CZ gaat zorgvuldig om met je persoonsgegevens en wil je in dit statement uitleg geven over het gebruik van je persoonsgegevens. Omdat zorgverzekeraars het belangrijk vinden dat zij de wettelijke regels op de juiste wijze nakomen, hebben zij hierover gezamenlijke gedragsregels opgenomen in de Gedragscode verwerking persoonsgegevens zorgverzekeraars. Je kunt de huidige Gedragscode hier vinden. Eén van de wettelijke privacyregels is de verplichting om transparant te zijn over hoe omgegaan wordt met persoonsgegevens van klanten. CZ doet dit in de vorm van dit privacy statement.
In dit privacy statement worden de volgende vragen beantwoord:
Om uitvoering te kunnen geven aan de Zorgverzekeringswet en de verzekeringsovereenkomst die CZ heeft gesloten met zijn verzekerden zijn persoonsgegevens noodzakelijk. Specifiek om je te kunnen identificeren neemt CZ het burgerservicenummer (bsn) van zijn verzekerden op in zijn administratie (wettelijke verplichting).
CZ gebruikt je persoonsgegevens voor verschillende doelen en alleen als en voor zover het gebruik voor dat doel nodig is.
De doelen betreffen:
I. Beoordelen en accepteren
II. Sluiten en uitvoeren van de verzekering
III. Commercie en Marketing
CZ gebruikt je persoonsgegevens om te controleren of je verzekeringsplichtig bent voor de basisverzekering. Voor de basisverzekering is het uitgangspunt dat iedere verzekeringsplichtige geaccepteerd wordt, dat is bepaald in de Zorgverzekeringswet.
Voor de (meest uitgebreide) aanvullende tandartsverzekering en bij de verzekering voor niet-verzekeringsplichtigen woonachtig in het buitenland worden in het kader van het acceptatiebeleid persoonsgegevens betreffende iemands gezondheid gevraagd om te beoordelen of de verzekering die wordt aangevraagd, afgesloten kan worden. De gegevens worden beoordeeld onder verantwoordelijkheid van de tandheelkundig adviseur resp. medisch adviseur. Deze beoordeling kan ertoe leiden dat de aanvrager een aanbod ontvangt dat afwijkt van zijn aanvraag.
Geautomatiseerde verwerking aanvraag
Je gegevens worden geautomatiseerd verwerkt als je een basis- of een aanvullende ziektekostenverzekering aanvraagt. Dit gebeurt aan de hand van de gegevens die je op het (elektronische) aanvraagformulier hebt ingevuld.
Bij je aanvraag voor een aanvullende tandartsverzekering of de verzekering voor niet-verzekeringsplichtigen woonachtig in het buitenland kan het ook gaan om gezondheidsgegevens. Dit leidt tot het afsluiten van de verzekering of afwijzing van je aanvraag. Je kunt altijd contact opnemen met CZ en een vraag of klacht indien en naar aanleiding van de geautomatiseerde afhandeling van je aanvraag.
CZ heeft je persoonsgegevens nodig voor het sluiten en uitvoeren van de basisverzekering en aanvullende ziektekostenverzekering. Voor het uitvoeren van deze verzekeringen zijn ook gegevens over je gezondheid nodig.
Onder het uitvoeren van de verzekering vallen: bepalen of je recht heeft op (vergoeding van) zorg, betalen aan de zorgaanbieder, betalen van vergoedingen aan je, innen van premie, vaststellen van eigen bijdrages en verplicht en vrijwillig eigen risico, uitvoeren van controles, bestrijden van fraude (waaronder een intern registratiesysteem), verhalen van schade op derde partijen, onderzoek onder verzekerden naar de kwaliteit van zorg, verbeteren van dienstverlening (waaronder ook technische support), gericht informeren van groepen verzekerden met voor hen relevante informatie, beperken van betalingsachterstanden van de verzekeringnemer bij de zorgverzekeraar, bewerkstelligen dat de verzekeringnemer niet langer een bestuursrechtelijke premie verschuldigd is, behandelen van klachten en geschillen en analyseren van (persoons)gegevens voor risicobeheersing (waaronder de beheersing van zorguitgaven) en de inkoop van zorg.
