Voor Stichting Informatieknooppunt Zorgfraude (St. IKZ) is de bescherming van persoonsgegevens uiterst belangrijk. Wij vinden het ook belangrijk om u hierover duidelijk te informeren. In deze privacyverklaring geven wij u informatie over wat wij doen met uw persoonsgegevens.
Wie zijn wij?
Op 1 januari 2025 is St. IKZ opgericht. St. IKZ is een onafhankelijke rechtspersoon die een wettelijke taak vervult vanuit de Wet bevorderen samenwerking en rechtmatige zorg (Wbsrz). St. IKZ draagt bij en biedt ondersteuning aan de bestrijding van fraude in de zorg. Zo brengen wij signalen met een aanleiding tot een vermoeden van zorgfraude samen en verrijken wij deze gegevens. Deze signalen komen van verschillende samenwerkingspartners. Voor verstrekking van gegevens aan St. IKZ moet een aanleiding tot vermoeden van fraude zijn. Hiermee wordt de situatie bedoeld dat er uitlegbare feiten en omstandigheden zijn die erop kunnen wijzen dat er fraude is of wordt gepleegd. Of er daadwerkelijk sprake is van fraude in de zorg is dan nog onduidelijk. Daarnaast doen wij onderzoek naar zorgfraude door onder andere trends en ontwikkelingen te volgen. Dit gebeurt onder strikte voorwaarden en waarborgen ten aanzien van de bescherming van persoonsgegevens.
Hoe komen wij aan uw persoonsgegevens?
Wij ontvangen uw persoonsgegevens van een aangesloten partner in het geval dat de aangesloten partner van mening is dat er mogelijk sprake zou kunnen zijn van zorgfraude. De aangesloten partners zijn:
- Belastingdienst (BD)
- Centrum Indicatiestelling Zorg (CIZ)
- Fiscale Inlichtingen en Opsporingsdiensten (FIOD)
- Inspectie Gezondheidszorg en Jeugd (IGJ)
- Nederlandse arbeidsinspectie (NLa)
- Nederlandse Zorgautoriteit (NZa)
- Sociale verzekeringsbank (SVB)
- Gemeenten
- Zorgkantoren
- Zorgverzekeraars
De persoonsgegevens die wij aangeleverd krijgen verrijken wij met informatie uit openbare bronnen en met informatie die wij opvragen bij andere aangesloten partners. Wij zijn aangesloten op het Handelsregister, het BRP (basisregistratie personen) en het Jaardocument Maatschappelijke Verantwoording (JMV). De gegevens uit het Handelsregister zijn in eerste plaats van belang bij het beoordelen van de juistheid van de ontvangen gegevens. Andere openbare gegevens uit het Handelsregister, het BRP en het JMV, dragen bij aan een zorgvuldig en rechtmatig vervolg van het verrijkingsproces.
Klik hier voor een gedetailleerd overzicht per partner van het type persoonsgegevens dat wij delen.
Welke persoonsgegevens verwerken wij?
De aangesloten partner bepaalt welke gegevens hij met ons deelt. In hoofdstuk 3 van het Besluit bevorderen samenwerking en rechtmatige zorg (hierna: Besluit) ligt vast welke (persoons)gegevens door welke aangesloten instantie met ons gedeeld mogen worden. Daarnaast verrijken wij het signaal met gegevens die wij opvragen bij de aangesloten partners en informatie uit openbare bronnen dit zijn de Kamer van Koophandel, het BRP en het Jaardocument Maatschappelijke Verantwoording (JVM).
Een overzicht van welke (persoons)gegevens aangeleverd kunnen worden door onze partners en welke informatie wij op kunnen vragen bij een aangesloten partner is opgenomen in de bijlage van dit Privacy Statement.
Waarvoor verwerken wij uw persoonsgegevens?
Wij verwerken uw persoonsgegevens ten behoeve van de twee ondersteunende taken die wij hebben in het kader van bestrijding van fraude in de zorg.
Verrijking van signalen
Onze eerste wettelijke taak is om signalen die wij hebben ontvangen van aangesloten partijen te verrijken en het resultaat daarvan, het verrijkte signaal, te verstrekken aan de daartoe geëigende instantie(s). Deze instanties worden zo in de gelegenheid gesteld om maatregelen te treffen teneinde de vermoedelijke fraude te bestrijden.
Onderzoek en analyse
Onze tweede wettelijke taak is om trends en ontwikkelingen te signaleren en beleidsinformatie te ontwikkelen en statistische informatie met betrekking tot bestrijding van fraude in de zorg.
Op het moment dat ontwikkelingen zichtbaar worden kunnen de instanties zelf doelgerichter onderzoek doen of maatregelen treffen. Bovendien verstevigt deze kennis de mogelijkheden voor instanties om te anticiperen op de gesignaleerde ontwikkelingen. De beleidsmatige en statistische gegevens zijn bovendien essentieel om het overkoepelende beleid te toetsen en te optimaliseren.
De onderzoeksresultaten die wij naar buiten brengen bevatten geen persoonsgegevens en de informatie is ook niet te herleiden tot individuele personen.
In het kader van transparantie geldt dat eindrapportages van het team O&A openbaar zijn, tenzij er gegronde redenen zijn om een rapportage niet openbaar te maken. Over dit laatste besluit de directeur en/of Raad van Bestuur van St. IKZ.
Op basis van welke grondslag verwerken wij uw persoonsgegevens?
Wij hebben een wettelijke taak toegewezen gekregen en verwerken uw persoonsgegevens op grond van artikel 6 lid 1 sub c AVG (wettelijke grondslag).
Gebruiken wij uw persoonsgegevens ook nog voor andere doeleinden?
