Persoonsgegevens zijn alle gegevens die direct of indirect naar u te herleiden zijn. Oftewel: dit zijn gegevens die iets over u zeggen. 

Met verwerken bedoelen we alle activiteiten die wij met persoonsgegevens kunnen doen. De meeste activiteiten die wij uitvoeren zijn: inzien, opslaan, wijzigen, verwijderen en uitwisselen. Wij verwerken uw persoonsgegevens op verschillende manieren en met verschillende doelen. De persoonsgegevens die wij verwerken zijn bijvoorbeeld: 

• Informatie uit de Basisregistratie Personen (BRP), zoals naam, adres, woonplaats, burgerservicenummer (BSN), geboortedatum, geslacht, eventueel verblijfstitel of vreemdelingennummer; 
• Contactgegevens (zoals e-mail en/of telefoonnummer);
• Klantnummer;
• Financiële informatie (zoals uw bankrekeningnummer, declaraties, betaalde en openstaande rekeningen, eventuele betalingsachterstanden en een betalingsregeling);  
• Of u een wettelijk vertegenwoordiger hebt, zoals een curator, bewindvoerder, of ouder/verzorger (en de contactgegevens daarvan);
• Gezondheidsgegevens, zoals informatie over uw aandoening, diagnose, benodigde of gedeclareerde zorg of zorgsoort en declaratiegeschiedenis;
• Gegevens over uw digitale identiteit (bijvoorbeeld verzamelde gegevens door cookies, of benodigde gegevens om online in te loggen (via DigiD) op Mijn Zekur Zorg, of in de Zekur app; 
• Eventueel fraudeverleden;
• In het verleden afgenomen zorgverzekeringspakket(ten).

Een aantal van deze gegevens wordt door u zelf (bijvoorbeeld in het geval van restitutienota’s) aan ons doorgegeven. Of ze worden doorgegeven door degene die een verzekering voor u afsluit. Een ander deel van deze gegevens wordt met ons gedeeld door derden. Bijvoorbeeld van uw zorgaanbieder die namens u een declaratie indient (zoals uw huisarts of het ziekenhuis waar u onder behandeling bent). Verder hebben wij een automatische koppeling met het BRP. 

Verwerken van gezondheidsgegevens
Ook met gegevens over uw gezondheid gaan wij extra zorgvuldig om. Gegevens over gezondheid zijn alle persoonsgegevens die verband houden met de lichamelijke of geestelijke gezondheid van een persoon. Wij verwerken deze alleen als wij dit nodig hebben om een van onze wettelijke taken uit te voeren of op basis van toestemming. Gezondheidsgegevens die wij mogelijk verwerken zijn bijvoorbeeld:

• Informatie over uw aandoening of diagnose;
• De benodigde en/of gedeclareerde zorg of zorgsoort;
• Uw declaratiegeschiedenis;
• De zorgverlener waar uw behandeling zal plaatsvinden of heeft plaatsgevonden;
• Het gebruik van uw eigen risico;
• Eventuele benodigde of gebruikte medische hulpmiddelen (zoals krukken of een rolstoel). 

De meeste van deze gegevens worden verwerkt in het kader van een administratieve handeling, zoals declaraties van zorgverleners. 

Gezondheidsgegevens met een uitsluitend administratief of financieel karakter, zonder dat daarbij een beoordeling van de gezondheidsgegevens plaatsvindt, kunnen door aangewezen medewerkers buiten de functionele eenheid worden verwerkt. Voor de juiste verwerking van deze gegevens is het bestuur van de Coöperatie VGZ verantwoordelijk. Denk daarbij aan:

• Verwerken van declaraties;
• Uitbetalen van vergoedingen;
• Afschrijven van gebruikt eigen risico;
• Sturen van digitale post. 

In sommige gevallen worden uw gezondheidsgegevens medisch inhoudelijk beoordeeld, bijvoorbeeld om te bekijken of u (wettelijk) recht hebt op een bepaalde vergoeding. Deze beoordeling wordt uitsluitend gedaan door bevoegde en deskundige medewerkers binnen een Functionele Eenheid (FE). FE’s bestaan uit selectieve groepen medewerkers die onder specifieke voorwaarden medische gegevens mogen beoordelen, waarbij zij altijd handelen onder toezicht en verantwoordelijkheid van een medisch adviseur. De verantwoordelijke medisch adviseurs zijn ingeschreven in het register ‘Beroepen in de Individuele Gezondheidszorg (BIG)’ en medische beoordelingen vallen onder het beroepsgeheim welke volgt uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Deze beoordelingen en de hiertoe gebruikte medische gegevens worden in overeenstemming met de wettelijke kaders bewaard.

