De Coöperatie VGZ U.A., waar VGZbewuzt onder valt, vindt uw privacy erg belangrijk. Het is voor u en voor ons belangrijk om een betrouwbare, zorgvuldige en veilige verwerking van uw persoonsgegevens te waarborgen.
Uiteraard houden wij ons daarbij aan de daarvoor geldende wetten en regels, zoals de Algemene Verordening Gegevensbescherming (AVG). Zorgverzekeraars zijn daarbij lid van Zorgverzekeraars Nederland. Zij hebben zich verplicht om de gedragsregels na te leven die in de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars zijn opgenomen.
We hechten ook veel belang aan transparantie. U heeft het recht om te weten wat er met uw persoonsgegevens gebeurd.
In deze privacyverklaring leest u daarom welke gegevens we verzamelen, waarom, hoe lang we deze bewaren en met wie we gegevens uitwisselen. Ook geven we aan hoe uw gegevens beveiligd zijn.
U kunt uiteraard altijd om meer informatie vragen over de verwerking van uw persoonsgegevens. Hoe u dit doet en wat uw andere privacyrechten zijn leest u ook in deze verklaring.
Makkelijk de privacyverklaring downloaden en/of printen? Klik dan hieronder.
De Coöperatie VGZ U.A. bestuurt verschillende zorgverzekeraars, die elk een eigen type verzekeringspakket hebben met specifieke diensten en producten. Ook richten zij zich op verschillende doelgroepen. We hebben daardoor altijd een product dat bij u past.
Deze privacyverklaring is geldig voor alle verzekerden van een van de merken van Coöperatie VGZ U.A. Als wij in deze verklaring spreken over Zorgverzekeraars, bedoelen wij de bovengenoemde Zorgverzekeraars, die allen vallen onder Coöperatie VGZ U.A.
Bent of was u verzekerd bij een van de merken? Of overweegt u zich te laten verzekeren? Dan is deze privacyverklaring voor u.
Bent u cliënt van het VGZ Zorgkantoor, in verband met de uitvoering van de Wet Langdurige Zorg, dan geldt een andere Privacyverklaring, namelijk: Privacy (vgz-zorgkantoren.nl).
Ook is deze privacyverklaring niet van toepassing op de verwerking van persoonsgegevens van sollicitanten, medewerkers of zakelijke contacten van Coöperatie VGZ U.A.
Persoonsgegevens zijn alle gegevens die direct of indirect naar u te herleiden zijn. Oftewel: dit zijn gegevens die iets over u zeggen.
Met verwerken bedoelen we alle activiteiten die wij met persoonsgegevens kunnen doen. De meeste activiteiten die wij uitvoeren zijn: inzien, opslaan, wijzigen, verwijderen en uitwisselen. Wij verwerken uw persoonsgegevens op verschillende manieren en met verschillende doelen. De persoonsgegevens die wij verwerken zijn bijvoorbeeld:
Een aantal van deze gegevens wordt door u zelf (bijvoorbeeld in het geval van restitutienota’s) aan ons doorgegeven. Of ze worden doorgegeven door degene die een verzekering voor u afsluit. Een ander deel van deze gegevens wordt met ons gedeeld door derden. Bijvoorbeeld van uw zorgaanbieder die namens u een declaratie indient (zoals uw huisarts of het ziekenhuis waar u onder behandeling bent). Verder hebben wij een automatische koppeling met het BRP.
Ook met gegevens over uw gezondheid gaan wij extra zorgvuldig om. Gegevens over gezondheid zijn alle persoonsgegevens die verband houden met de lichamelijke of geestelijke gezondheid van een persoon. Wij verwerken deze alleen als wij dit nodig hebben om een van onze wettelijke taken uit te voeren of op basis van toestemming. Gezondheidsgegevens die wij mogelijk verwerken zijn bijvoorbeeld:
De meeste van deze gegevens worden verwerkt in het kader van een administratieve handeling, zoals declaraties van zorgverleners. Bij andere gegevens over gezondheid vindt een medische beoordeling plaats. Deze medische beoordeling vindt plaats door een medisch adviseur of, onder diens functionele verantwoordelijkheid, door medewerkers die deel uitmaken van de zogenoemde Functionele Eenheid (FE).
In sommige gevallen worden uw gezondheidsgegevens medisch inhoudelijk beoordeeld, bijvoorbeeld om te bekijken of u (wettelijk) recht hebt op een bepaalde vergoeding. Deze beoordeling wordt uitsluitend gedaan door bevoegde en deskundige medewerkers binnen een Functionele Eenheid (FE). FE’s bestaan uit selectieve groepen medewerkers die onder specifieke voorwaarden medische gegevens mogen beoordelen, waarbij zij altijd handelen onder toezicht en verantwoordelijkheid van een medisch adviseur. De verantwoordelijke medisch adviseurs zijn ingeschreven in het register ‘Beroepen in de Individuele Gezondheidszorg (BIG)’ en medische beoordelingen vallen onder het beroepsgeheim welke volgt uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Deze beoordelingen en de hiertoe gebruikte medische gegevens worden in overeenstemming met de wettelijke kaders bewaard.
