Privacy Statement
Dit Privacy Statement beschrijft hoe wij persoonsgegevens verwerken en beschermen. Hoewel wij maar voor een paar van onze diensten zelf verwerkingsverantwoordelijke zijn, vinden wij het belangrijk om transparant te zijn.
Datum laatste wijziging: 30 oktober 2024
In dit Privacy Statement komen enkele begrippen regelmatig terug. Hierbij geven wij van deze begrippen een omschrijving.
De verwerkingsverantwoordelijke is degene die het doel van- en de middelen voor de verwerking van persoonsgegevens vaststelt. Een verwerker is degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Met persoonsgegevens wordt bedoeld; ieder gegeven dat verwijst naar een natuurlijk persoon. U kunt hierbij denken aan voor- en achternaam, geboortedatum, BSN of gegevens over uw gezondheid. Met verwerken van persoonsgegevens wordt bedoeld; iedere verwerking die wij uitvoeren met persoonsgegevens. Voorbeelden hiervan zijn het opslaan, wijzigingen, opvragen, raadplegen of doorsturen van persoonsgegevens.
Leveranciers van goederen en diensten
Medewerkers van- en sollicitanten bij VECOZO
Verwerking persoonsgegevens bij contact met VECOZO
Uw rechten, vragen en klachten
In dit hoofdstuk beschrijven wij de wijze waarop persoonsgegevens worden verwerkt in onze diensten.
Via onze diensten wisselen (keten)partijen digitaal en op een veilige manier administratieve berichten uit met andere (keten)partijen in de zorg. Hierbij kunt u onder andere denken aan een zorgaanbieder die een declaratie voor geleverde zorg indient bij de gemeente of zorgverzekeraar, maar ook aan berichtuitwisseling over de toewijzing van zorg.
Binnen de VECOZO diensten verwerken wij persoonsgegevens van iedereen waarover voor specifieke zorggerelateerde doeleinden wordt gecommuniceerd. Het doel van deze communicatie via de VECOZO-diensten is om de administratieve lasten in de zorg te verminderen.
Daarnaast verwerken wij ook persoonsgegevens van medewerkers van (keten)partijen die zijn aangesloten op VECOZO en gebruik maken van onze diensten. Deze aansluiting is noodzakelijk om het berichtenverkeer tussen (keten)partijen onderling te ondersteunen. Voorbeelden hiervan zijn onder andere medewerkers van zorgverzekeraars, gemeenten, zorgaanbieders, administratiekantoren en softwarepartijen.
Als uitgangspunt geldt dat opdrachtgevers van VECOZO als verwerkingsverantwoordelijken worden gezien en dat VECOZO de verwerker is. De (tussenpartijen van) zorgaanbieders worden ten opzichte van VECOZO als derde(n) gezien.
Wie de verwerkingsverantwoordelijke is voor de verwerking van persoonsgegevens is afhankelijk van onze opdrachtgever en de bijbehorende dienst. Een overzicht hiervan vindt u hier.
Voor de uitoefening van uw (privacy)rechten dient u zich te melden bij de relevante verwerkingsverantwoordelijke.
Voor enkele verwerkingen in de VECOZO-diensten is VECOZO zelf verwerkingsverantwoordelijke. Hieronder geven wij u hierover een nadere toelichting.
Als een partij zich aanmeldt bij VECOZO voor een aansluiting op VECOZO-diensten, verwerken we een aantal algemene bedrijfs- en contactgegevens van betrokken medewerkers. Dit is voor het aanmeldproces en het opmaken van de overeenkomst met VECOZO.
Om als zorgaanbieder uw aanmelding te voltooien, moet u zich identificeren. Deze identificatie vindt persoonlijk of via IDIN plaats. Het gaat om een face to face persoonsidentificatie met een controle op uw identiteitsbewijs óf identificatie via uw bank. Daarbij verwerken we in ieder geval de volgende persoonsgegevens: naam, geboortedatum, geslacht, (zakelijk) telefoonnummer en (zakelijk) e-mailadres. De identificatie in-persoon vindt plaats op het opgegeven adres en tijdens de identificatie wordt (de echtheid van) uw identiteitsdocument gecontroleerd door middel van hard- en software.
