Privacy statement

Persoonsgegevens zijn alle gegevens die iets over jou of jouw persoonlijke situatie zeggen. Soms gaat de informatie niet direct over jou maar is deze wel tot jou te herleiden. Ook dan spreken we over persoonsgegevens.

CZ verwerkt ook gegevens over bedrijven, zoals zorgverleners. Gegevens over bedrijven zijn geen persoonsgegevens. Gegevens over hun werknemers, individuele zorgverleners of klanten wel.

CZ gaat zorgvuldig om met jouw persoonsgegevens en wil je in dit statement uitleg geven over het gebruik van jouw persoonsgegevens. Omdat zorgverzekeraars het belangrijk vinden dat zij de wettelijke regels op de juiste wijze nakomen, hebben zij hierover gezamenlijke gedragsregels opgenomen in de Gedragscode verwerking persoonsgegevens zorgverzekeraars. Bekijk de huidige Gedragscode. Eén van de wettelijke privacyregels is de verplichting om transparant te zijn over hoe omgegaan wordt met persoonsgegevens van klanten. CZ doet dit in de vorm van dit privacy statement.

In dit privacy statement worden de volgende vragen beantwoord:

1. Welke persoonsgegevens worden door CZ verwerkt?
2. Waarvoor worden je persoonsgegevens gebruikt?
3. Hoe lang worden je persoonsgegevens bewaard?
4. Wat zijn je rechten?
5. Op welke manier kan je je rechten uitoefenen?
6. Hoe zijn je persoonsgegevens beveiligd?
7. Hoe gaan wij om met je gegevens bij het gebruik van WhatsApp?
8. Hoe kan je in contact treden met CZ?

CZ verwerkt persoonsgegevens die nodig zijn voor de uitvoering van de verzekeringsovereenkomst en de Zorgverzekeringswet. Hierbij gaat het op de eerste plaats om algemene persoonsgegevens zoals naam, adres, geslacht en geboortedatum van een verzekerde en de gegevens met betrekking tot de gesloten verzekering (polisgegevens). Specifiek om jou te kunnen identificeren moet CZ ook het burgerservicenummer (bsn) van haar verzekerden opnemen in haar administratie (wettelijke verplichting). Naast polisgegevens verwerkt CZ voor de uitvoering van de zorgverzekering ook gezondheidsgegevens, die worden verstrekt door de verzekerden of de zorgaanbieders. Het gaat dan om gegevens die noodzakelijk zijn om te bepalen of je op grond van de verzekering recht heeft op (vergoeding van) zorg.

Om uitvoering te kunnen geven aan de Zorgverzekeringswet en de verzekeringsovereenkomst gebruikt CZ je persoonsgegevens voor verschillende doelen en alleen als en voor zover het gebruik voor dat doel nodig is. De doelen betreffen:

I. Beoordelen en accepteren
II. Sluiten en uitvoeren van de verzekering
III. Commercie en Marketing

CZ kan ervoor kiezen om werkzaamheden uit te besteden. CZ blijft wel altijd verantwoordelijk voor het gebruik van je persoonsgegevens. Voorbeelden van uitbesteding zijn de werkzaamheden die onder andere VECOZO en Vektis namens zorgverzekeraars verrichten.

VECOZO
Zorgverleners kunnen via de dienst Controle op Verzekeringsgegevens (COV) van VECOZO bijvoorbeeld de actuele verzekeringsgegevens (zorgverzekeringspakket basis en/of aanvullend) raadplegen van verzekerden en via VECOZO digitaal declaraties indienen bij de juiste zorgverzekeraar.
Een beperkt aantal medewerkers van CZ, die daartoe specifiek bevoegd zijn, kunnen via COV nagaan bij welke zorgverzekeraar een persoon verzekerd is.

Vektis
Vektis ondersteunt zorgprofessionals, patiëntenorganisaties en overheidspartijen bij het verbeteren van de zorg en het toegankelijk en betaalbaar houden van goede zorg in Nederland.
Vektis doet voor zorgverzekeraars analyses van declaratiegegevens. Ook verstrekt Vektis in opdracht van zorgverzekeraars die gegevens aan derden, vaak voor wetenschappelijk onderzoek of om aan een wettelijke verplichting te voldoen.

In het vervolg van deze paragraaf worden de onderdelen I t/m III nader uitgewerkt.

I. Beoordelen en accepteren

CZ gebruikt je persoonsgegevens om te controleren of je verzekeringsplichtig bent voor de basisverzekering. Voor de basisverzekering is het uitgangspunt dat iedere verzekeringsplichtige geaccepteerd wordt, dat bepaalt de Zorgverzekeringswet.