Gezondheidsgegevens met een uitsluitend administratief of financieel karakter, zonder dat daarbij een beoordeling van de gezondheidsgegevens plaatsvindt, kunnen door aangewezen medewerkers buiten de functionele eenheid worden verwerkt. Voor de juiste verwerking van deze gegevens is het bestuur van VGZ verantwoordelijk. Denk daarbij aan:
Informatie over uw gezondheid gebruiken wij nooit voor commerciële doeleinden. Zo worden uw gegevens nooit verkocht. In sommige gevallen is het nodig en relevant om uw gezondheidsgegevens te verwerken met inachtneming van het medisch beroepsgeheim, bijvoorbeeld voor:
In dat geval gebruiken we zoveel als mogelijk gegevens die geanonimiseerd of gepseudonimiseerd zijn. Dat betekent dat de gegevens niet meer direct in verband te brengen zijn met een persoon. In het geval dat wij aan onze wettelijke taken moeten voldoen kan herleidbaarheid wel noodzakelijk zijn.
Soms verwerken wij uw persoonsgegevens volledig geautomatiseerd, zoals uw online aanvraag voor een zorgverzekering bij VGZ, waarbij ook automatisch een besluit wordt genomen. Alleen als er iets bijzonders of afwijkends aan uw aanvraag is, of als uw aanmelding automatisch wordt afgewezen, vindt er menselijke tussenkomst plaats. Wij bekijken dan wat er aan de hand is met uw aanmelding waardoor het niet lukt om deze automatisch af te sluiten. Een voorbeeld hiervan is als u een buitenlands adres en/of nationaliteit hebt; in dat geval controleren wij of u in Nederland verzekeringsplichtig bent of niet. U leest hierna meer over onder het kopje ‘Waarvoor gebruiken wij persoonsgegevens’.
Verder maken wij in sommige gevallen gebruik van profilering. Wij gebruiken bijvoorbeeld online verzamelde gegevens door deze te analyseren en te combineren om u relevante informatie, producten en diensten aan te kunnen bieden. Dit doen wij uitsluitend als u hier toestemming voor heeft gegeven en u kunt uw toestemming ook altijd intrekken. Wij maken gebruik van profilering om specifieke en gerichte berichten aan u te kunnen sturen waar u mogelijk iets aan heeft en die ook wenselijk voor u zijn. Zo sturen wij een bericht over trapliften eerder aan een doelgroep van oudere gepensioneerde mensen, dan aan een doelgroep van werkende jongeren.
U heeft altijd het recht om bezwaar te maken tegen de geautomatiseerde besluitvorming en profilering. U kunt dan ook altijd vragen of een medewerker van VGZ mee wil kijken met deze besluitvorming of profilering. Hoe u dit doet, leest u in het hoofdstuk ‘Hoe kunt u gebruikmaken van uw rechten?.
Wij verwerken uw (bijzondere) persoonsgegevens uitsluitend als wij dit mogen op basis van de AVG (op basis van een ‘grondslag’). Al onze verwerkingen worden gebaseerd op een van de volgende grondslagen:
Om de overeenkomst met u te kunnen sluiten en om deze uit te kunnen voeren, hebben wij een aantal persoonsgegevens van u nodig. Daaronder vallen bijvoorbeeld uw naam, contactgegevens en uw bankrekeningnummer.
Als zorgverzekeraar voeren wij een aantal wettelijke taken uit. Zo zijn wij, op grond van de Zorgverzekeringswet, verplicht uw BSN te administreren, uw adresgegevens uit het BRP te gebruiken en controles uit te voeren op uw zorgdeclaraties. Ook zijn wij wettelijk verplicht om informatie uit te wisselen met gemeenten, andere overheidsinstanties en uw gegevens voor een wettelijk bepaalde termijn te bewaren.
Als zorgverzekeraar willen wij onze verzekerden zo goed mogelijk bedienen. Wij gebruiken daarbij uw gegevens als dit noodzakelijk is om het gerechtvaardigd belang van de Coöperatie te behartigen. Bij het gebruik van deze grondslag weegt het beschermen van de privacy van alle betrokkenen zwaar. Wij maken een zorgvuldige afweging tussen onze belangen en het privacybelang van onze verzekerden. Dat doen wij binnen de kaders van de wet. Het verbeteren van onze producten en dienstverlening valt bijvoorbeeld onder het gerechtvaardigd belang. Wij kunnen u benaderen met een klanttevredenheidsonderzoek of enkele persoonsgegevens gebruiken om onze klantreis te verbeteren. Als wij uw persoonsgegevens verwerken vanuit de grondslag gerechtvaardigd belang heeft u altijd recht om bezwaar te maken. U leest hier meer over onder het kopje ‘Uw rechten’.
Zijn geen van de hierboven genoemde grondslagen van toepassing? Dan verwerken wij uw persoonsgegevens alleen als wij daarvoor uw toestemming hebben. Soms zijn wij verplicht om uw toestemming te vragen. Denk hierbij aan het plaatsen van specifieke (niet-functionele) cookies bij het bezoeken van een van onze websites of de aanmelding voor onze nieuwsbrief.