De persoonsidentificatie vindt plaats voor zover deze noodzakelijk is voor beveiliging van communicatie en controle van de autorisatie. Belangrijk, want een instantie en haar betrokken collega’s krijgen bij een aansluiting op VECOZO-diensten toegang tot diensten waarin persoonsgegevens worden verwerkt. VECOZO zorgt er daarom voor dat zij alleen overeenkomsten aangaat met geïdentificeerde bevoegde personen en instanties.
Wij verwerken de persoonsgegevens van de instanties tijdens het aanmeldproces ten behoeve van de uitvoering van de overeenkomst (die gesloten wordt) tussen VECOZO en de aangesloten instantie (artikel 6 lid 1 sub b AVG). Voor de identificatie via IDIN geldt dat de persoonsgegevens 15 minuten na de identificatie via IDIN worden verwijderd.
In ons klantbeheersysteem (Relatiebeheer) nemen we bedrijfsgegevens en algemene persoonsgegevens op van de aangesloten instantie en diens medewerkers zoals (bedrijfs)naam, vestigingsadres, telefoonnummer(s), IP-adres(sen) en e-mailadres(sen). Het doel hiervan is om het proces om zorgaanbieders correct aan te sluiten op de systemen van VECOZO te ondersteunen. Ook gebruiken we deze gegevens voor de autorisatie van het gebruik van onze diensten. Zo maken we een uniforme, efficiënte en effectieve informatie-uitwisseling tussen zorgaanbieders en de verwerkingsverantwoordelijken van de diensten mogelijk.
Wij verwerken de persoonsgegevens in ons klantbeheersysteem ten behoeve van de uitvoering van de overeenkomst tussen VECOZO en de aangesloten instantie (artikel 6 lid 1 sub b AVG). We bewaren de persoonsgegevens conform de van toepassing zijnde wet- en regelgeving en nooit langer dan noodzakelijk.
Wij gebruiken digitale middelen voor de authenticatie van medewerkers en systemen van een op ons aangesloten partij. Het persoonlijke certificaat. E-Herkenning en de UZI-pas dienen als ‘digitaal paspoort’ bij het gebruik van onze diensten. Met een authenticatiemiddel krijgt u toegang tot de diensten waarvoor u geautoriseerd bent. Het authenticatiemiddel is persoonsgebonden. Dit betekent dat het enkel gebruikt mag worden door de persoon op wiens naam het is uitgegeven.
Bij de uitvoering van onze certificaatdienstverlening verwerken we de volgende algemene persoonsgegevens: naam, e-mailadres, AGB-code of UZOVI-code, IP-adres, KVK-nummer, bedrijfsnaam en gebruikersnummer (dit unieke gebruikersnummer wordt automatisch gegenereerd). Wij verstrekken de aan het authenticatiemiddel gekoppelde persoonsgegevens alleen aan een verwerker, namelijk Signicat of KPN, als dat noodzakelijk is voor de verstrekking van het authenticatiemiddel of omdat die verwerker is aan te merken als ‘vertrouwende partij’ van de authenticatie. Deze partijen hebben dan een overeenkomst met VECOZO gesloten. Denk aan onze leverancier van certificaten (KPN), het gebruik van Single Sign On met ‘niet van VECOZO programmatuur’ (NVP) of verstrekking van de persoonsgegevens vanwege een wettelijke verplichting.
De grondslag voor de verwerking van persoonsgegevens van gebruikers is de uitvoering van de overeenkomst, inclusief de CP/CPS, tussen VECOZO en de instantie van de gebruiker (artikel 6 lid 1 sub b AVG). We bewaren de persoonsgegevens conform de van toepassing zijnde wet- en regelgeving en nooit langer dan noodzakelijk.
VECOZO gebruikt de dienst Berichtenbox voor het veilig verzenden van de pincodebrieven naar de daarvoor geautoriseerde gebruiker. Daarnaast stuurt VECOZO pincodebrieven via de fysieke post. Pincodebrieven worden altijd geadresseerd aan de bij het handelsregister bekende adres. De gebruiker heeft deze pincodebrief nodig voor de installatie van het certificaat van VECOZO. De grondslag voor de verwerking van persoonsgegevens van gebruikers is de uitvoering van de overeenkomst (inclusief de CP/CPS) die is gesloten tussen de aangesloten instantie en VECOZO (artikel 6 lid 1 sub b AVG). De bewaartermijn bedraagt 60 dagen.