Uitwisseling met derden
Je persoonsgegevens worden soms gedeeld met of verkregen van derden. Ze worden nooit verkocht aan derden. Voorbeelden van het delen met een derde zijn:
Als het om een dringende reden noodzakelijk is dat zorgaanbieders geen inzage kunnen hebben in je adresgegevens, kan je dit aan ons laten weten. Wij kunnen je adresgegevens dan afschermen. Dit geldt ook voor personen tegen wie je beschermd wordt. Daartegen kan je je gegevens laten afschermen, ook als het de verzekeringsnemer betreft.
Als CZ voor haar werkzaamheden gebruik maakt van derde partijen, dan streven we er naar dat gegevens uitsluitend worden verwerkt binnen de Europese Unie of binnen landen/ organisaties waarvan de Europese Commissie heeft aangegeven dat ze een passend beschermingsniveau waarborgen. Dit is echter niet altijd mogelijk. Het kan voorkomen dat uw gegevens – waaronder gegevens over uw gezondheid – worden verwerkt in een ander land dan hierboven bedoeld. In dat geval zorgen we er contractueel voor dat deze verwerkers passende waarborgen treffen.
Gegevens over je gezondheid
Gegevens over je gezondheid zijn gegevens waar CZ extra zorgvuldig mee omgaat. CZ gebruikt controle, het doen van fraudeonderzoek, verhaal op een derde en analyses voor zorginkoop en risicobeheersing.
De medisch adviseur van CZ is een in het register inzake Beroepen in de Individuele Gezondheidszorg (BIG) ingeschreven arts, tandarts, fysiotherapeut, verloskundige, verpleegkundige, gezondheidszorgpsycholoog, psychotherapeut of apotheker.
De medisch adviseur heeft een wettelijke geheimhoudingsplicht. Het gebruik van gezondheidsgegevens valt onder verantwoordelijkheid van de medisch adviseur(s). Iedere medewerker die gezondheidsgegevens gebruikt, valt onder de verantwoordelijkheid van de medisch adviseur, behalve voor wat betreft handelingen met een puur administratief karakter zoals het verwerken van declaraties van zorgaanbieders en het doorzenden en digitaliseren van post. De groep van medewerkers onder verantwoordelijkheid van de medisch adviseur, heet de ‘functionele eenheid’. De medewerkers in de functionele eenheid hebben dezelfde geheimhoudingsplicht als de medisch adviseur.
Geautomatiseerde verwerking machtigingsaanvraag of declaratie
Machtigingsaanvraag:
Je machtigingsaanvraag doorloopt een zorgvuldig proces, waarbij toetsingscriteria gebaseerd op de verzekeringsvoorwaarden worden toegepast op je aanvraag. Het toepassen van deze criteria kan geautomatiseerd plaatsvinden. Je krijgt altijd een bericht waarin de aanvraag wordt toe- of afgewezen. Daarin staat beschreven hoe je een klacht kunt indienen als je dat wilt.
Declaraties:
Declaraties worden meestal geautomatiseerd afgehandeld, waarbij toetsingscriteria gebaseerd op de verzekeringsvoorwaarden worden toegepast op je declaratie. Je heeft altijd het recht om een vraag of klacht in te dienen naar aanleiding van de geautomatiseerde afhandeling van je declaratie.
Uitbesteding
CZ kan ervoor kiezen om werkzaamheden uit te besteden. CZ blijft wel altijd verantwoordelijk voor het gebruik van je persoonsgegevens. Voorbeelden van uitbesteding zijn de werkzaamheden die onder andere VECOZO en Vektis namens zorgverzekeraars verrichten .
CZ bewaart je persoonsgegevens zolang hij deze nodig heeft voor het doel waarvoor CZ je gegevens in eerste instantie heeft gekregen. Dit betekent dat de meeste gegevens 7 jaar worden bewaard (met ingang van het volgende jaar dan het jaar waarop de gegevens betrekking hebben), met een aantal uitzonderingen.
De uitzonderingen betreffen:
Je hebt recht op inzage, rectificatie, gegevenswissing, beperking van het gebruik van je persoonsgegevens, overdraagbaarheid van je persoonsgegevens, bezwaar en op het intrekken van je toestemming. Hieronder kan je lezen wat deze rechten inhouden.