Wij verwerken uw persoonsgegevens voor verschillende doelen. Wij gebruiken uw persoonsgegevens alleen wanneer ze nodig zijn om een bepaald doel te bereiken. Hieronder vindt u de doelen waarvoor wij uw persoonsgegevens verwerken.
Wij verwerken uw persoonsgegevens om de aanvraag van de verzekering in behandeling te nemen, te controleren en af te sluiten. Vaak gebeurt dit automatisch, maar het kan zijn dat uw ingevulde aanvraagformulier niet geautomatiseerd beoordeeld kan worden. Bijvoorbeeld als de opgegeven postcode niet overeenkomt met de postcode in het BRP. Ook kan het zijn dat u een niet-Nederlands paspoort heeft. Dit maakt het vaststellen van de Nederlandse verzekeringsplicht soms complex en zorgt ervoor dat uw aanvraag handmatig moet worden beoordeeld. In deze gevallen wordt de aanvraag afgehandeld door een medewerker die, waar nodig, de aanvraag aanvult en beoordeelt. Voor het afsluiten van de verzekering zijn wij wettelijk verplicht uw gegevens te controleren in het BRP. Ook controleren we:
Wij verwerken uw persoonsgegevens in ons verzekerdenadministratiesysteem en houden dit systeem actueel. Verder voeren wij activiteiten uit voor de zorgovereenkomst, zoals:
Wanneer u contact opneemt met onze klantenservice via een van onze klantkanalen, worden uw gegevens verwerkt om u gericht te kunnen helpen met uw vraag of verzoek. Wanneer u een klacht bij ons indient worden uw persoonsgegevens verwerkt om uw klacht in behandeling te kunnen nemen. En om u een passende oplossing te bieden. Als uw klacht bijvoorbeeld gaat over de manier waarop u door ons bent geholpen, kunnen uw gegevens verwerkt worden voor een onderzoek naar de medewerker die u geholpen heeft.
Wij verwerken uw persoonsgegevens:
Betaalt u de verschuldigde premie of het eigen risico niet op tijd? Dan gebruiken wij mogelijk uw persoonsgegevens voor het opstarten en uitvoeren van de incassoprocedure. Dit gebeurt intern binnen VGZ. Ook kan de vordering na uitblijven van betaling worden overgedragen aan een extern incassobureau (c.q. deurwaarder). Dit kan mogelijk leiden tot een rechterlijke tussenkomst. Ook zijn wij verplicht om een betalingsachterstand van de premie na bepaalde tijd door te geven aan gemeentes en andere overheidsinstanties en/of uitvoeringsinstanties zoals het CAK.
Wij zijn medeverantwoordelijk voor het verzorgen van verantwoorde, kwalitatief goede zorg voor onze verzekerden. Ook werken wij aan het betaalbaar houden van de zorg. Mede daarom zijn wij vanuit de Zorgverzekeringswet verplicht om verschillende controles uit te voeren rondom geleverde en gedeclareerde zorg. Bij materiële controles gaan we na of de zorg die door een arts in rekening is gebracht ook echt is geleverd (‘rechtmatigheid’). En of de geleverde zorg het meest passend was voor de gezondheidstoestand van u als verzekerde (‘doelmatigheid’). Als we op basis van de materiële controle niet goed kunnen vaststellen of de gedeclareerde zorg rechtmatig en doelmatig was, kunnen wij een meer gedetailleerde controle (‘detailcontrole’) inzetten. Bij het uitvoeren van zowel de materiële controle als de detailcontrole hebben wij inzage nodig in (een deel van) uw gezondheidsgegevens. En als het nodig is, worden er extra gegevens opgevraagd bij u of de betreffende zorgaanbieder. Deze controles worden altijd uitgevoerd onder verantwoordelijkheid van een medisch adviseur. Ook voeren wij preventieve controles uit. Om zo samen met de desbetreffende zorgaanbieder en andere zorgverzekeraars de rechtmatigheid van declaraties vooraf te kunnen borgen (zelfonderzoek en horizontaal toezicht). Verder kunnen persoonsgegevens verwerkt worden bij zowel interne als externe audits.
Wij zijn wettelijk verplicht om zorgfraude te signaleren, te onderzoeken en te bestrijden. Soms ontvangen wij interne of externe signalen die kunnen leiden tot een fraudeonderzoek. Deze signalen registeren wij en gebruiken wij in ons onderzoek. Ook kunnen de uitkomsten van materiële controles meegenomen worden in fraudeonderzoeken.