Via de dienst VSP-EDP kunnen (tussenpartijen van) zorgaanbieders, die geleverde zorg willen declareren, declaraties indienen bij de betreffende zorgverzekeraar of het zorgkantoor. VECOZO is verwerkingsverantwoordelijke voor het zorgvraagzwaarte gegeven dat wordt meegegeven bij declaraties van de kosten voor gespecialiseerde geestelijke gezondheidszorg door zorgaanbieders. Het gegeven zorgvraagzwaarte van de verzekerde wordt gebruikt voor analyses en (materiële en formele) controles door zorgverzekeraars. Op grond van de wet is VECOZO verplicht om het zorgvraagzwaarte gegeven te maskeren alvorens wij dit gegeven doorsturen naar de betreffende zorgverzekeraar.
Voor deze verwerking heeft VECOZO een wettelijke grondslag (artikel 6 lid 1 sub c AVG). Deze is vastgelegd in artikel 7.2a (declareren via VECOZO B.V.) van de Regeling zorgverzekering. De persoonsgegevens worden bewaard tot 1 jaar na de laatste wijziging in het totale declaratieproces.
Een van de maatregelen die VECOZO heeft genomen om haar diensten te beveiligingen ziet toe op logging van metadata op gebruikersniveau. Dit betekent dat wij de gebeurtenissen in onze diensten loggen. Zo kunnen wij onder andere zien welke gebruiker welke diensten (en tot welk niveau) heeft geraadpleegd. Wij kunnen op basis van deze logging in beginsel niet in het bericht zelf kijken, het gaat dus alleen over de track-and-trace informatie. Deze logging is bedoeld om fraudedetectie mogelijk te maken en om tijdig risico’s te signaleren bij (vermoedelijke) inbreuken op grond van de AVG.
De logging is alleen toegankelijk voor security-, risk- en compliance adviseurs alsmede de functionaris voor de gegevensbescherming. De persoonsgegevens die hierin worden verwerkt (zoals het IP-adres en het gebruikersnummer), worden verwerkt op grond van het gerechtvaardigd belang van VECOZO (artikel 6 lid 1 sub f AVG). VECOZO heeft een wettelijke verplichting om te zorgen voor passende technische en organisatorische maatregelen. VECOZO heeft een gerechtvaardigd belang om deze persoonsgegevens te verwerken omdat wij op deze manier onze diensten kunnen beveiligen. De beveiliging is noodzakelijk om inbreuken in de VECOZO-diensten te voorkomen en onderzoeken, waardoor de gegevens van betrokkenen (in de zin van de AVG), de gebruikers van VECOZO-diensten en VECOZO beter worden beschermd. De privacy van gebruikers is geborgd doordat het gaat om metadata waarbij zo min mogelijk een inbreuk wordt gemaakt op de privacy van gebruikers. Bewaartermijn van deze logging is standaard één jaar plus enkele dagen voor het doen van onderzoek in geval van (mogelijke) inbreuken.
Indien VECOZO een overeenkomst sluit met een leverancier ten behoeve van de levering van goederen en/of diensten, kunnen hierbij persoonsgegevens worden verwerkt.
De volgende persoonsgegevens kunnen door VECOZO worden verwerkt: algemene contactgegevens zoals voor- en achternaam, e-mailadres, (zakelijk)telefoonnummer, (zakelijk)adres- en woonplaats. Specifieke contactgegevens zoals bedrijfsnaam, functie, KvK-nummer en/of BTW nummer en/of AGB-code (indien van toepassing) en
De persoonsgegevens worden verwerkt voor het onderhouden van de relatie tussen VECOZO en haar leveranciers en het uitvoeren van betalingsverplichtingen. Dit is noodzakelijk voor de uitvoering van de overeenkomst tussen VECOZO en haar leveranciers (artikel 6 lid 1 sub b AVG). Indien er een wettelijke bewaartermijn geldt (bijvoorbeeld op grond van fiscale wet- en regelgeving) zal VECOZO deze bewaartermijn hanteren. Indien er geen wettelijke bewaartermijn geldt, zal VECOZO de betreffende persoonsgegevens verwijderen zeven jaar nadat de overeenkomst geëindigd is.
