Iedereen moet toegang hebben tot noodzakelijke zorg. Daarnaast moet dit ook betaalbaar blijven. Dat zijn onze belangrijkste taken. Voor het uitvoeren van deze taken verwerken wij (gepseudonimiseerde) persoonsgegevens. Hieronder leest u daar meer over.
Om toezicht te kunnen houden op de zorg heeft de NZa informatie nodig afkomstig van zorgaanbieders en zorgverzekeraars. Het gaat hierbij om informatie over verleende zorg en wat daarvoor is betaald. De NZa hoeft helemaal niet te weten wie deze zorg heeft ontvangen. Daarom worden persoonsgegevens van verzekerden gepseudonimiseerd aan de NZa toegestuurd. Dit gebeurt door een betrouwbare derde partij, ZorgTTP, die alle BSN’s verwijdert en vervangt door een code. Daarnaast ontvangen wij nooit uw naam en adres. Dat betekent dat eventuele zorggegevens over u niet in onze systemen staan onder naam, maar onder een code die we zonder aanvullende gegevens niet naar een persoon kunnen herleiden.
De wet zegt dat, zolang er nog ergens een sleutel is om gepseudonimiseerde gegevens te kunnen terug herleiden tot een persoon, er moet worden gesproken van persoonsgegevens. Om die reden is de privacywetgeving van toepassing en houden wij ons daaraan.
Zo gebruiken wij uitsluitend gegevens die noodzakelijk zijn voor onze wettelijke taken. Soms ontvangen wij via onze mailbox meldingen of klachten met daarbij persoonsgegevens die wij niet nodig hebben. Die verwijderen wij onmiddellijk. De toegang tot de gegevens is voorbehouden tot daarvoor speciaal geautoriseerde NZa-onderzoekers die hier heel zorgvuldig mee omgaan. De onderzoeksgegevens die niet langer nodig zijn worden verwijderd.
De NZa werkt continu aan het bewaken en verbeteren van uw privacy en de veiligheid van uw gegevens.
Privacy- en cookieverklaring
Hieronder vindt u onze privacyverklaring in het kort. Wilt u meer informatie lees dan:
In de Algemene verordening gegevensbescherming (AVG) staat uitgelegd dat alle informatie, die over iemand gaat of naar iemand te herleiden is, een persoonsgegegeven is. Dit kunnen directe herleidbare gegevens zijn, zoals uw naam of BSN (burgerservicenummer), maar ook een verzameling van indirecte gegevens op basis waarvan duidelijk wordt dat het om u gaat. U kunt dan denken aan uw postcode in combinatie met een huisnummer, geslacht, en het jaar en de maand waarin u geboren bent.
Het is belangrijk om op te merken dat een groot deel van de persoonsgegevens die de NZa verwerkt, worden gepseudonimiseerd. Dit houdt in dat de gegevens dus niet uw naam, BSN, uw woonadres of andere gegevens die direct tot u herleidbaar zijn bevatten, maar in plaats daarvan een pseudoniem. Dit is een code van letters en/of cijfers. Deze code wordt toegekend door een betrouwbare derde partij, een zogeheten trusted third party. Het is niet mogelijk om deze code weer om te zetten naar gegevens die direct naar uw identiteit herleidbaar zijn.
Als gegevens iets vertellen over de gezondheid van een persoon, dan gaat het om medische persoonsgegevens. Dit zijn bijzondere persoonsgegevens die extra beschermd moeten worden, wat betekent dat de NZa deze gegevens niet zomaar mag gebruiken. De NZa mag dit alleen als dit in de wet staat en het niet anders kan. Zo staat in de Wet marktordening gezondheidszorg (Wmg) dat de NZa zorgdeclaratiegegevens mag gebruiken om erop toe te zien dat zorgaanbieders zorggeld op een juiste manier besteden, namelijk aan zorg. Deze gegevens laten bijvoorbeeld zien welke zorg er is geleverd, tegen welke prijs en wat de zorgverzekeraar heeft vergoed. Voor gegevens die iets zeggen over een strafrechtelijke veroordeling of een strafbaar feit geldt ook dat de NZa deze gegevens alleen gebruikt als dit mag van de wet en dit niet anders kan. De Wmg staat bijvoorbeeld toe dat de NZa zorgdeclaratiedata uit de forensische zorg gebruikt om tarieven vast te stellen. Zonder deze gegevens kan de NZa haar wettelijke taken niet uitvoeren.