Wij maken tevens gebruik van persoonsgegevens om misbruik te voorkomen, fraude op te sporen en om fraude te voorkomen bij andere financiële instellingen. We wisselen daarom persoonsgegevens uit met andere organisaties, zoals andere financiële instellingen, politie en/of justitie (het Openbaar Ministerie). De relevante persoonsgegevens worden geregistreerd in een aantal registers en/of informatiesystemen. Indien sprake is van een gebeurtenis in het kader van fraude, veiligheid en integriteit dan nemen wij de gegevens van die gebeurtenis en de daarbij betrokkene(n) in eerste instantie op in de Gebeurtenissenadministratie (GA). De afdeling Veiligheidszaken kan besluiten de (persoons)gegevens uit de GA op te nemen in het Intern Verwijzingsregister (IVR). Wij houden een IVR bij om de veiligheid en integriteit van de zorgverzekeraar te waarborgen, door medewerkers de gelegenheid te geven dit interne verwijzingsregister te raadplegen voorafgaand aan een (uitbreiding van) dienstverlening of indienstneming. Een betrokkene wordt altijd geïnformeerd wanneer de (persoons)gegevens in het IVR worden opgenomen.
Verder zijn wij vanuit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen verplicht om bepaalde gegevens vast te leggen in het Incidentenregister (IR). Dit gebeurt in overeenstemming met het Protocol Incidenten-waarschuwingssysteem Financiële Instellingen (PIFI) en de gegevens worden dan ook gedeeld met de Stichting Centraal Informatie Systeem (CIS). Indien de belangen, integriteit en veiligheid van het financiële stelsel in zijn geheel risico loopt kan de gebeurtenis worden opgenomen in het Extern Verwijzingsregister (EVR). Deze is aan het IR gekoppeld en ook inzichtelijk voor andere financiële instellingen. Een opname in het IR en het EVR wordt altijd op individuele basis per brief toegelicht aan de betrokkene. Het kan hierbij bijvoorbeeld gaan om onder ander het vervalsen van nota’s, identiteitsfraude, phishing en opzettelijke misleiding.
Wij gebruiken uw persoonsgegevens om u te informeren over relevante producten en diensten. Soms is deze informatie gebaseerd op uw opgegeven interesses. Ook kunnen we u benaderen voor klantonderzoeken om onze producten en diensten te kunnen evalueren en verbeteren.
Verder verwerken wij informatie over de gebruikers van onze websites bij het maken van een profiel om u gerichte aanbiedingen te kunnen doen. Hiervoor maken we onder meer gebruik van cookies en tracking scripts als u hiervoor toestemming geeft. Wij gebruiken cookies bijvoorbeeld om:
Verder gebruiken wij deze informatie om op websites van derden inhoud aan te bieden die past bij uw interesses, surfgedrag en voorkeuren. En om u te kunnen benaderen via advertenties op socialmedia-platforms. Tracking scripts worden onder andere ingezet bij het bezoeken van onze websites (klikgedrag) en het gebruik van onze apps. Hiermee kunnen wij de vindbaarheid van informatie op onze websites en apps verbeteren. In de cookieverklaring van de website die u bezoekt, leest u wat cookies en tracking scripts zijn en hoe wij hiermee omgaan.
Uw gegevens kunnen verwerkt worden om de klantreis te optimaliseren, selecties te kunnen maken binnen ons klantenbestand en om onze producten en diensten te verbeteren. Verder maken wij interne analyses van verschillende doelgroepen. Deze analyses gebruiken we bijvoorbeeld om online gericht te kunnen adverteren. Voor het maken van analyses en klantselecties met deze doeleinden worden geen gezondheidsgegevens gebruikt.
Om producten en/of diensten en interne processen te verbeteren maken wij statistieken, analyses en rapportages. Het gaat hierbij bijvoorbeeld om statistieken en analyses van de in- en uitstroom van het aantal verzekerden, de hoeveelheid aanvullende verzekeringen en verschillende financiële kostenplaatjes. Ook maken wij mogelijk statistieken en analyses om acties rondom klantbehoud te bepalen. Telefoongesprekken met onze klantenservice worden voor beperkte duur opgenomen en geanalyseerd voor kwaliteits-en trainingsdoeleinden. Aan het begin van het gesprek wordt aangegeven dat het telefoongesprek wordt opgenomen. Hoe u hier bezwaar tegen kunt maken leest u hierna bij ‘Hoe kunt u gebruikmaken van uw rechten?
Zorgverzekeraars krijgen regelmatig verzoeken van bijvoorbeeld universitaire ziekenhuizen of onderzoeksbureaus om persoonsgegevens (over gezondheid) te gebruiken voor wetenschappelijk onderzoek of statistieken. Deze gegevens worden alleen verstrekt na zorgvuldige weging van de toegevoegde waarde voor de kwaliteit van de zorg. Of als het delen van deze gegevens bijdraagt aan preventie (het voorkomen van toekomstige zorg). Dit vindt waar mogelijk geanonimiseerd en anders gepseudonimiseerd plaats om herleidbaarheid naar individuen te voorkomen.