Voor de meest uitgebreide aanvullende tandartsverzekering worden in het kader van het acceptatiebeleid persoonsgegevens betreffende iemands gezondheid gevraagd om te beoordelen of de verzekering die wordt aangevraagd, afgesloten kan worden. De gegevens worden beoordeeld onder verantwoordelijkheid van de tandheelkundig adviseur resp. medisch adviseur. Deze beoordeling kan ertoe leiden dat de aanvrager een aanbod ontvangt dat afwijkt van zijn aanvraag.

Geautomatiseerde verwerking aanvraag

Je gegevens worden geautomatiseerd verwerkt als je een basisverzekering of aanvullende ziektekostenverzekering aanvraagt. Dit gebeurt aan de hand van de gegevens die je op het (elektronische) aanvraagformulier hebt ingevuld.

Bij je aanvraag voor aanvullende ziektekostenverzekering kan het ook gaan om gezondheidsgegevens. Deze worden altijd nog beoordeeld onder verantwoordelijkheid van de tandheelkundig respectievelijk medisch adviseur. Dit leidt tot het afsluiten van de verzekering of afwijzing van je aanvraag. Je kan altijd contact opnemen met CZ en een vraag of klacht indienen naar aanleiding van de geautomatiseerde afhandeling van je aanvraag. De vraag of de klacht wordt door een medewerker van CZ bekeken.

II. Sluiten en uitvoeren van de verzekering

CZ heeft je persoonsgegevens nodig voor het sluiten en uitvoeren van de basisverzekering en aanvullende ziektekostenverzekering. Voor het uitvoeren van deze verzekeringen zijn ook gegevens over je gezondheid nodig.

Onder het uitvoeren van de verzekering vallen: bepalen of je recht hebt op (vergoeding van) zorg, betalen aan de zorgaanbieder, betalen van vergoedingen aan je, innen van premie, serviceverlening aan je, vaststellen van eigen bijdrages en verplicht en vrijwillig eigen risico, uitvoeren van controles, bestrijden van fraude (waaronder een intern registratiesysteem), verhalen van schade op derde partijen, waaronder andere verzekeraars (bijvoorbeeld je reisverzekeraar), de persoon die voor de schade aansprakelijk is dan wel de aansprakelijkheidsverzekeraar), onderzoek onder verzekerden naar de kwaliteit van zorg, verbeteren van dienstverlening, gericht informeren van groepen verzekerden met voor hen relevante informatie, beperken van betalingsachterstanden van de verzekeringnemer bij de zorgverzekeraar, bewerkstelligen dat de verzekeringnemer niet langer een bestuursrechtelijke premie verschuldigd is, behandelen van klachten en geschillen en analyseren van (persoons)gegevens voor risicobeheersing en de inkoop van zorg.

Voor de bescherming van de belangen van CZ, haar medewerkers, klanten en ook andere financiële instellingen verwerken we je persoonsgegevens (waaronder in sommige gevallen ook strafrechtelijke gegevens) ook voor risicobeheersing en het voorkomen en bestrijden van fraude. In dit kader houdt CZ een Gebeurtenissenadministratie bij. De afdeling Bureau Bijzonder Onderzoek kan besluiten de persoonsgegevens uit de Gebeurtenissenadministratie op te nemen in een Intern Verwijzingsregister (IVR). In het IVR neemt CZ uitsluitend persoonsgegevens op van (rechts)personen die een risico vormen voor de veiligheid en/of integriteit van de zorgverzekeraar of de Groep waartoe CZ behoort. Indien een gebeurtenis voldoet aan de criteria uit het Protocol Incidenten waarschuwingssysteem Financiële Instellingen(PIFI), neemt CZ de relevante persoonsgegevens op in een Incidentenregister (IR), en in voorkomende gevallen, het Extern Verwijzingsregister (EVR, genoemd hierna onder ‘Uitwisseling met derden’). Door je gegevens op te nemen in de bovenstaande registers kunnen we onder andere toetsen of je ooit fraudeerde of dit hebt geprobeerd. Je wordt geïnformeerd over opname in een van de registers. Dit gebeurt in de meeste gevallen voordat je gegevens in de registers worden opgenomen, tenzij openbaarmaking het onderzoek schaadt, dan word je na afloop van het onderzoek – bij continuering van je registratie in het IVR, IR of EVR – op de hoogte gebracht.