In sommige gevallen is het nodig en relevant om uw gezondheidsgegevens te verwerken met inachtneming van het medisch beroepsgeheim, bijvoorbeeld voor: 

• Het uitvoeren van controles;
• Fraudeonderzoeken;
• Analyses voor zorginkoop;
• Risicomanagementprocessen. 

In dat geval gebruiken we zoveel als mogelijk gegevens die geanonimiseerd of gepseudonimiseerd zijn. Dat betekent dat de gegevens niet meer direct in verband te brengen zijn met een persoon. In het geval dat wij aan onze wettelijke taken moeten voldoen kan herleidbaarheid wel noodzakelijk zijn. 

Informatie over uw gezondheid gebruiken wij zonder uw toestemming nooit voor commerciële doeleinden. Zo worden uw gegevens nooit verkocht.

Profilering en geautomatiseerde verwerking/besluitvorming
Soms verwerken wij uw persoonsgegevens volledig geautomatiseerd, zoals uw online aanvraag voor een zorgverzekering bij Zekur, waarbij ook automatisch een besluit wordt genomen. Alleen als er iets bijzonders of afwijkends aan uw aanvraag is, of als uw aanmelding automatisch wordt afgewezen, vindt er menselijke tussenkomst plaats. Wij bekijken dan wat er aan de hand is met uw aanmelding waardoor het niet lukt om deze automatisch af te sluiten. Een voorbeeld hiervan is als u een buitenlands adres en/of nationaliteit hebt; in dat geval controleren wij of u in Nederland verzekeringsplichtig bent of niet. U leest hier meer over onder het kopje ‘Aanvragen, beoordelen, accepteren (aanspraakbeoordeling) en afsluiten van een verzekering’.

Verder maken wij in sommige gevallen gebruik van profilering. Wij gebruiken bijvoorbeeld online verzamelde gegevens door deze te analyseren en te combineren om u relevante informatie, producten en (digitale) diensten aan te kunnen bieden. Dit doen wij uitsluitend als u hier toestemming voor heeft gegeven en u kunt uw toestemming ook altijd intrekken. Wij maken gebruik van profilering om specifieke en gerichte berichten aan u te kunnen sturen waar u mogelijk iets aan heeft en die ook wenselijk voor u zijn. Zo sturen wij een bericht over trapliften eerder aan een doelgroep van oudere gepensioneerde mensen, dan aan een doelgroep van werkende jongeren. 
U heeft altijd het recht om bezwaar te maken tegen de geautomatiseerde besluitvorming en profilering. U kunt dan ook altijd vragen of een medewerker van VGZ (waar Zekur dus onder valt) mee wil kijken met deze besluitvorming of profilering. Hoe u dit doet, leest u in het hoofdstuk ‘Hoe kunt u gebruikmaken van uw rechten?’.

Wij kunnen ervoor kiezen om werkzaamheden uit te besteden, maar blijven wel altijd verantwoordelijk voor de verwerking van uw persoonsgegevens. Waar nodig sluiten wij een verwerkersovereenkomst met de ontvangende partij waarin wij goede afspraken maken om de bescherming van persoonsgegevens zo goed mogelijk te waarborgen. Voorbeelden van uitbesteding zijn de werkzaamheden die onder andere VECOZO en Vektis namens zorgverzekeraars verrichten.

Ook als er geen sprake is van uitbesteden van werkzaamheden worden uw persoonsgegevens soms gedeeld met of verkregen van derden. Ze worden nooit verkocht aan derden.

Voorbeelden van partijen waarmee wij gegevens uitwisselen.

Op basis van een Wettelijke taak/verplichting:

• CAK: wij verstrekken uw BSN en uw bankrekeningnummer aan het CAK als u in aanmerking komt voor compensatie van het (verplicht) eigen risico. Dit is een wettelijke verplichting.
• Gemeente: wij kunnen op verzoek van het college van B&W van uw gemeente persoonsgegevens verstrekken aan het college van burgemeester en wethouders van de gemeente waarin u woont voor het voorkomen en verminderen van schulden (Participatiewet en wettelijke regelingen ter voorkoming van wanbetaling). Toezichthouders (bijvoorbeeld Nederlandse Zorgautoriteit of de Autoriteit Persoonsgegevens) indien dit nodig is in het kader van de toezichthoudende taak.
• Basis Registratie Personen: zorgverzekeraars verkrijgen persoonsgegevens vanuit de Basis Registratie Personen.
• Zorgkantoren: om te voorkomen dat zorg zowel op grond van de Wet langdurige zorg (Wlz) als de basisverzekering wordt betaald. Wij wisselen ook gegevens uit voor de onderlinge afstemming van de op grond van de zorgverzekering en de Wlz verzekerde zorg.

• Sociale Verzekeringsbank (SVB): de SVB ontvangt gegevens van het Zorgkantoor voor de verzekerdenadministratie bedoeld in artikel 35 van de Wet structuur uitvoeringsorganisatie werk en inkomen en de betalingen ten laste van het persoonsgebonden budget (PGB) en het daarmee verbonden budgetbeheer.