Nee, wij verwerken uw persoonsgegevens niet voor andere doeleinden. Uw persoonsgegevens worden alleen verwerkt in overeenstemming met onze wettelijke taak.
Geven wij uw persoonsgegevens door naar andere landen?
Nee, wij verwerken geen persoonsgegevens buiten de Europese Economische Ruimte (EER).
Hoelang bewaren wij uw persoonsgegevens?
De bewaartermijnen zijn wettelijk bepaald en liggen vast in artikel 3.17 van het Besluit.
Persoonsgegevens die wij verwerken voor het verrijken van signalen rondom een vermoeden van zorgfraude worden door ons vijf jaar voor dit doeleinden bewaard. In het geval dat een signaal wordt ontkracht door onze partners of door ons waardoor er niet langer sprake is van een vermoeden van fraude, worden direct, nadat dit is vast komen te staan verwijderd uit ons systeem. Persoonsgegevens die wij verwerken in het kader van onderzoek en analyse worden door ons 10 jaar bewaard.
Na het verstrijken van bovenstaande bewaartermijnen hebben er nog een beperkt aantal medewerkers van St. IKZ toegang tot de data tot het moment waarop tegen die verwerking en de rechtmatigheid van de verwerking geen rechtsmiddelen meer openstaan. Deze bewijsmiddelen worden niet gebruikt voor een ander doel dan het aantonen van de rechtmatigheid van de gegevensverwerking.
Met wie kunnen wij uw persoonsgegevens delen?
Wij kunnen uw persoonsgegevens delen met de bij ons aangesloten instanties. Wij delen alleen gegevens in het geval dat wij een signaal met een vermoeden van fraude niet kunnen ontkrachten. In dat geval delen wij verrijkte gegevens met de betrokken aangesloten instanties.
In het geval dat het verrijkingsproces is afgerond informeren wij u zo spoedig mogelijk over de verwerking van uw persoonsgegevens, tenzij een aangesloten instantie heeft aangegeven dat er een grond is om de informatieplicht achterwege te laten. In dat geval geldt dat de aangesloten partner u alsnog dient te informeren op het moment dat de gronden voor het niet-informeren zijn vervallen.
Wie heeft er binnen St. IKZ toegang tot uw persoonsgegevens?
Afhankelijk van de rol en functie die en medewerker vervult krijgt een medewerker alleen toegang tot de persoonsgegevens die noodzakelijk om zijn of haar werkzaamheden uit te voeren. Zo zijn er bijvoorbeeld beperktere rechten toegekend aan medewerkers die werken aan onderzoek en analyse en hebben medewerkers die signalen verrijken alleen toegang tot de persoonsgegevens die hiervoor strikt noodzakelijk zijn.
Hoe beveiligen wij uw persoonsgegevens?
Wij nemen voldoende technische en organisatorische maatregelen zodat privacy van beveiliging van informatie geborgd is. Dit in lijn met de privacywetgeving en de Baseline Informatiebeveiliging Overheid (BIO). Onze IT-leveranciers zijn ISO 27001 gecertificeerd. Daarnaast zijn onze medewerkers onderworpen aan geheimhouding en heeft er een screening plaatsgevonden.
Welke privacy-rechten heeft u?
Als wij uw persoonsgegevens verwerken heeft u op grond van privacywetgeving de volgende rechten:
- Recht op inzage: u kunt vragen welke persoonsgegevens wij van u verwerken.
- Recht op rectificatie: kloppen de persoonsgegevens die wij hebben niet of ontbreken er gegevens? Dan kunt u ons vragen om de gegevens te wijzigen of aan te vullen.
- Recht op verwijdering: in sommige gevallen kunt u ons vragen om uw persoonsgegevens te verwijderen.
- Recht op beperking van de verwerking: u kunt ons vragen om tijdelijk te stoppen met het gebruik van uw persoonsgegevens. Bijvoorbeeld omdat u eerst een besluit wilt afwachten op een ander verzoek.
- Recht op dataportabiliteit: u kunt ons vragen om uw persoonsgegevens over te dragen aan een andere organisatie
- Recht van bezwaar: u kunt soms bezwaar maken tegen de verwerking van uw persoonsgegevens.
- Recht op een menselijke blik bij besluiten: ontvangt u een geautomatiseerd besluit van ons, dan kunt u ons vragen een nieuw besluit te nemen dat door een persoon is beoordeeld.
U heeft ook recht om uw toestemming in te trekken. Gaf u ons eerder toestemming om uw persoonsgegevens te gebruiken, maar heeft u zich bedacht? Dan kunt u uw toestemming weer intrekken. Vanaf dat moment verwerken wij uw persoonsgegevens niet meer. Tenzij er (ook) een andere grondslag is om uw gegevens te verwerken.
Voor veiligheidsredenen kunnen wij bij een verzoek om inzage of verwijdering vragen om aanvullende informatie om uw identiteit te verifiëren.
Vragen?
Bent u het niet eens met hoe wij uw persoonsgegevens verwerken? Dan kunt u contact met ons opnemen met onze functionaris gegevensbescherming (FG). De FG is onafhankelijk en let op iedereen binnen St. IKZ of wij ons aan de privacy wetgeving houden.
U kunt contact opnemen met de FG via privacy@ikz.nl. U kunt ook een brief sturen naar:
Stichting IKZ
t.a.v. de functionaris gegevensbescherming
Pythagoraslaan 2 – 18
3584 BB Utrecht
Wilt u meer weten?
Heeft u een vraag of klacht over deze privacyverklaring? Of over de manier waarop wij met uw persoonsgegevens omgaan? Wij geven u graag uitleg. U kunt contact opnemen met ons via info@ikz.nl.
Klik hier voor een offline versie (pdf) van dit privacy statement.