Inzage
Je hebt recht op inzage in de persoonsgegevens die CZ van je heeft en informatie waarvoor hij die persoonsgegevens gebruikt.
Het recht op inzage is in het algemeen op een veilige manier geregeld doordat je via Mijn CZ zelf kunt zien welke persoonsgegevens over je worden verwerkt (NAW-gegevens, verzekeringsgegevens, informatie over het betaalde eigen risico en premiebetalingen en zorgkosten).
Het kan zijn dat je daarnaast nog bepaalde specifieke informatie wilt hebben. Je kunt daarvoor een verzoek indienen. Vermeld in je verzoek welke gegevens je wilt inzien.
Gegevensoverdraagbaarheid
Je hebt het recht je persoonsgegevens te krijgen van CZ in een gestructureerde, gangbare en machine leesbare vorm, als die persoonsgegevens door jou of namens jou aan CZ zijn verstrekt en door CZ via geautomatiseerde procedés zijn gebruikt.
CZ kan de persoonsgegevens ook direct aan een andere zorgverzekeraar sturen als het gaat om gegevens die nodig zijn om over te stappen naar die andere zorgverzekeraar of door CZ gegeven machtigingen voor het vergoeden van zorg.
Als je wilt dat CZ je gegevens direct aan een andere zorgverzekeraar stuurt, vermeld dit dan in je verzoek.
Rectificatie
Je hebt recht op correctie (rectificatie) van onjuiste persoonsgegevens die op je betrekking hebben. Je hebt er recht op dat onvolledige persoonsgegevens volledig worden gemaakt, bijvoorbeeld door het verstrekken van een aanvullende verklaring.
Vermeld in je verzoek welke gegevens gecorrigeerd moeten worden en waarom.
Gegevenswissing
Je kunt CZ vragen je persoonsgegevens te wissen als volgens jou één van de volgende gevallen van toepassing is:
Vermeld in je verzoek welke gegevens je wilt laten wissen en waarom je vindt dat CZ dit moet doen. Wanneer je verzoek betrekking heeft op je verzekering is het wissen van gegevens vaak niet mogelijk, bijvoorbeeld omdat CZ deze gegevens nog wel nodig heeft, met inachtneming van de geldende bewaartermijnen (zie onderdeel 2).
Beperking
Je hebt er recht op dat het gebruik van je persoonsgegevens wordt beperkt:
Als het gebruik van je persoonsgegevens wordt beperkt, heeft CZ je toestemming nodig om toch nog gebruik van die gegevens te mogen maken. Hierop zijn een aantal uitzonderingen. Je persoonsgegevens mogen toch worden gebruikt:
Vermeld in je verzoek waarom CZ je persoonsgegevens niet mocht gebruiken. Of voeg het verzoek tot beperking van het gebruik van je persoonsgegevens toe aan een verzoek tot rectificatie of een bezwaar.
Als je samen met het beroep op rectificatie of je bezwaar ook een beroep op beperking van het gebruik van je persoonsgegevens heeft gedaan, worden je persoonsgegevens in deze termijn minder gebruikt.
Bezwaar
Je hebt het recht om bezwaar te maken tegen het gebruik van je persoonsgegevens voor direct marketing. Als je gegevens worden gebruikt – maar niet voor direct marketing of uitvoering van je verzekering - mag je daartegen bezwaar maken, als je daarvoor bijzondere persoonlijke redenen heeft. Vermeld in je bezwaar om welke gegevens het gaat en wat de reden van je bezwaar is.
Toestemming
Als CZ alleen met je toestemming je persoonsgegevens heeft gebruikt, dan mag je deze toestemming te allen tijde intrekken. De intrekking van je toestemming heeft geen terugwerkende kracht. Het intrekken van je toestemming heeft dus geen gevolgen voor al uitgevoerde handelingen.
Vermeld bij je verzoek welke toestemming je wilt intrekken.