Indien u solliciteert bij VECOZO verwerken wij uw persoonsgegevens. In het Privacy Statement op onze werken-bij-pagina vindt u hier meer informatie over. Voor onze medewerkers is een apart privacy statement opgesteld dat bij indiensttreding beschikbaar wordt gesteld.
Als u het contactformulier invult op onze website worden uw persoonsgegevens verwerkt. Deze gegevens zijn noodzakelijk zodat wij kunnen reageren op uw vraag, klacht of opmerking. Gegevens die wij hiervoor kunnen verwerken zijn: voor- en achternaam, geslacht, telefoonnummer, e-mailadres en (indien van toepassing) AGB-code. Meer informatie over het gebruik van cookies op onze website, kunt in vinden in ons cookie statement.
Indien u op andere manieren met ons contact opneemt, bijvoorbeeld per telefoon of per e-mail, kunnen wij dezelfde persoonsgegevens (inclusief de inhoud van uw bericht) verwerken zoals hiervoor is aangegeven. Telefonische gesprekken kunnen in het kader van coaching en voor kwaliteitsdoeleinden worden opgenomen.
Indien u met VECOZO een aansluitovereenkomst hebt gesloten en u aan ons een vraag stelt die hiermee verband houdt verwerken wij uw persoonsgegevens voor de uitvoering van deze overeenkomst tussen uw instantie en VECOZO (artikel 6 lid 1 sub b AVG). Indien dit niet het geval is heeft VECOZO een gerechtvaardigd belang (artikel 6 lid 1 sub f AVG) om in dit kader persoonsgegevens te verwerken. Het is namelijk noodzakelijk om op een correcte en juiste manier uw verzoek, vraag en/of klacht in behandeling te kunnen nemen. We bewaren de persoonsgegevens conform de van toepassing zijnde wet- en regelgeving en nooit langer dan noodzakelijk.
Onze opdrachtgevers schakelen ons in om diensten uit te voeren. Voordat VECOZO persoonsgegevens kan verwerken ten behoeve van deze diensten, sluit zij met de opdrachtgever een overeenkomst. Daarin wordt aan VECOZO de opdracht gegeven om persoonsgegevens te verwerken op instructie van de opdrachtgever en voor een specifiek doel/doelen. De verwerking dient plaats te vinden binnen het kader van de toepasselijke wet- en regelgeving en binnen de afspraken tussen VECOZO en haar opdrachtgevers. Het doeleinde van de verwerking bepaalt de opdrachtgever van VECOZO. Ook wordt door de opdrachtgever bepaalt hoe lang de persoonsgegevens mogen worden bewaard. Bekijk het overzicht van opdrachtgevers en type verwerkingen.
Bent u een medewerker van een op ons aangesloten zorgpartij? Dan verwerken wij uw persoonsgegevens omdat dat noodzakelijk is voor de uitvoering van onze bedrijfsprocessen en certificaatdienstverlening. Uw persoonsgegevens worden onder meer verwerkt in onze aanmeldprocedures. Ook verwerken wij uw persoonsgegevens bij het uitvoeren van de overeenkomst met VECOZO zodat u gebruik kunt maken van onze diensten.
De (keten)partijen die gebruik maken van onze diensten leveren persoonsgegevens van hun verzekerden en cliënten bij ons aan. Wij ontvangen deze persoonsgegevens voor de uitvoering van de betreffende dienst en routeren de persoonsgegevens naar de ontvangende partij. De aanleverende partij bepaalt wie de ontvangende partij is.
Voor wat betreft de persoonsgegevens van medewerkers van (keten)partijen die gebruik maken van onze diensten, worden deze aangeleverd en beheerd door de (keten)partij zelf.
