëindigden, zijn vervat in de Wet marktordening gezondheidszorg (Wmg). Voor het uitoefenen van haar wettelijke toezichtstaken is het de NZa ingevolge de Regeling categorieën persoonsgegevens WMG toegestaan de voor deze taak noodzakelijke identificerende, medische en strafrechtelijke persoonsgegevens te verwerken. De NZa verwerkt deze persoonsgegevens daarmee op basis van een rechtmatige AVG-grondslag (artikel 6(1)(e) AVG artikel 9(2)(g) AVG en artikel 10 AVG).
Hoe lang bewaart de NZa mijn persoonsgegevens?
De NZa is gehouden aan de Archiefwet en de hierop gebaseerde Selectielijst. Op grond van de Selectielijst bewaart de NZa klokkenluidersmeldingen en gegevens die hiermee (rechtstreeks) verband houden, voor een periode van 10 jaar.
Is er sprake van geautomatiseerde besluitvorming?
Nee, de NZa verwerkt de persoonsgegevens niet in het kader van automatische besluitvorming en evenmin voor profilering.
Hoe maak ik gebruik van mijn privacyrechten?
Op basis van de AVG heeft u een aantal rechten. Om hier gebruik van te maken, kunt u een verzoek bij ons indienen. Dit kan door een e-mail te sturen naar klokkenluider@nza.nl, onder vermelding van de tekst 'AVG-verzoek', of per post: NZa, t.a.v. het Meldpunt Klokkenluiders onder vermelding van de tekst 'AVG-verzoek', Postbus 3017, 3502 GA in Utrecht. Zodra wij uw verzoek hebben ontvangen, sturen wij u een ontvangstbevestiging en krijgt u binnen een maand inhoudelijk een antwoord op uw verzoek. Als het verzoek complex is of als het om veel verzoeken gaat, kan de termijn van een maand met uiterlijk twee maanden verlengd worden. Als hiervan sprake is, dan laten wij dit weten.
Individuele afweging bij ieder verzoek
Als overheidsorganisatie moeten we ons houden aan de wet, net als iedereen. We toetsen daarom elk verzoek aan de AVG en andere wetten en regels die gelden. Op basis van de wet zijn er ook gevallen waarin wij uw verzoek niet of niet volledig kunnen uitvoeren. Wij gaan daar hieronder nader op in.
Afwijzing
Bij ieder AVG-verzoek neemt de NZa een besluit. Dit besluit kan bijvoorbeeld zijn dat wij uw persoonsgegevens niet aanpassen. Of dat we uw verzoek afwijzen. Bent u het niet eens met ons besluit? Dan kunt u bezwaar maken. Daarna kunt u ook nog naar de rechter.
Inzage in uw gegevens
U heeft het recht om een inzageverzoek te doen. Dit betekent dat u ons mag vragen of wij persoonsgegevens over u verwerken, en mag verzoeken om een kopie van uw gegevens.
Verwijderen van uw gegevens
U mag vragen om het verwijderen van uw gegevens of een deel daarvan. Wij kunnen niet altijd gehoor geven aan uw vraag. Wij mogen uw verzoek bijvoorbeeld weigeren als we uw gegevens verwerken in het kader van het algemeen belang, zoals het toegankelijk en betaalbaar houden van de zorg. Er bestaat voor ons dan een wettelijke uitzondering.
Wijzigen van uw gegevens
U heeft het recht om uw gegevens te laten wijzigen als deze niet kloppen. Of als uw gegevens niet compleet zijn. Het gaat om het wijzigen van feitelijke gegevens.
Stoppen met het verwerken van uw gegevens
U kunt ons vragen te stoppen met het verwerken van uw persoonsgegevens. Dit doet u door bezwaar te maken tegen deze verwerking.
We verwerken uw gegevens niet zomaar. Dat doen we in veel gevallen in het kader van het algemeen belang, namelijk het toegankelijk en betaalbaar houden van de zorg. Als u bezwaar heeft tegen verwerkingen die we in het kader van het algemeen belang verwerken, zullen we een afweging maken tussen uw persoonlijke belang en het belang in het kader waarvan we de gegevens verwerken. Als uw persoonlijke belang zwaarder weegt dan het algemene belang zullen we de verwerking stoppen en mogelijk als gevolg daarvan uw gegevens verwijderen.
Beperking van gegevens
U kunt ons vragen om (tijdelijk) te stoppen met het verwerken van uw persoonsgegevens. Bijvoorbeeld als u bezwaar heeft gemaakt tegen het verwerken van uw persoonsgegevens en daarop nog geen antwoord van ons heeft gekregen. Of als wij uw persoonsgegevens niet langer nodig hebben, maar u wel.
Bij wie kan ik terecht met vragen of een klacht?
Als u een klacht heeft over de omgang met uw persoonsgegevens, kunt u met ons contact opnemen via onze Functionaris voor de Gegevensbescherming (FG). U doet dit door een e-mail te sturen naar fg@nza.nl. De FG ziet er op toe dat de NZa de privacy wet- en regelgeving naleeft. De FG geeft hier ook advies over aan de organisatie.
U kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens (AP). Hoe u dat doet lees u op de pagina 'Een tip of klacht indienen bij de AP van de Autoriteit Persoonsgegevens'.