Het is belangrijk om op te merken dat een groot deel van de medische en strafrechtelijke declaratiegegevens die de NZa ontvangt, worden gepseudonimiseerd. Dit houdt in dat de gegevens dus niet uw naam, BSN (burgerservicenummer), uw woonadres of andere gegevens die direct tot u herleidbaar zijn bevatten, maar in plaats daarvan een pseudoniem. Dit is een code van letters en/of cijfers. Deze code wordt toegekend door een betrouwbare derde partij, een zogeheten trusted third party. Het is niet mogelijk om deze code weer om te zetten naar gegevens die direct naar uw identiteit herleidbaar zijn.
Als u de NZa bezoekt, ons een vraag stelt, u zich aanmeldt voor een nieuwsbrief, of op een ander wijze contact met ons opneemt, dan verwerkt de NZa uw gegevens. Heeft u zorg ontvangen en is deze zorg gedeclareerd bij de zorgverzekeraar? Dan zullen uw gegevens onderdeel zijn van de data die de NZa gebruikt om de zorg toegankelijk en betaalbaar te houden. Bij vraag 4 leggen we dit verder uit.
Wij verwerken bij de Nederlandse Zorgautoriteit (NZa) gegevens over het zorggebruik van iedereen die een Nederlandse zorgverzekering heeft of zonder verzekering medisch-specialistische zorg in Nederland ontvangt. Deze gegevens hebben wij nodig om op grote schaal de toegankelijkheid en betaalbaarheid van de zorg in de gaten te houden. Op basis van de informatie die wij afleiden uit deze gegevens, kunnen wij bijvoorbeeld regels opstellen over de bekostiging van zorg om wachttijden terug te dringen. In de gaten houden of zorgverzekeraars zich houden aan hun wettelijke zorgplicht. En controleren of zorgaanbieders de declaratieregels volgen om misbruik van zorggeld door fraude op te sporen.
Wij verwerken uw persoonsgegevens bijvoorbeeld als u ons een vraag stelt, zich aanmeldt voor een nieuwsbrief, u samenwerkt met de NZa of ons pand bezoekt.
Bent u een zorgaanbieder? Dan kan het zijn dat de NZa bijvoorbeeld financiële gegevens over u verwerkt om bijvoorbeeld kostenonderzoeken uit te voeren. Met deze gegevens is het mogelijk om passende tarieven vast te stellen.
Is er zorg voor u gedeclareerd? Dan ontvangt de NZa de gespeudonimseerde declaratiegegevens. Dat houdt in dat wij niet kunnen zien over wie het gaat (zie ook het antwoord op vraag 5). De gegevens die wij ontvangen laten onder meer zien welke zorg er wanneer en door wie is gedeclareerd. Wij zien bijvoorbeeld welke zorg is geleverd, tegen welke prijs en wat de zorgverzekeraar heeft vergoed. Daarnaast krijgen wij ook de 4 cijfers van de postcode, het jaar en de maand waarin iemand geboren is, het geslacht en informatie over het type zorgverzekering. De NZa ontvangt ook gegevens die iets zeggen over de groep mensen die een zorgverzekeraar verzekert, om zo de risico’s tussen verzekeraars te vereffenen (risicoverevening).
Een groot deel van de persoonsgegevens die de NZa verwerkt, bevatten géén namen, adressen, BSN (burgerservicenummer) of andere direct naar u te herleiden gegevens. In plaats daarvan ziet de NZa alleen codes van letters en cijfers. Dit zijn pseudoniemen. Het pseudonimiseren van gegevens wordt gedaan door een betrouwbare derde partij, een zogeheten trusted third party. Zij verwijderen alle direct herleidbare gegevens uit de data en zetten het BSN om in een pseudoniem. Het is voor zowel de NZa als de trusted third party onmogelijk om het pseudoniem weer om te zetten in een BSN. Voor meer informatie verwijzen wij u naar onze privacyverklaring.
De NZa verkrijgt uw gegevens van uzelf – bijvoorbeeld als u ons pand bezoekt, u een vraag aan ons stelt, wij met u samenwerken, u zich aanmeldt voor een nieuwsbrief, of als u een formulier invult.
Maar meestal ontvangt de NZa gegevens via uw zorgaanbieder en uw zorgverzekeraar. Zij zijn verplicht om deze gegevens bij de NZa aan te leveren, omdat wij onder meer de wettelijke taak hebben toezicht te houden op zorgaanbieders, zorgverzekeraars, zorgkantoren en het CAK (lees hierover meer bij vraag 4). Wij verkrijgen alleen gegevens als dit mag op basis van de geldende wet- en regelgeving, zoals de Wet marktordening gezondheidszorg (Wmg). Uit die wet volgt bijvoorbeeld dat de NZa zorgdeclaratiegegevens mag gebruiken om erop toe te zien dat zorgaanbieders zorggeld op een juiste manier besteden, namelijk aan zorg. Het kan hierbij gaan om een eenmalige aanlevering óf om een periodieke aanlevering. Daarnaast ontvangt de NZa ook gegevens van andere instanties, zoals het Zorginstituut en de Inspectie voor de Gezondheidszorg en Jeugd (IGJ). Voor meer informatie verwijzen wij u naar onze privacyverklaring.