In beginsel heeft onze opdrachtgever als verwerkingsverantwoordelijke van de dienst of gegevensuitwisseling, toegang tot uw gegevens. De verwerkingsverantwoordelijke bepaalt wie toegang heeft tot de dienst of gegevensuitwisseling en bijbehorende persoonsgegevens. Gegevensuitwisselingen vinden voornamelijk plaats op basis van een wettelijke verplichting van de betrokken partijen. Medewerkers van VECOZO hebben in zeer beperkte mate toegang tot uw gegevens en alleen als dit nodig is voor het uitvoeren van onze diensten en op instructie van de betreffende verwerkingsverantwoordelijke. Afnemers van onze diensten krijgen alleen toegang tot onze dienstverlening indien dit door onze opdrachtgevers is toegestaan. Zij moeten bij de aansluiting voldoen aan onze aansluitcriteria en hiervoor de (generieke) aansluitovereenkomst sluiten met VECOZO.
Tot de persoonsgegevens waarvoor VECOZO zelf als verwerkingsverantwoordelijke optreedt, zoals het geval is bij gegevens van medewerkers van op ons aangesloten partijen, heeft een beperkt aantal van onze medewerkers toegang. Daarnaast hebben wij een aantal verwerkers ingeschakeld, zoals KPN bij de uitvoering van onze certificaatdienstverlening en AMP Groep en CM voor onze identificatieprocessen. Voor de uitvoering van de overeenkomst die zij hebben gesloten met VECOZO hebben zij in beperkte mate toegang tot persoonsgegevens. Alle door VECOZO ingeschakelde verwerkers dienen zorgvuldig met persoonsgegevens om te gaan op basis van een adequate verwerkersovereenkomst.
Nee, wij verwerken uw persoonsgegevens niet voor andere doeleinden. Uw persoonsgegevens worden alleen verwerkt in overeenstemming met de instructies die wij van onze opdrachtgever(s) hebben gekregen. Daarnaast kan het voorkomen dat een daartoe bevoegd orgaan, zoals de politie, bij ons persoonsgegevens opvraagt. In dat geval zijn wij verplicht om de persoonsgegevens te verstrekken.
VECOZO geeft géén persoonsgegevens door aan partijen buiten de Europese Unie. Wel zijn een aantal zorgaanbieders buiten Nederland gevestigd, zoals in de grensstreken. Een aansluiting op de VECOZO diensten is voor een zorgaanbieder in het buitenland enkel mogelijk onder strenge voorwaarden. Zo is een aansluiting op de VECOZO-diensten alleen mogelijk als de zorgaanbieder kan aantonen dat er een relatie bestaat met de Nederlandse zorgmarkt en de zorgaanbieder is gevestigd en/of werkt vanuit een goed beveiligde omgeving.
Dit hangt af van de doeleinden van de betreffende dienst of gegevensuitwisseling. De verwerkingsverantwoordelijke van de gegevensverwerking geeft ons instructie over de te hanteren bewaartermijnen. Uitgangspunt is steeds dat de bewaartermijn niet langer dan noodzakelijk is. Als sprake is van een wettelijke bewaartermijn, dan wordt die aangehouden. Na het verstrijken van de bewaartermijn vindt zorgvuldige vernietiging van de gegevens plaats.
Wij voeren passende technische en organisatorische maatregelen uit om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Wij hebben een informatiebeveiligingsbeleid en treffen beveiligingsmaatregelen. Om de werking hiervan aan te tonen, worden wij jaarlijks geaudit door een onafhankelijke, erkende auditor. Meer informatie hierover vindt u op onze website. Hierbij wordt minimaal geaudit op de beveiligingsnormen WebTrust en NEN 7510.
Indien u een van uw rechten als betrokkene wilt uitoefenen dan zullen wij u doorverwijzen naar de betreffende verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is op grond van de AVG verplicht deze verzoeken in behandeling te nemen. VECOZO mag dat niet zelfstandig als verwerker doen.
Indien VECOZO zelf de verantwoordelijke is voor de verwerking van de persoonsgegevens, kunt u een e-mail sturen naar de Functionaris voor de Gegevensbescherming. Wij zullen uw verzoek binnen een maand behandelen.
Recht op inzage: U heeft het recht om na te vragen of en welke persoonsgegevens wij van u verwerken.
Recht op rectificatie: Mochten de persoonsgegevens die worden verwerkt onjuist of onvolledig zijn, dan kunt u de persoonsgegevens door de verwerkingsverantwoordelijke laten corrigeren of aanvullen.