Uitwisseling met derden

Je persoonsgegevens worden soms gedeeld met of verkregen van derden. Ze worden nooit verkocht aan derden. Voorbeelden van het delen met een derde zijn:

• CAK: CZ verstrekt je bsn en je bankrekeningnummer aan het CAK als je in aanmerking komt voor compensatie van het (verplicht) eigen risico. Dit is een wettelijke verplichting.
• College van burgemeester en wethouders: CZ wisselt persoonsgegevens uit met het college van burgemeester en wethouders van de gemeente waarin je woont voor het voorkomen en verminderen van schulden. Dit is een wettelijke verplichting.
• CZ verstrekt op verzoek persoonsgegevens (waaronder gegevens over gezondheid) aan het Ministerie van Volksgezondheid, Welzijn en Sport voor zover dit een wettelijke verplichting is bijvoorbeeld omdat deze gegevens noodzakelijk zijn voor de uitvoering van de Zorgverzekeringswet of de Wet langdurige zorg.
• CZ verstrekt persoonsgegevens (waaronder gegevens over gezondheid) aan het Zorginstituut als deze gegevens noodzakelijk zijn voor de uitvoering van de Zorgverzekeringswet of de Wet langdurige zorg, of voor de afstemming van op grond van deze wetten verzekerde zorg, of, na een verzoek, voor andere aan het Zorginstituut opgedragen taken. Dit is een wettelijke verplichting.
• CZ verstrekt aan het Centrum Indicatiestelling Zorg (CIZ) persoonsgegevens, waaronder gegevens over gezondheid, voor zover deze gegevens noodzakelijk zijn voor het nemen van een indicatiebesluit voor aanspraak op zorg op grond van de Wet langdurige zorg. Dit is een wettelijke verplichting.
• CZ verstrekt aan de rijksbelastingen persoonsgegevens voor zover dit noodzakelijk is voor de uitvoering van de Zorgverzekeringswet of, na een verzoek, de Algemene wet inzake rijksbelastingen. Dit is een wettelijke verplichting.
• CZ verstrekt aan zijn accountant persoonsgegevens, waaronder (eventueel) persoonsgegevens over de gezondheid, voor zover deze gegevens noodzakelijk zijn voor het uitvoeren van de verplichte controle van de jaarrekening.
• CZ verstrekt aan het Openbaar Ministerie en politie persoonsgegevens wanneer en voor zover daartoe een wettelijke verplichting bestaat.
• Werkgevers of belangenbehartigers: als je korting krijgt op je premie omdat je onderdeel uitmaakt van een collectiviteit, gebruikt CZ je persoonsgegevens om periodiek bij je werkgever of belangenbehartiger te controleren of je nog recht hebt op deze korting.
• Tussenpersonen: Als je je verzekering sluit via een tussenpersoon, kan ook uitwisseling plaatsvinden van persoonsgegevens met de tussenpersoon, voor zover dit noodzakelijk is voor de uitvoering van de taken door de tussenpersoon en de afhandeling van provisie. Het gaat dan alleen om polisgegevens, nooit om gezondheidsgegevens.
• Zorgkantoren: om te voorkomen dat zorg zowel op grond van de Wlz als de basisverzekering wordt betaald, en voor de onderlinge afstemming van de op grond van de zorgverzekering en de Wlz verzekerde zorg.
• Sociale Verzekeringsbank (SVB): de SVB ontvangt gegevens van het Zorgkantoor voor de verzekerdenadministratie bedoeld in artikel 35 van de Wet structuur uitvoeringsorganisatie werk en inkomen en de betalingen ten laste van het persoonsgebonden budget en het daarmee verbonden budgetbeheer.
• CZ wisselt persoonsgegevens uit met toezichthouders (bijvoorbeeld Nederlandse Zorgautoriteit of de Autoriteit Persoonsgegevens) indien dit nodig is in het kader van de toezichthoudende taak. Dit is een wettelijke verplichting.
• Zorgverzekeraars krijgen regelmatig verzoeken van bijvoorbeeld universitaire ziekenhuizen om persoonsgegevens (over gezondheid) te mogen gebruiken voor wetenschappelijk onderzoek of statistiek. Deze gegevens worden alleen verstrekt voor zover niet volstaan kan worden met anonieme gegevens, het onderzoek in het algemeen belang is, en toestemming vragen niet mogelijk was.
• CZ heeft een Incidentenregister waarin (persoons)gegevens worden opgenomen. In dit register worden gebeurtenissen opgenomen die als gevolg hebben of zouden kunnen hebben dat de belangen, integriteit of veiligheid van de verzekerden, de (medewerkers van) CZ of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het vervalsen van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.
• In het Extern Verwijzingsregister worden de persoonsgegevens opgenomen van personen waarvan in voldoende mate vaststaat dat hun gedragingen een bedreiging (kunnen) vormen voor de financiële belangen van (medewerkers van) CZ of zijn verzekerden. Het Extern Verwijzingsregister kan worden ingezien door de deelnemers aan het Protocol Incidenten waarschuwingssysteem Financiële Instellingen.
• Basis Registratie Personen: Zorgverzekeraars verkrijgen persoonsgegevens vanuit de Basis Registratie Personen.
• De Nationale sanctielijst terrorisme van de Rijksoverheid: Zorgverzekeraars moeten controleren of je voorkomt op deze lijst. Als je voorkomt op de lijst wordt dit gemeld aan De Nederlandsche Bank. Dit is een wettelijke verplichting.
• Andere verzekeraar: wij wisselen soms gegevens uit om schade of kosten die wij vergoed hebben te verhalen, bijvoorbeeld op je reisverzekeraar als die óók dekking biedt naast je basis- of aanvullende verzekering, of op de aansprakelijkheidsverzekeraar van een andere persoon, die de schade of kosten veroorzaakt heeft.
• Zorgaanbieders met wie CZ een contract heeft gesloten: zij brengen de kosten van zorg direct bij CZ in rekening.