Bij incidenten (zoals een IT-storing) en bij het testen en (door)ontwikkelen van verschillende systemen wordt zoveel mogelijk gebruikgemaakt van testdata of gepseudonimiseerde data. Wanneer het echt niet anders kan, krijgt de beheerder of de ontwikkelaar toegang tot een (beperkte) set echte persoonsgegevens. Om uw gegevens te beschermen wordt er getest aan de hand van ons testbeleid. Hierin zijn regels vastgelegd die gaan over de inhoud, gevoeligheid en hoeveelheid van de persoonsgegevens die gebruikt mogen worden bij het testen.
Verder gebruiken en ontwikkelen wij algoritmes. Een algoritme bestaat uit een reeks instructies en stappen waarmee computersystemen berekeningen kunnen maken of voorspellingen kunnen doen. VGZ zet algoritmes bijvoorbeeld in bij het zoveel mogelijk geautomatiseerd afhandelen van vragen, bijvoorbeeld via de chatrobot op de website. Dit vindt enkel na zorgvuldige afweging plaats. De beslisregels zijn bij algoritmes niet vooraf bepaald, maar worden steeds slimmer gemaakt.
Persoonsgegevens kunnen ook verwerkt worden bij het beveiligen van onze systemen en klantomgevingen. Een voorbeeld hiervan is het gebruik van logbestanden van Mijn VGZ of onze websites om cyberaanvallen te voorkomen. Een log is een bestand waarin gebeurtenissen worden vastgelegd die relevant zijn voor de beveiliging of voor de analyse van verstoringen in een systeem. Hierin kunnen gegevens als de naam van de gebruiker en het type gebeurtenis staan (bijvoorbeeld de actie van een gebruiker, zoals het inzien van bepaalde informatie).
Verder kan er, indien nodig en relevant, gebruik gemaakt worden van persoonsgegevens om bijvoorbeeld incidenten snel op te kunnen lossen en autorisaties te controleren. Binnen VGZ wordt datamanagement gebruikt om data te onderhouden, actualiseren, beheren en beveiligen. Zo zorgen wij ervoor dat de verwerkte data in onze IT-systemen compleet en betrouwbaar is en blijft. Ook wordt cameratoezicht ingezet in de openbare ruimtes die toegang geven tot gebouwen en toegangspoortjes op de VGZ-locaties (Arnhem en Eindhoven), voor de bewaking en beveiliging van medewerkers en VGZ-eigendommen.
Daarnaast maken wij gebruik van uitbestedingen met betrekking tot IT-beheer. Wij monitoren onze IT-leveranciers op een rechtmatige en veilige verwerking van persoonsgegevens. Dat doen we door de leveranciers te selecteren en controleren op basis van strenge eisen vanuit ons informatiebeveiligingsbeleid, zoals de aanwezigheid van een ISO27001-verklaring en het periodiek controleren of onze beveiliging nog goed werkt door middel van verschillende soorten testen. Onder andere onze Chief Information Security Officer (CISO) en de medewerkers van het Cyber Security Center houden hier binnen VGZ toezicht op. Wij maken verder gebruik van systemen die geautomatiseerd afwijkende gedragingen binnen onze infrastructuur signaleren en aanpakken. Meer informatie over informatiebeveiliging vindt u hierna bij ‘Hoe zijn uw gegevens beveiligd?
Soms wisselen wij uw persoonsgegevens uit. Bijvoorbeeld met leveranciers en zakelijke partners, zoals zorgaanbieders en zorginstellingen. Wij kunnen ervoor kiezen om werkzaamheden uit te besteden, maar blijven wel verantwoordelijk voor de verwerking van uw persoonsgegevens. Waar nodig sluiten wij een verwerkersovereenkomst met de verwerkende partijen. In deze overeenkomst maken wij afspraken om uw persoonsgegevens zo goed mogelijk te kunnen blijven beschermen.
Sommige van deze uitbestedingen vinden gedeeltelijk plaats buiten de Europese Economische Ruimte (EER). Bijvoorbeeld omdat er sprake is van een niet-Europese IT-softwareleverancier. VGZ sluit verwerkingen buiten de EER zoveel mogelijk uit, maar dit is niet altijd mogelijk. Wanneer een verwerking toch buiten de EER plaatsvindt, neemt het zorgkantoor extra maatregelen om uw privacy in het buitenland te beschermen op een passend niveau van de AVG.
Wij kunnen verder persoonsgegevens uitwisselen met:
Wij kunnen in specifieke gevallen persoonsgegevens uitwisselen uit met verschillende overheidsinstanties. Denk hierbij aan gemeenten (bijv. in verband met de koppeling met de BRP, vroegsignalering van betalingsachterstanden cf. overheidsrichtlijnen en vanuit de Participatiewet), toezichthouders (zoals de Nederlandse Zorgautoriteit of de Autoriteit Persoonsgegevens), politie en justitie in het geval van fraude en het CAK wanneer de premieachterstand meer dan 6 maanden oploopt.
Denk hierbij aan uw huisarts of een ziekenhuis waar u een behandeling heeft ondergaan.
Denk hierbij aan reis- en/of schadeverzekeringen. Als er sprake is van samenloop van verzekeringen dan wisselen wij gegevens uit met de reis- of schadeverzekeraar voor de juiste afwikkeling van de medische kosten. Daarnaast wisselen wij ook gegevens uit met andere zorgverzekeraars. Bijvoorbeeld voor fraudesignalering en het beëindigen van uw huidige verzekering wanneer u gebruikmaakt van de overstapservice.