Als je een beroep wilt doen op één van de rechten die hierboven genoemd worden, kan je daarvoor een verzoek indienen bij de functionaris voor de gegevensbescherming van CZ. Dit kan je bijvoorbeeld per brief of elektronisch doen. We vertellen je dan binnen een maand wat we met je verzoek hebben gedaan. Als je verzoek erg ingewikkeld is, kan deze termijn met nog eens twee maanden worden verlengd. Als CZ de termijn wil verlengen, laten wij je dat binnen een maand na ontvangst van je verzoek weten.
Als je het niet eens bent met de afhandeling van je verzoek kan je daarover een klacht indienen bij de Autoriteit Persoonsgegevens. Je kunt ook een verzoekschrift indienen bij de rechtbank.
CZ past in het hele bedrijf beveiligingsmaatregelen toe om persoonsgegevens te beveiligen. Deze maatregelen betreffen: de organisatie, het personeel, processen, techniek, en fysieke beveiliging, en zijn vastgelegd in het beveiligingsbeleid van CZ.
De ontwikkelingen binnen de wereld van informatiebeveiliging gaan snel. De invulling van de maatregelen is afgeleid van internationaal geldende standaarden, zoals ISO norm ISO27002. Periodiek wordt door ons gecontroleerd of onze maatregelen nog adequaat zijn. Dit gebeurt door middel van het uitvoeren van risicoanalyses, interne controleplannen en door onafhankelijke audits. Daarnaast staat CZ onder direct toezicht van verschillende toezichthouders en de externe accountant, waarbij onder meer wordt toegezien op de werking van interne beheersing van informatiebeveiliging. Als CZ gebruik maakt van derde partijen bij de verwerking van persoonsgegevens dan controleert CZ dat die derde partij, afhankelijk van het soort persoonsgegevens, beschikt over voldoende beveiliging.
Heb je vragen over je zorgverzekering? Dan kan je ons ook een WhatsApp-bericht sturen. We delen via WhatsApp geen privacygevoelige informatie met je, zoals medische gegevens of andere persoonsgegevens. Want WhatsApp is minder betrouwbaar en veilig dan bijvoorbeeld e-mail of chat. We zullen je dus nooit vragen om vertrouwelijke informatie. We verzoeken je vriendelijk om ook niet uit jezelf privacygevoelige gegevens te delen via WhatsApp.
Als je besluit om gebruik te maken van WhatsApp, dan hebben wij alleen je relatienummer, naam en geboortedatum nodig om je polisgegevens op te zoeken. Als je gebruikmaakt van WhatsApp om berichten te versturen, dan gelden de gebruikersvoorwaarden en het privacy beleid van WhatsApp.
Als je ons een WhatsApp-bericht stuurt, dan hebben wij volgens de voorwaarden van WhatsApp voor zakelijke gebruikers 24 uur om te reageren op je bericht. Deze termijn van 24 uur start telkens opnieuw als je ons een bericht stuurt. Na het verstrijken van de termijn kunnen wij enkel nog met een standaardbericht op je bericht reageren. In dit standaardbericht zullen wij je vragen om instemming om het gesprek voort te kunnen zetten. Alleen indien je met ‘JA’ reageert, kunnen wij het gesprek voortzetten. Als je niet meer reageert, zullen we éénmaal een herinnering sturen en éénmaal een afsluitend bericht.
We vinden het vanzelfsprekend dat we je duidelijk en compleet informeren over je privacy. Heeft je vragen over dit privacy statement, ben je het oneens met hoe CZ met je gegevens omgaat of wil je het gebruik van je gegevens voor één van de genoemde doeleinden beëindigen, dan kan je ons je vraag stellen via het contactformulier op onze website of per brief. Verzoeken met betrekking tot één van de rechten zoals hierboven onder punt 3 genoemd kan je richten aan de functionaris voor de gegevensbescherming CZ.
Dit privacy statement kan wijzigen. De laatste versie vind je altijd hier. Dit privacystatement is het laatst gewijzigd op 1 januari 2021.
De belangrijkste wijzigingen ten opzichte van de vorige versie
Op 1 januari 2021 is in het statement verduidelijkt dat CZ in sommige gevallen persoonsgegevens deelt met (verzekeraars van) derde partijen. Dit gebeurt indien de kosten van zorg kan verhalen op een ander.