Als het om dringende reden noodzakelijk is dat zorgaanbieders geen inzage kunnen hebben in je adresgegevens, kan je dit aan ons laten weten. Wij kunnen je adresgegevens dan afschermen. Dit geldt ook voor personen tegen wie je beschermd wordt. Daartegen kan je je gegevens laten afschermen, ook als het de verzekeringsnemer betreft.

Als CZ voor haar werkzaamheden gebruik maakt van derde partijen, dan streven we er naar dat gegevens uitsluitend worden verwerkt binnen de Europese Unie of binnen landen/ organisaties waarvan de Europese Commissie heeft aangegeven dat ze een passend beschermingsniveau waarborgen. Dit is echter niet altijd mogelijk. Het kan voorkomen dat je gegevens – waaronder gegevens over je gezondheid – worden verwerkt in een ander land dan hierboven bedoeld. In dat geval zorgen we er contractueel voor dat deze verwerkers passende waarborgen treffen.

Doorgifte van persoonsgegevens aan derde landen

In het geval CZ gebruik maakt van de diensten van een organisatie die gevestigd is in een land buiten de EER en er daarbij doorgifte van persoonsgegevens plaatsvindt, dan handelt CZ als volgt:

• Indien voor het land een zogenaamd ‘adequaatheidsbesluit’ van de Europese Commissie geldt, is de EU van mening dat het land een passend beschermingsniveau waarborgt en mag doorgifte van persoonsgegevens plaatsvinden;
• Indien geen adequaatheidsbesluit van toepassing is, vindt slechts doorgifte van persoonsgegevens plaats als er passende waarborgen worden geboden voor de bescherming van persoonsgegevens;
• In gevallen waarin geen passende waarborgen mogelijk zijn, bijvoorbeeld het in de afspraken opnemen van de standaard contractsbepalingen zoals voorgeschreven door de EU, is doorgifte aan een derde land slechts in een uitzonderlijk geval toegestaan. Bijvoorbeeld als je hiervoor toestemming hebt gegeven of voor het instellen, uitoefenen of onderbouwen van een rechtsvordering.

CZ legt bovenstaande verplichtingen ook op aan organisaties waaraan werkzaamheden zijn uitbesteed. Indien zo’n organisatie op zijn beurt dus werkzaamheden wil uitbesteden dient ook die partij aan deze voorwaarden te voldoen.

Gegevens over je gezondheid

Gegevens over je gezondheid zijn gegevens waar CZ extra zorgvuldig mee omgaat. CZ gebruikt deze gezondheidsgegevens om te bepalen of je recht hebt op (de vergoeding van) zorg en voor de afhandeling van declaraties. Voor zover dat nodig is, worden gegevens ook gebruikt voor controle, het doen van fraudeonderzoek, verhaal op een derde en analyses voor zorginkoop, zorgbemiddeling en risicobeheersing.

De medisch adviseur van CZ is een in het register inzake Beroepen in de Individuele Gezondheidszorg (BIG) ingeschreven: arts, tandarts, fysiotherapeut, verloskundige, verpleegkundige, gezondheidszorgpsycholoog, psychotherapeut of apotheker.

De medisch adviseur van CZ heeft een wettelijke geheimhoudingsplicht. De medische beoordeling van gezondheidsgegevens valt onder verantwoordelijkheid van de medisch adviseur(s). Iedere medewerker die gezondheidsgegevens gebruikt, valt onder de verantwoordelijkheid van de medisch adviseur, behalve voor wat betreft handelingen met een puur administratief karakter zoals het verwerken van declaraties van zorgaanbieders en het doorzenden en digitaliseren van post. De groep van medewerkers onder verantwoordelijkheid van de medisch adviseur, heet de ‘functionele eenheid’. De medewerkers in de functionele eenheid hebben dezelfde geheimhoudingsplicht als de medisch adviseur.