Wij wisselen bij betalingsachterstanden persoonsgegevens uit met incassobureau’s en deurwaarders.
Voor onze gebruikte IT-systemen en uitwisselingssystemen maken wij gebruik van diverse software leveranciers. Voor het beheer van deze systemen kan een leverancier beperkte toegang krijgen tot de persoonsgegevens.
Voor klantcontact en/of marketing doeleinden kunnen wij gebruik maken van externe partijen, zoals de (fysieke) postbezorging, externe mailpartners/callcenters, datamarketingplatformen of (social media) websites. Andere voorbeelden zijn het uitbesteden van verhaalsactiviteiten in het kader van zorgregres en het gebruik van een externe partij bij debiteurenbeheer.
Voor u is het belangrijk dat uw gegevens beschermd zijn. Daarom past VGZ binnen de hele organisatie beveiligingsmaatregelen toe om persoonsgegevens zo goed mogelijk te kunnen beschermen. Het gaat dan om zowel technische als organisatorische beveiligingsmaatregelen die zijn vastgelegd in het informatiebeveiligingsbeleid van VGZ. Denk hierbij bijvoorbeeld aan:
Verder zijn al onze medewerkers tot geheimhouding verplicht en leggen zij een eed of belofte af. Daarbij hebben onze medisch adviseurs en iedereen die onder hun verantwoordelijkheid werkt een beroepsgeheim dat volgt uit de WGBO.
De ontwikkelingen op het gebied van informatiebeveiliging gaan snel. De invulling van de maatregelen is afgeleid van internationaal geldende standaarden, zoals het NIST Cyber Security Framework en ISO 27001. Wij controleren regelmatig of onze maatregelen nog goed genoeg zijn. Dit gebeurt aan de hand van risicoanalyses, interne controles en door onafhankelijke audits. Daarnaast zijn er verschillende toezichthouders (DNB, Nza en AP) die toezicht houden op de branches waarbinnen VGZ werkt. Zij zien toe op de werking van de informatiebeveiliging. Maakt VGZ gebruik van derde partijen bij de verwerking van persoonsgegevens? Dan controleren wij dat die derde partij, afhankelijk van het soort persoonsgegevens, beschikt over voldoende beveiligingsmaatregelen en de juiste certificatie (zoals ISO 27001 en ISAE3402).
Wij bewaren persoonsgegevens zolang wij deze nodig hebben voor het doel waarvoor wij uw gegevens hebben gekregen. In sommige gevallen bepaalt de wet hoe lang wij gegevens mogen of moeten bewaren. In andere gevallen bepalen wij zelf hoelang wij uw gegevens nodig hebben om het doel te bereiken waarvoor wij de gegevens hebben verzameld.
Verwerken wij persoonsgegevens voor de uitvoering van de zorgverzekering? Dan bewaren wij uw gegevens in de meeste gevallen standaard 7 jaar na beëindiging van de klantrelatie met u. Voor een aantal andere doelen geldt een afwijkende termijn. Voorbeelden hiervan zijn:
Het kan voorkomen dat u bij ons een verzekering heeft aangevraagd, maar deze niet heeft afgesloten. Omdat u zelf besloot dat u de verzekering toch niet wilde of omdat wij deze geweigerd hebben. In deze gevallen bewaren wij uw gegevens tot 1 jaar na de aanvraag. Wij bewaren uw gegevens zodat wij ze kunnen controleren als u volgend jaar weer een aanvraag indient.
Als wij uw gegevens hebben gebruikt in een fraudeonderzoek, bewaren wij deze gegevens 8 jaar na de laatste inhoudelijke wijziging in het dossier. Deze termijn kan langer worden als bijvoorbeeld sprake is van een lopende rechtszaak. Dossiers waarbij uiteindelijk geen onderzoek is uitgevoerd worden minimaal 4 jaar en maximaal 8 jaar na de laatste inhoudelijke wijziging bewaard. Dat doen we omdat soms naar aanleiding van nieuwe signalen toch een onderzoek vereist kan zijn.
Wij kunnen uw gegevens verwerken wanneer beoordeeld moet worden of er sprake is van het terugvorderen van wat wij aan u hebben uitgekeerd. Wanneer er na 6 maanden van het sluiten van de beoordeling van de casus nog geen vervolg ontstaat, wordt de casus en daarmee de gegevens verwijderd.
Als wij openstaande vorderingen hebben en er een incassoproces loopt, bewaren we de benodigde informatie zolang de vordering nog inbaar is. In veel gevallen is dit 5 jaar, maar in sommige gevallen (bijv. bij een rechterlijk vonnis) kan dit 20 jaar zijn.