Op basis van (uitvoeren van een) overeenkomst:

• Zorgaanbieders met wie wij een contract hebben gesloten: zij brengen de kosten van zorg direct bij ons in rekening.
• Werkgevers of belangenbehartigers: als u korting krijgt op uw premie omdat u onderdeel uitmaakt van een collectiviteit, gebruiken wij uw persoonsgegevens om periodiek bij uw werkgever of belangenbehartiger te controleren of u nog recht heeft op deze korting.
• Reis- en schadeverzekering: de zorgverzekering en de aanvullende ziektekostenverzekering bieden dekking van medische kosten net als de reis- en schadeverzekering. Als er sprake is van samenloop van verzekeringen dan wisselen wij gegevens uit met de reis- of schadeverzekeraar voor de afwikkeling van de kosten.

Ten behoeve van marketingdoeleinden van een derde:

• Dat gebeurt op basis van één van de eerder genoemde wettelijke grondslagen (veelal uw toestemming of gerechtvaardigd belang). Hierbij kunt u denken aan onze bemiddelaars, zoals Coöperatie Univé U.A. of daaraan gelieerde ondernemingen en de Stichting IZZ.

Voor onze eigen marketingdoeleinden:

• Externe mailpartners: wij maken gebruik van externe mailpartners als wij u informeren en interesseren voor onze producten en diensten of om u te benaderen voor klantonderzoeken om onze producten en diensten te evalueren en verbeteren.

Overig:

• Bemiddelaar: als u uw verzekering sluit via een bemiddelaar, kan ook uitwisseling plaatsvinden van persoonsgegevens met de tussenpersoon, voor zover dit noodzakelijk is voor de uitvoering van de taken door de tussenpersoon. Het gaat dan alleen om polis- en pakket gegevens, nooit om gezondheidsgegevens.

Wij bewaren persoonsgegevens zolang wij deze nodig hebben voor het doel waarvoor wij juow gegevens in eerste instantie hebben gekregen. In sommige gevallen bepaalt de wet hoe lang wij gegevens mogen of moeten bewaren. In andere gevallen hebben wij zelf bepaald hoe lang wij uw gegevens nodig hebben. Wij bewaren gegevens standaard 7 jaar (met ingang van het volgende jaar dan het jaar waarop de gegevens betrekking hebben).

Voor sommige gegevens hebben wij een andere bewaartermijn vastgesteld. Voorbeelden hiervan zijn:

• Niet gesloten verzekering
  Het kan voorkomen dat je bij ons een verzekering hebt aangevraagd, maar deze niet hebt afgesloten. Omdat je zelf besloot de verzekering niet te willen sluiten, of omdat wij deze geweigerd hebben. In dat geval bewaren wij jouw gegevens tot 1 jaar na de aanvraag. Op die manier kunnen wij jouw gegevens controleren als je volgend jaar weer een aanvraag indient. Tevens biedt dit ons de mogelijkheid om je te benaderen met andere mogelijk interessante producten, tenzij je hebt aangegeven dat je dit niet wenst.
• Na beëindiging van jouw verzekering
  Heb je wel een verzekering gesloten, maar deze inmiddels beëindigd? Dan bewaren wij jouw gegevens maximaal 7 jaar nadat jouw verzekering geëindigd is of maximaal 7 jaar nadat er nota’s van je zijn ontvangen. Dit doen wij onder andere vanwege de gestelde eis in de Zorgverzekeringswet. Deze gegevens mogen maximaal 2 jaar worden gebruikt voor marketingdoeleinden, tenzij je hebt aangegeven dat je dit niet wenst.
• Onderzoek declaratie gegevens
  Hebben wij een onderzoek uitgevoerd, waarbij jouw declaratie gegevens zijn gebruikt of zijn jouw declaratie gegevens nodig voor toekomstig onderzoek? Dan bewaren wij deze zolang dat nodig is om het onderzoek uit te voeren en af te ronden, en daarna om onze rechten veilig te stellen. Bijvoorbeeld om declaraties terug te vorderen als zorg is gedeclareerd die niet verleend is. Een ander voorbeeld is het doen van onderzoek waarbij een ontwikkeling over een lange periode in kaart wordt gebracht.
• Fraude
  Als wij jouw gegevens hebben gebruikt in een fraudeonderzoek, bewaren wij deze gegevens 8 jaar nadat het onderzoek is gesloten.
• Opnemen telefoongesprekken voor trainingsdoelen
  Wij kunnen jouw telefoongesprekken met ons opnemen. Dat doen wij om onze medewerkers te kunnen trainen en zo onze dienstverlening beter te maken, om analyses te maken over het belgedrag en voor bewijsvoering bij mogelijke fraude. Deze gegevens bewaren wij maximaal 28 dagen.
• Betaalgedrag
  Als jouw verzekering is beëindigd omdat je niet of te laat betaalde, worden de gegevens hierover maximaal 5 jaar bewaard.
• Klachten en geschillen
  Als wij jouw gegevens hebben gebruikt in het kader van klachten en geschillen bewaren wij deze gegevens 2 jaar nadat de procedure is afgerond.