Geautomatiseerde verwerking machtigingsaanvraag of declaratie

Machtigingsaanvraag:
Je machtigingsaanvraag doorloopt een zorgvuldig proces, waarbij toetsingscriteria gebaseerd op de verzekeringsvoorwaarden worden toegepast op je aanvraag. Het toepassen van deze criteria kan geautomatiseerd plaatsvinden. Je krijgt altijd een bericht waarin de aanvraag wordt toe- of afgewezen. Daarin staat beschreven hoe je een klacht kunt indienen als je dat wilt.

Declaraties:
Declaraties worden meestal geautomatiseerd afgehandeld, waarbij toetsingscriteria gebaseerd op de verzekeringsvoorwaarden worden toegepast op je declaratie. Je hebt altijd het recht om een vraag of klacht in te dienen naar aanleiding van de geautomatiseerde afhandeling van je declaratie. De vraag of de klacht wordt door een medewerker van CZ bekeken.

III. Commercie en Marketing

CZ gebruikt je persoonsgegevens om je te informeren en te interesseren voor haar andere producten en diensten. Gegevens over je gezondheid (bijvoorbeeld declaratiegegevens) worden niet gebruikt voor commerciële doeleinden, tenzij je hier expliciete toestemming voor hebt gegeven. Soms maakt CZ selecties van haar klantenbestand, bijvoorbeeld om een product voor een bepaalde doelgroep aan te prijzen. Bij het maken van selecties voor commerciële doeleinden, wordt geen gebruik gemaakt van gegevens over gezondheid of financiële gegevens.

Analyse

CZ gebruikt je persoonsgegevens voor analyses ten behoeve van marketingactiviteiten. Hierbij wordt geen gebruik gemaakt van gegevens over je gezondheid, tenzij je hier expliciete toestemming voor hebt gegeven.

Klantgroepen selecteren

CZ gebruikt persoonsgegevens voor het samenstellen van klantgroepen ten behoeve van marketingactiviteiten en voor het verbeteren van service. Een klantgroep kan (ook) gebaseerd zijn op gegevens die zijn verkregen uit bronnen buiten CZ. Je gegevens worden niet gebruikt voor het nemen van een uitsluitend geautomatiseerd besluit waaraan voor je rechtsgevolgen zijn verbonden of dat je op andere wijze in aanmerkelijke mate treft.

Cookies

Als je de website of apps van CZ bezoekt kan CZ informatie opslaan op je computer in de vorm van een cookie. Informatie over cookies op de website van CZ kan je lezen in het Cookiestatement.

Tracking scripts

Als je e-mails van CZ ontvangt om je te informeren over onze producten en diensten, kan CZ (met behulp van e-mail tracking scripts) klikgedrag in e-mails opslaan, bijvoorbeeld om te zien wanneer een e-mail is geopend of op bepaalde artikelen uit de nieuwsbrief is geklikt. Deze informatie kan worden gebruikt om de mailings te verbeteren, zodat ze beter aansluiten op je persoonlijke voorkeur. Daarbij wordt geen informatie op je computer opgeslagen, zoals bij cookies.

CZ bewaart je persoonsgegevens zolang deze nodig zijn voor het doel waarvoor CZ je gegevens in eerste instantie hebt gekregen. Dit betekent dat de meeste gegevens 7 jaar worden bewaard (met ingang van het jaar volgend op het jaar waarop de gegevens betrekking hebben), met een aantal uitzonderingen.

De uitzonderingen betreffen:

• Niet gesloten verzekering
  Het kan voorkomen dat je bij CZ een verzekering hebt aangevraagd, maar deze niet hebt afgesloten. Omdat je zelf besloot de verzekering niet te willen sluiten, of omdat CZ deze geweigerd heeft. In dat geval bewaart CZ je gegevens 1 jaar na de aanvraag. Op die manier kan CZ je gegevens controleren als je het volgend jaar weer een aanvraag indient. Tevens biedt dit CZ de mogelijkheid om je te benaderen met andere mogelijk interessante producten, tenzij je hebt aangegeven dat je dit niet wenst.
  
  
• Na beëindiging van je verzekering
  Heb je wel een verzekering gesloten, maar deze inmiddels beëindigd? Dan bewaren wij je gegevens maximaal 7 jaar nadat je verzekering geëindigd is, dan wel maximaal 7 jaar nadat er nota’s van je zijn ontvangen. Dit doen wij o.a. vanwege de gestelde eis in de Zorgverzekeringswet en de Algemene wet inzake rijksbelastingen. Deze gegevens mogen maximaal 2 jaar worden gebruikt voor marketingdoeleinden, tenzij je hebt aangegeven dat je dit niet wenst.
  