Wij kunnen uw telefoongesprekken met ons opnemen. Dat doen wij om onze medewerkers te kunnen trainen en zo onze dienstverlening te verbeteren. Maar ook om analyses te maken op basis van de telefooncentralelogs en voor bewijsvoering bij mogelijke fraude. De audiobestanden worden na 30 dagen verwijderd. Transcripties van gesprekken worden na 550 dagen verwijderd. In het geval van een klacht of een juridische procedure kan de bewaartermijn van het opslaan van telefoongesprekken afwijken.
Gegevens die gebruikt worden voor marketingdoeleinden mogen maximaal 2 jaar bewaard worden. Tenzij u heeft aangegeven dat u dit niet wenst.
Als wij uw gegevens hebben gebruikt voor een bezwaar-, klachten- en/of geschillenprocedure zonder een financiële component bewaren wij deze gegevens 2 jaar nadat de procedure is afgerond. Indien het gaat om klachten en geschillen mét een financiële component worden de verwerkte gegevens 7 jaar na het sluiten van de klacht verwijderd.
Opgenomen camerabeelden bij bezoek aan een van de locaties van de Coöperatie worden automatisch overschreven na een beperkt aantal dagen. Deze termijn is nooit langer dan 4 weken.
U heeft een aantal belangrijke rechten als het gaat om uw persoonsgegevens. U kunt alle onderstaande genoemde rechten uitoefenen volgens de procedure die hierna bij ‘Hoe kunt u gebruik maken van uw rechten?’ is omschreven.
U heeft recht op inzage in de persoonsgegevens die wij van u verwerken. Wij geven daarbij aan waarvoor die persoonsgegevens gebruikt worden. Het recht op inzage is op een veilige manier geregeld doordat u via Mijn VGZ zelf kunt zien welke persoonsgegevens over u worden verwerkt (bijvoorbeeld NAW-gegevens, verzekeringsgegevens, informatie over het betaalde eigen risico en premiebetalingen en zorgkosten). Wilt u weten welke persoonsgegevens wij van u verwerken? Volg dan de procedure zoals hierna genoemd bij ‘Hoe kunt u gebruikmaken van uw rechten?’.
Wij kunnen persoonsgegevens direct aan een andere zorgverzekeraar sturen als u wilt over stappen naar een andere zorgverzekeraar. Of aan de zorgaanbieder in geval van een gegeven machtiging voor het vergoeden van zorg. Wilt u de gegevens zelf ontvangen? U kunt een verzoek doen zoals hierna beschreven bij ‘Hoe kunt u gebruikmaken van uw rechten?’. Wanneer de gegevens worden overgedragen, worden deze verstuurd in een leesbaar bestandsformaat, zoals Excel of Word.
U heeft recht op correctie (rectificatie) van feitelijk onjuist verwerkte of verouderde persoonsgegevens die op u betrekking hebben. U kunt ook uw recht op correctie uitoefenen op gegevens die onvolledig zijn of niet ter zake doen voor het doel waarvoor ze verzameld zijn. Neem hiervoor contact op met onze klantenservice zodat we u direct telefonisch kunnen helpen. U kunt daarnaast altijd gebruikmaken van de procedure hierna beschreven bij ‘Hoe kunt u gebruikmaken van uw rechten?’.
U kunt het gebruik van uw persoonsgegevens in de volgende gevallen beperken:
Als het gebruik van uw gegevens wordt beperkt, heeft VGZ uw toestemming nodig om toch nog gebruik te mogen maken van deze gegevens. Er zijn een aantal uitzonderingen waarbij wij toch gebruik mogen maken van uw gegevens zonder uw toestemming. Ook als deze zijn beperkt:
Vermeld in uw verzoek waarom wij uw persoonsgegevens (tijdelijk) niet mogen gebruiken, of voeg het verzoek tot beperking toe aan een verzoek tot rectificatie of een bezwaar. Heeft u samen met het beroep op rectificatie of uw bezwaar ook een beroep op beperking van het gebruik van uw persoonsgegevens gedaan? Dan worden uw persoonsgegevens in deze termijn minder gebruikt. Naast de genoemde procedure hierna bij ‘Hoe kunt u gebruikmaken van uw rechten? kunt u uw voorkeuren ook telefonisch of via Mijn VGZ doorgeven.
U kunt een verzoek indienen tot het verwijderen van uw gegevens volgens de procedure hierna beschreven bij ‘Hoe kunt u gebruikmaken van uw rechten?’. Het kan zijn dat we uw gegevens niet kunnen of mogen verwijderen. Bijvoorbeeld omdat wij uw gegevens nog nodig hebben, of omdat wij wettelijk verplicht zijn om uw gegevens nog te bewaren. Na het verstrijken van de (wettelijke) bewaartermijn of als u uw toestemming intrekt (wanneer toestemming de grondslag is waarop wij uw gegevens gebruiken) verwijderen wij uw persoonsgegevens.