De NZa verzamelt en gebruikt persoonsgegevens om de zorg toegankelijk en betaalbaar te houden, en dus voor haar eigen wettelijke taken. Dit betekent dat wij deze gegevens niet delen met anderen, tenzij de wet dit toestaat. Zo deelt de NZa gegevens met andere toezichthouders, zoals de Inspectie Gezondheidszorg en Jeugd (IGJ), het Zorginstituut Nederland en de Autoriteit Consument en Markt (ACM). Sommige (overheids)partijen zijn verenigd in het Informatie Knooppunt Zorgfraude, het IKZ. Binnen het IKZ worden zorgfraudesignalen met elkaar gedeeld. De NZa draagt door het delen van deze signalen bij aan het tegengaan van zorgfraude.
De NZa beoordeelt per geval welke gegevens gedeeld mogen worden en deelt deze gegevens alleen als partijen kunnen aantonen dat zij de gegevens echt nodig hebben om hun wettelijke taken uit te voeren. Als de wet aanvullende waarborgen voorschrijft, dan gaat de NZa na of partijen deze waarborgen ook daadwerkelijk treffen.
Tot slot maakt de NZa met enige regelmaat gebruik van andere partijen die de NZa ondersteunen bij het uitvoeren van haar wettelijke taken. Te denken valt daarbij aan een ICT-dienstverlener die gegevens namens de NZa opslaat en beheert of een bureau dat ondersteunt bij het uitvoeren van kostenonderzoeken. De NZa blijft verantwoordelijk voor deze gegevens en maakt duidelijke afspraken met deze partijen. Deze afspraken leggen wij vast in een verwerkersovereenkomst.
Als het gaat om uw eigen persoonsgegevens, dan heeft u een aantal rechten. Deze rechten staan in de Algemene verordening gegevensbescherming, de AVG. Op grond van de AVG kunt u de NZa bijvoorbeeld vragen om inzage te geven in de gegevens die wij van u verwerken. U kunt dan nagaan óf de NZa gegevens van uw verwerkt en of deze gegevens juist zijn. Is dit niet het geval, dan heeft u het recht om aan de NZa te vragen deze gegevens te wijzigen of aan te vullen.
Let op: als uw AVG-verzoek betrekking heeft op gepseudonimiseerde gegevens, dan heeft de NZa veel aanvullende gegevens van u nodig om uw gegevens te vinden in de data. De NZa weet namelijk niet welke van deze gegevens bij u horen en ziet alleen een code van letters en cijfers. Dit betekent dat de NZa meer gegevens van u ontvangt en dat de pseudonimisering doorbroken wordt. Wij krijgen dan namelijk zicht op welke gegevens van u zijn. Voor meer informatie verwijzen wij u naar onze privacyverklaring.
Wilt u liever niet dat de NZa uw persoonsgegevens verwerkt, dan heeft u het recht om bezwaar te maken tegen de verwerking. Maakt u bezwaar, dan mag de NZa uw gegevens niet langer gebruiken, tenzij er belangrijke redenen zijn voor de NZa om dit toch te doen. De NZa moet in dit geval een afweging maken tussen uw belang en het algemene consumentenbelang waarvoor de NZa uw gegevens verwerkt. Weegt uw belang zwaarder, dan stopt de NZa met de verwerking van uw gegevens. Dit kan betekenen dat de NZa uw gegevens verwijdert.
Verder heeft u het recht om niet onderworpen te worden aan automatische besluitvorming. Dit recht heeft u en hoeft u dus niet zelf in te roepen. En heeft u ergens toestemming voor gegeven, dan heeft u ook het recht om deze toestemming altijd weer in te trekken. Trekt u uw toestemming in, dan mag de NZa de gegevens waarvoor uw toestemming heeft gegeven niet langer gebruiken. Ook dit kan betekenen dat de NZa uw gegevens verwijdert. Voor een overzicht van alle rechten, verwijzen wij u naar onze privacyverklaring.