  
• Onderzoek medische gegevens
  Hebben wij een onderzoek uitgevoerd, waarbij je medische gegevens zijn gebruikt of zijn je medische gegevens nodig voor toekomstig onderzoek? Dan bewaren wij deze zolang dat nodig is om het onderzoek uit te voeren en af te ronden, en daarna om onze rechten veilig te stellen. Bijvoorbeeld om declaraties terug te vorderen als zorg is gedeclareerd die niet verleend is.
  
  
• Fraude
  Als wij je gegevens hebben gebruikt in een fraudeonderzoek, bewaren wij deze gegevens maximaal 8 jaar nadat het onderzoek is gesloten.
  
  
• Opnemen telefoon- en/of chatgesprekken voor trainings- en/of analysedoeleinden
  Wij kunnen je telefoongesprekken of chatgesprek met ons opnemen. Dat doen wij om onze medewerkers te kunnen trainen en om analyses te maken om zo onze dienstverlening ter verbeteren. Deze gegevens bewaren wij niet langer dan noodzakelijk maar maximaal 6 maanden.
  Ook maken wij geautomatiseerde samenvattingen van telefoongesprekken om onze dienstverlening te verbeteren. Deze samenvattingen worden wel maximaal 7 jaar bewaard.
  
  
• Beëindiging verzekering vanwege betalingsgedrag
  Als je verzekering is beëindigd omdat je niet of te laat betaalde, worden de gegevens hierover maximaal 5 jaar bewaard.
  
  
• Risicoverevening
  CZ bewaart alle gegevens van verzekerden die nodig zijn voor (de afronding van) de risicoverevening, gedurende 15 jaar vanaf 1 januari van het jaar waaraan het Zorginstituut de kosten van zorg toerekent.
  Door de risicoverevening krijgen zorgverzekeraars die meer verzekerden hebben met hoge zorgkosten, financiële compensatie van de overheid. Dit wordt uitgevoerd door het Zorginstituut.

Je hebt recht op inzage, rectificatie, gegevenswissing, beperking van het gebruik van je persoonsgegevens, overdraagbaarheid van je persoonsgegevens, bezwaar en op het intrekken van je toestemming. Hieronder kan je lezen wat deze rechten inhouden.

Inzage

Je hebt recht op inzage in de persoonsgegevens die CZ van je heeft en informatie waarover deze persoonsgegevens gebruikt worden.

Het recht op inzage is in het algemeen op een veilige manier geregeld doordat je via Mijn Just zelf kunt zien welke persoonsgegevens over je worden verwerkt (NAW-gegevens, verzekeringsgegevens, informatie over het betaalde eigen risico en premiebetalingen en zorgkosten).

Het kan zijn dat je daarnaast nog bepaalde specifieke informatie wilt hebben. Je kan daarvoor een verzoek indienen. Vermeld in je verzoek welke gegevens je wilt inzien.

Gegevensoverdraagbaarheid

Je hebt het recht je persoonsgegevens te krijgen van CZ in een gestructureerde, gangbare en machine leesbare vorm, als die persoonsgegevens door jou of namens jou aan CZ zijn verstrekt en door CZ via geautomatiseerde procedés zijn gebruikt.

CZ kan de persoonsgegevens ook direct aan een andere zorgverzekeraar sturen als het gaat om gegevens die nodig zijn om over te stappen naar die andere zorgverzekeraar of door CZ gegeven machtigingen voor het vergoeden van zorg.

Als je wilt dat CZ je gegevens direct aan een andere zorgverzekeraar stuurt, vermeld dit dan in je verzoek.

Rectificatie

Je hebt recht op correctie (rectificatie) van onjuiste persoonsgegevens die op je betrekking hebben. Je hebt er recht op dat onvolledige persoonsgegevens volledig worden gemaakt, bijvoorbeeld door het verstrekken van een aanvullende verklaring.

Vermeld in je verzoek welke gegevens gecorrigeerd moeten worden en waarom.

Gegevenswissing

Je kan CZ vragen je persoonsgegevens te wissen als volgens jou één van de volgende gevallen van toepassing is:

• CZ heeft je persoonsgegevens niet meer nodig;
• je gegevens worden gebruikt op grond van je toestemming, maar je trekt deze toestemming in;
• je maakt bezwaar zoals hierna omschreven, tegen het gebruik van je persoonsgegevens;
• CZ mocht je persoonsgegevens niet gebruiken;
• CZ was op grond van de wet al verplicht je gegevens te wissen.