Recht op vergetelheid: U kunt bij de verwerkingsverantwoordelijke een verzoek indienen om uw gegevens te wissen. Bijvoorbeeld als u bezwaar heeft tegen de verwerking van uw gegevens. Uw belang moet dan boven het belang van de verwerkingsverantwoordelijke gaan om persoonsgegevens te verwerken.
Recht op dataportabiliteit: U heeft het recht om gegevens die u in het kader van een overeenkomst met ons of met uw toestemming aan ons heeft verstrekt in een gestructureerde en leesbare vorm te verkrijgen. U kunt ons ook verzoeken om deze gegevens rechtstreeks over te dragen aan een derde partij. Dit laatste is alleen mogelijk indien dit ook technisch mogelijk is.
Recht van bezwaar: U heeft het recht om bewaar te maken tegen de verwerking van uw persoonsgegevens die op basis van het gerechtvaardigd belang worden verwerkt (artikel 6 lid 1 sub f AVG). U kunt bezwaar maken vanwege uw specifieke omstandigheden. Op basis van deze omstandigheden zal de verwerking opnieuw door ons beoordeeld moeten worden.
Recht op beperking van de verwerking: U kunt de verwerkingsverantwoordelijke verzoeken om minder persoonsgegevens van u te verwerken. Hierbij zal de verwerkingsverantwoordelijke u informeren wat het gevolg kan zijn van de beperking van de verwerking van uw persoonsgegevens.
Het recht met betrekking tot geautomatiseerde besluitvorming en profilering: Oftewel het recht op een menselijke blik/ beoordeling bij besluiten.
Het recht om uw toestemming in te trekken: Indien uw persoonsgegevens worden verwerkt op grond van door u gegeven toestemming, hebt u altijd het recht uw toestemming in te trekken. Vindt verwerking uitsluitend plaats op basis van de door u verleende toestemming? Dan mag de verwerkingsverantwoordelijke, na de ingetrokken toestemming, uw persoonsgegevens niet verder verwerken. Het intrekken van uw toestemming doet niets af aan de rechtsgeldigheid van de verwerking vóór de intrekking.
VECOZO informeert u vooraf over situaties waarin u verplicht bent om persoonsgegevens te verstrekken. Dit moet bijvoorbeeld als VECOZO persoonsgegevens moet verwerken op grond van een wettelijke of contractuele verplichting. Of omdat dit een absolute voorwaarde is om een overeenkomst te sluiten. In deze gevallen informeren wij u over de gevolgen van uw eventuele weigering om persoonsgegevens te verstrekken. Hierbij geldt in het algemeen dat – indien u weigert bepaalde persoonsgegevens beschikbaar te stellen – VECOZO hieraan consequenties kan verbinden.
VECOZO heeft de grootst mogelijke aandacht en zorg besteed aan de gegevens en informatie die zijn opgenomen in dit Privacy Statement. Voor ons staat voorop dat informatie correct, actueel en duidelijk moet zijn en dat toegankelijkheid tot informatie zo veel mogelijk gewaarborgd is. Wij informeren u op hoofdlijnen en beschrijven niet alle situaties en uitzonderingen in detail.
Voor vragen over de verwerking van persoonsgegevens kunt u terecht bij de verwerkingsverantwoordelijke. Indien u niet precies weet wie dit is, neemt u dan gerust contact met ons op.
Indien u een klacht heeft over de verwerking van uw persoonsgegevens kunt u terecht bij:
VECOZO B.V.
Postbus 4050
5004 JB Tilburg
Telefoonnummer: 013 - 46 25 641
E-mailadres: fg@vecozo.nl
Wij hebben de grootst mogelijke aandacht en zorg besteed aan de inhoud van dit Privacy Statement. Toch kan het voorkomen dat wij genoodzaakt zijn om dit Privacy Statement te wijzigen. Bijvoorbeeld op instructie van onze opdrachtgevers, omdat onze dienstverlening wijzigt of omdat wet- en regelgeving hierom vraagt. Op deze pagina vindt u altijd de meest recente versie van ons Privacy Statement.
Titel | Type | Grootte | Gewijzigd |
---|---|---|---|
Algemene Voorwaarden VECOZO v1.2.pdf | 122,71 kB | 12-07-2022 | |
Privacy Statement VECOZO.pdf | 176,5 kB | 04-11-2024 |