U heeft altijd het recht om bezwaar te maken tegen het gebruik van uw persoonsgegevens voor bijvoorbeeld direct marketing of het opnemen van telefoongesprekken met onze klantenservice. Wij stoppen dan met het verwerken van uw persoonsgegevens voor dit doel. Verder kunt u bezwaar maken tegen de verwerking van uw persoonsgegevens als deze worden verwerkt op grond van een gerechtvaardigd belang. Geef hierbij aan tegen welk gebruik van uw persoonsgegevens u bezwaar maakt. Uw recht op bezwaar kan niet worden uitgevoerd als wij kunnen aantonen dat ons belang zwaarder weegt dan uw belang. Of als de verwerking verband houdt met bijvoorbeeld het indienen van een verzoek bij een rechtbank. In andere gevallen maken wij een nieuwe afweging om te bepalen of uw gegevens inderdaad niet meer voor dat doel gebruikt mogen worden.
Als wij alleen met uw toestemming uw persoonsgegevens hebben verwerkt, dan mag u deze toestemming altijd intrekken. Wij verwerken uw gegevens vanaf dat moment niet meer. De intrekking van deze toestemming werkt niet met terugwerkende kracht. Dit betekent dat alle persoonsgegevens die voorheen op basis van toestemming werden verwerkt, wel rechtmatig zijn. Wel kunt u in sommige gevallen vragen om uw gegevens te verwijderen.
Bent u niet tevreden over VGZ? Bijvoorbeeld over de dienstverlening of de manier waarop wij met uw persoonsgegevens omgaan? Wij zoeken in dat geval graag samen naar een oplossing. U kunt altijd contact met ons opnemen via de contactpagina op de website, Mijn VGZ, of de VGZ app. Geef hierbij aan dat het om een klacht gaat. Onze medewerkers helpen u dan verder. Natuurlijk kunt u ook altijd een klacht bij ons indienen via de weg zoals uitgelegd in ‘Hoe kunt u gebruik maken van uw rechten’. U kunt via deze weg ook aangeven dat u contact wilt opnemen met de Functionaris Gegevensbescherming.
U kunt ook een klacht indienen bij een van de volgende organisaties:
U kunt een reden hebben om ons te vragen bepaalde persoonsgegevens, zoals uw adres, geheim te houden. Aan zo’n verzoek voldoen wij altijd, binnen de eisen die wettelijk aan ons gesteld worden. De persoonsgegevens die u geheim wilt houden, kennen een extra beperking op toegang door bepaalde groepen medewerkers en worden dan niet (meer), binnen de wettelijke kaders, aan derden verstrekt. Hier kunnen wel specifieke uitzonderingen op bestaan. Bijvoorbeeld in verband met de uitvoering van wettelijke taken door overheidsorganisaties.
Heeft u een verzoek of vraag over de verwerking van uw persoonsgegevens? Dan kunt u in de eerste plaats telefonisch contact opnemen met onze klantenservice of direct uw persoonsgegevens inzien en wijzigen via Mijn VGZbewuzt.
Wordt uw vraag of verzoek niet voldoende beantwoord door de klantadviseur of Mijn VGZ? En wilt u gebruikmaken van de hierboven beschreven rechten? Dan kunt dit aan ons aangeven via dit contactformulier. U kunt ons ook een brief sturen op het hieronder genoemde adres. U kunt via deze weg ook aangeven dat u contact wilt opnemen met de Functionaris Gegevensbescherming. Vermeld in uw verzoek concreet welk recht u wilt laten uitvoeren, waarom en wat uw gegevens zijn. Als we voldoende informatie hebben, laten we u binnen een maand weten wat we met uw verzoek hebben gedaan. Als uw verzoek erg ingewikkeld is, kan deze termijn met nog een maand worden verlengd. Verlengen wij de termijn? Dan laten wij u dat binnen een maand na ontvangst van uw verzoek weten.
Als u het niet eens bent met de afhandeling van uw verzoek, kunt u daarover online een klacht bij ons indienen via het klachtenformulier. Wij nemen binnen 14 dagen contact met u op om de klacht met u te bespreken.
Uitgebreide informatie over uw privacyrechten vindt u op de website van de Autoriteit Persoonsgegevens. U heeft ook het recht om bij hen een klacht in te dienen over de manier waarop uw gegevens door ons worden verwerkt en/of de wijze waarop wij invulling geven aan uw rechten. U dient echter eerst bij ons een klacht ingediend te hebben alvorens een klacht bij de AP in te kunnen dienen. Dit geldt tevens voor het indienen van een klacht bij de bij de Stichting Klachten en Geschillen Zorgverzekeringen (SKGZ).
Coöperatie VGZ UA
Postbus 5040
6802 EA Arnhem
privacy@VGZ.nl
Wij passen deze privacyverklaring regelmatig aan om aan te blijven sluiten bij de huidige verwerkingen van persoonsgegevens die binnen VGZ worden uitgevoerd. Wij doen dit voor nieuwe ontwikkelingen. Bijvoorbeeld als er iets verandert in onze bedrijfsactiviteiten, in de wet of in de rechtspraak. Wij raden u daarom aan deze privacyverklaring regelmatig opnieuw te bekijken bij een bezoek aan een van onze websites. Op onze website vindt u altijd de laatste versie. Deze versie is van 30 december 2022.