Als u gebruik wilt maken van uw AVG-rechten, dan kunt u een verzoek indienen bij de NZa. U kunt uw AVG-verzoek per e-mail sturen aan info@nza.nl. Vermeld in het onderwerpveld: AVG-verzoek. Per post kunt u uw verzoek sturen naar het volgende adres: Nederlandse Zorgautoriteit o.v.v. AVG-verzoek, Postbus 3017, 3502 GA in Utrecht.
Na ontvangst van uw verzoek, neemt iemand van het privacyteam van de NZa contact met u op om uw verzoek en de vervolgstappen te bespreken. Eén van deze vervolgstappen is dat wij uw identiteit moeten vaststellen, zodat we weten dat het verzoek echt van u afkomstig is. Wij reageren vervolgens zo snel mogelijk en uiterlijk binnen een maand op uw verzoek. Soms kan het wat langer duren, omdat uw verzoek bijvoorbeeld complex is. In dat geval laten wij u weten 1 of 2 maanden langer de tijd nodig te hebben.
Let op: als uw AVG-verzoek betrekking heeft op gepseudonimiseerde gegevens dan heeft de NZa veel aanvullende gegevens van u nodig om uw gegevens te vinden in de data. De NZa weet namelijk niet welke van deze gegevens bij u horen en ziet alleen een code van letters en cijfers. Dit betekent dat de NZa meer gegevens van u ontvangt en dat de pseudonimisering doorbroken wordt.Voor meer informatie verwijzen wij u naar onze privacyverklaring.
Als de NZa medische persoonsgegevens wil gebruiken om haar wettelijke taken uit te voeren, dan mag dat alleen als er sprake is van een (uitzonderings)grondslag. De NZa beroept zich in bijna alle gevallen op het algemeen belang dat zij nastreeft met de uitvoering van haar taken en de wet waaruit volgt dat de NZa hiervoor ook daadwerkelijk persoonsgegevens mag gebruiken. Bij vraag 4 leggen we dit verder uit.
Hoewel (uitdrukkelijke) toestemming ook een (uitzonderings)grondslag kan zijn, gebruikt de NZa deze grondslag bijna nooit. Toestemming moet namelijk vrij gegeven zijn en van vrije toestemming is niet snel sprake als het een overheidsorganisatie is die de toestemming vraagt. Om die reden beroept de NZa zich dus op de hierboven genoemde grondslagen. Dit betekent ook dat uw toestemming niet nodig is en dat u logischerwijs uw toestemming ook niet kunt intrekken.
Zorgverleners hebben een medisch beroepsgeheim. Dit houdt in dat wat u bespreekt - met bijvoorbeeld uw arts - tussen u en uw arts moet blijven. In sommige situaties moet de arts toch gegevens over u verstrekken. Dit is het geval als de NZa op basis van de wet de arts verplicht om gegevens aan te leveren. Dit doet de NZa alleen als het echt niet anders kan. Als de NZa medische gegevens ontvangt, dan gaat het medisch beroepsgeheim met de gegevens over naar de NZa. De NZa-medewerkers zijn aan dezelfde geheimhouding gebonden als de zorgaanbieder.
Daarnaast wil de NZa niet weten welke gegevens bij u horen. Om die reden worden de gegevens ook gepseudonimiseerd. Bij vraag 5 leggen we dit uit. Verder treft de NZa maatregelen om ervoor te zorgen dat zo min mogelijk mensen toegang hebben tot de data en dat de data beveiligd wordt opgeslagen.
De NZa is als overheidsinstantie gehouden aan de Archiefwet. Op basis van deze wet moet de NZa een zogeheten selectielijst opstellen. In de selectielijst staat hoelang de NZa bepaalde informatie bewaart aan de hand van handelingen. Het uitgangspunt daarbij is dat gegevens niet langer bewaard worden dan nodig om ons werk te kunnen doen. Zo bewaren wij medische gegevens 20 jaar en geldt er een bewaartermijn van 5 jaar voor informatie die verband houdt met AVG-verzoeken. Bekijk deze selectielijst van de NZa voor een volledig overzicht van alle bewaartermijen. Voor meer informatie verwijzen wij u naar onze privacyverklaring.
Als u een klacht heeft over de omgang met uw persoonsgegevens, kunt u met ons contact opnemen via onze Functionaris voor de Gegevensbescherming (FG). U doet dit door een e-mail te sturen naar fg@nza.nl. De FG ziet er op toe dat de NZa de privacy wet- en regelgeving naleeft. Zij geeft hier ook advies over aan de organisatie.
Stond uw vraag over privacy niet tussen de bovenstaande vragen en beantwoordt onze privacyverklaring deze ook niet? Stuur dan een mail naar info@nza.nl met in het onderwerp ‘AVG’.