Vermeld in je verzoek welke gegevens je wilt laten wissen en waarom je vindt dat CZ dit moet doen. Wanneer je verzoek betrekking heeft op je verzekering is het wissen van gegevens vaak niet mogelijk, bijvoorbeeld omdat CZ deze gegevens nog wel nodig heeft, met inachtneming van de geldende bewaartermijnen (zie onderdeel 3).

Beperking

Je hebt er recht op dat het gebruik van je persoonsgegevens wordt beperkt:

• in de periode die CZ nodig heeft om vast te stellen of je gegevens inderdaad gecorrigeerd moeten worden;
• als CZ je persoonsgegevens niet had mogen gebruiken, maar je wilt niet dat die gegevens worden gewist;
• in de periode dat je tegen het gebruik van je persoonsgegevens bezwaar hebt gemaakt maar van CZ nog geen antwoord hebt gekregen.;
• Als CZ je persoonsgegevens niet meer nodig heeft voor zijn eigen verwerkingsdoelen en deze dus niet langer mag bewaren, kan je CZ verzoeken om deze gegevens toch langer te bewaren. Je kan dit verzoek indienen als je jou eigen gegevens nog nodig hebt voor het instellen, uitoefenen of onderbouwen van een rechtsvordering. CZ moet deze gegevens dan langer bewaren maar mag deze niet meer gebruiken voor eigen doelen.

Als het gebruik van je persoonsgegevens wordt beperkt, heeft CZ je toestemming nodig om toch nog gebruik van die gegevens te mogen maken. Hierop zijn een aantal uitzonderingen. Je persoonsgegevens mogen toch worden gebruikt:

• voor de uitvoering van je zorgverzekering en aanvullende ziektekostenverzekering, zodat je verzekerd kunt blijven en je nota’s kunnen worden betaald door je zorgverzekeraar;
• voor het instellen, uitoefenen of onderbouwen van een rechtsvordering;
• er bescherming van de rechten van een ander persoon of een rechtspersoon; of
• om redenen van groot algemeen belang voor de Europese Unie of een lidstaat van de Europese Unie, zoals volksgezondheid.

Vermeld in je verzoek waarom CZ je persoonsgegevens niet mocht gebruiken. Of voeg het verzoek tot beperking van het gebruik van je persoonsgegevens toe aan een verzoek tot rectificatie of een bezwaar.

Als je samen met het beroep op rectificatie of je bezwaar ook een beroep op beperking van het gebruik van je persoonsgegevens hebt gedaan, worden je persoonsgegevens in deze termijn minder gebruikt.

Bezwaar

Je hebt het recht om bezwaar te maken tegen het gebruik van je persoonsgegevens voor direct marketing. Als je gegevens worden gebruikt – maar niet voor direct marketing of uitvoering van je verzekering - mag je daartegen bezwaar maken, als je daarvoor bijzondere persoonlijke redenen hebt. Vermeld in je bezwaar om welke gegevens het gaat en wat de reden van je bezwaar is.

Toestemming intrekken

Als CZ alleen met je toestemming je persoonsgegevens heeft gebruikt, dan mag je deze toestemming te allen tijde intrekken. De intrekking van je toestemming heeft geen terugwerkende kracht. Het intrekken van je toestemming heeft dus geen gevolgen voor al uitgevoerde handelingen. Vermeld bij je verzoek welke toestemming je wilt intrekken.

Als je een beroep wilt doen op één van de rechten die hierboven genoemd worden, kan je daarvoor een verzoek indienen bij de functionaris voor de gegevensbescherming van CZ. Dit kan je bijvoorbeeld per brief of elektronisch doen. We vertellen je dan binnen een maand wat we met je verzoek hebben gedaan. Als je verzoek erg ingewikkeld is, kan deze termijn met nog eens twee maanden worden verlengd. Als CZ de termijn wil verlengen, laten wij je dat binnen een maand na ontvangst van je verzoek weten.

Als je het niet eens bent met de afhandeling van je verzoek kan je daarover een klacht indienen bij de Autoriteit Persoonsgegevens (of iedere andere Europese toezichthoudende autoriteit). Je kunt ook een verzoekschrift indienen bij de rechtbank.

Ben je verzekeringsnemer en heb je voor een kind een basisverzekering afgesloten? Dan kan je bovenstaande rechten (genoemd onder 4.) ook voor dit kind inroepen. Als het kind 16 jaar of ouder is, gelden wel bijzondere regels. Je hebt als verzekeringsnemer dan namelijk alleen nog recht op de gegevens die nodig zijn voor het afsluiten van de basisverzekering en om voldoende inzicht te krijgen in de door jou te betalen nota’s. Vraag je bijvoorbeeld inzage in de persoonsgegevens van een kind van 16 jaar of ouder waarvan je verzekeringnemer bent? Dan geldt dat wij je alleen de hierboven genoemde gegevens kunnen geven. Je kan ook een machtiging overleggen van het kind van 16 jaar of ouder dat wij alle gegevens aan je mogen overleggen. Dan kunnen wij je die wel verstrekken.

CZ past in het hele bedrijf beveiligingsmaatregelen toe om persoonsgegevens te beveiligen. Deze maatregelen betreffen: de organisatie, het personeel, processen, techniek, en fysieke beveiliging, en zijn vastgelegd in het beveiligingsbeleid van CZ.

De ontwikkelingen binnen de wereld van informatiebeveiliging gaan snel. De invulling van de maatregelen is afgeleid van internationaal geldende standaarden, zoals ISO norm ISO27002. Periodiek wordt door ons gecontroleerd of onze maatregelen nog adequaat zijn. Dit gebeurt door middel van het uitvoeren van risicoanalyses, interne controleplannen en door onafhankelijke audits. Daarnaast staat CZ onder direct toezicht van verschillende toezichthouders en de externe accountant, waarbij onder meer wordt toegezien op de werking van interne beheersing van informatiebeveiliging. Als CZ gebruik maakt van derde partijen bij de verwerking van persoonsgegevens dan controleert CZ dat die derde partij, afhankelijk van het soort persoonsgegevens, beschikt over voldoende beveiliging.

Heb je vragen over je zorgverzekering? Dan kan je ons ook een WhatsApp-bericht sturen. We delen via WhatsApp geen privacygevoelige informatie met je, zoals medische gegevens of andere persoonsgegevens. Want WhatsApp is minder betrouwbaar en veilig dan bijvoorbeeld bellen of chat. We zullen je dus nooit vragen om vertrouwelijke informatie. We verzoeken je vriendelijk om ook niet uit jezelf privacygevoelige gegevens te delen via WhatsApp.

Als je besluit om gebruik te maken van WhatsApp, dan hebben wij alleen je relatienummer, naam en geboortedatum nodig om je polisgegevens op te zoeken. Als je gebruikmaakt van WhatsApp om berichten te versturen, dan gelden de gebruikersvoorwaarden en het privacy beleid van WhatsApp.

Als je ons een WhatsApp-bericht stuurt, dan hebben wij volgens de voorwaarden van WhatsApp voor zakelijke gebruikers 24 uur om te reageren op je bericht. Deze termijn van 24 uur start telkens opnieuw als je ons een bericht stuurt. Na het verstrijken van de termijn kunnen wij enkel nog met een standaardbericht op je bericht reageren. In dit standaardbericht zullen wij je vragen om instemming om het gesprek voort te kunnen zetten. Alleen indien je met ‘JA’ reageert, kunnen wij het gesprek voortzetten. Als je niet meer reageert, zullen we éénmaal een herinnering sturen en éénmaal een afsluitend bericht.

We vinden het vanzelfsprekend dat we je duidelijk en compleet informeren over je privacy. Heeft je vragen over dit privacy statement, ben je het oneens met hoe CZ met je gegevens omgaat of wil je het gebruik van je gegevens voor één van de genoemde doeleinden beëindigen, dan kan je ons je vraag stellen per brief. Verzoeken met betrekking tot één van de rechten zoals hierboven onder punt 4 genoemd kan je richten aan de functionaris voor de gegevensbescherming CZ.

Dit privacy statement kan wijzigen. De laatste versie vind je altijd hier. Dit privacy statement is het laatst gewijzigd op 8 januari 2025.

De belangrijkste wijzigingen ten opzichte van de vorige versie:

• Duidelijkere formulering van de dienst COV (controle op verzekeringsrecht), uitgevoerd door VECOZO.
• Specifiekere omschrijving van de verwerkingen door Vektis.
• Toegevoegd als partijen onder kopje ‘Uitwisseling met derden’: Ministerie van Volksgezondheid, Welzijn en Sport; Zorginstituut; Centrum Indicatiestelling Zorg (CIZ); de Rijksbelastingdienst en de eigen accountant.
• Toegevoegd een alinea over ‘Doorgifte van persoonsgegevens aan derde landen’.
• Langere bewaartermijn (dan standaard 7 jaar) opgenomen voor risicoverevening van 15 jaar.
• Bij beperking van het gebruik van uw persoonsgegevens (kopje binnen paragraaf 4) is conform artikel 18 AVG de vierde reden genoemd waarom betrokkene beperking mag eisen.