U heeft een aantal belangrijke rechten als het gaat om uw persoonsgegevens.

Inzage

U heeft recht op inzage in de persoonsgegevens die wij van u verwerken en informatie waarvoor die persoonsgegevens gebruikt worden. Het recht op inzage is in het algemeen op een veilige manier geregeld doordat u via uw ‘Mijn’-omgeving zelf kunt zien welke persoonsgegevens over u worden verwerkt (NAW-gegevens, verzekeringsgegevens, informatie over het betaalde eigen risico en premiebetalingen en zorgkosten). Het kan zijn dat u daarnaast nog bepaalde specifieke informatie wilt hebben. U kunt daarvoor een verzoek indienen. Vermeld in uw verzoek welke specifieke gegevens u wilt inzien.

Gegevensoverdraagbaarheid

Wij kunnen persoonsgegevens direct aan een andere zorgverzekeraar sturen als het gaat om gegevens die nodig zijn om over te stappen naar die andere zorgverzekeraar of door ons gegeven machtigingen voor het vergoeden van zorg. Als u wilt dat wij uw gegevens direct aan een andere zorgverzekeraar sturen, dan kunt u dat aan ons doorgeven.

Aanpassing

U heeft recht op aanpassing (rectificatie) van onjuiste persoonsgegevens die op u betrekking hebben. U heeft er recht op dat onvolledige persoonsgegevens volledig worden gemaakt, bijvoorbeeld door het verstrekken van een aanvullende verklaring.

Beperkt gebruik

U kunt het gebruik van uw persoonsgegevens beperken, bijvoorbeeld als u de digitale nieuwsbrief niet meer wilt ontvangen. Via de digitale ‘Mijn’-omgeving kunt u uw voorkeuren opgeven. U heeft er recht op dat het gebruik van uw persoonsgegevens wordt beperkt:

• in de periode die wij nodig hebben om vast te stellen of uw gegevens inderdaad gecorrigeerd moeten worden;
• als wij uw persoonsgegevens niet hadden mogen gebruiken, maar u wilt niet dat die gegevens worden gewist;
• in de periode dat u tegen het gebruik van uw persoonsgegevens bezwaar heeft gemaakt maar van ons nog geen antwoord heeft gekregen;
• als het gebruik van uw persoonsgegevens wordt beperkt, hebben wij uw toestemming nodig om toch nog gebruik van die gegevens te mogen maken. Hierop zijn een aantal uitzonderingen. U persoonsgegevens mogen toch worden gebruikt;
• voor de uitvoering van uw zorgverzekering en aanvullende ziektekostenverzekering, zodat u verzekerd kunt blijven en uw nota’s kunnen worden betaald door ons;
• voor het instellen, uitoefenen of onderbouwen van een rechtsvordering;
• ter bescherming van de rechten van een ander persoon of een rechtspersoon;
• om redenen van groot algemeen belang voor de Europese Unie of een lidstaat van de Europese Unie, zoals volksgezondheid.

Vermeld in uw verzoek waarom wij uw persoonsgegevens niet mochten gebruiken. Of voeg het verzoek tot beperking van het gebruik van uw persoonsgegevens toe aan een verzoek tot rectificatie of een bezwaar. Als u samen met het beroep op rectificatie of uw bezwaar ook een beroep op beperking van het gebruik van uw persoonsgegevens heeft gedaan, worden uw persoonsgegevens in deze termijn minder gebruikt.

Verwijderen

Wanneer uw verzoek betrekking heeft op uw verzekering is het wissen van gegevens vaak niet mogelijk, bijvoorbeeld omdat wij deze gegevens nog wel nodig hebben, met inachtneming van de geldende bewaartermijnen.

U kunt ons vragen uw persoonsgegevens te wissen als volgens u één van de volgende gevallen van toepassing is:

• Wij hebben uw persoonsgegevens niet meer nodig, maar zijn nog niet geschoond vanwege de bewaartermijn;
• Uw gegevens worden gebruikt op grond van uw toestemming, maar u trekt deze toestemming in;
• U maakt bezwaar zoals hierna omschreven, tegen het gebruik van uw persoonsgegevens;
• Wij mochten uw persoonsgegevens niet gebruiken;
• Wij waren op grond van de wet al verplicht uw gegevens te wissen;
• Wij gebruiken uw gegevens voor social media, als wij reageren op een bericht dat u post over één van onze merken.
• Vermeld in uw verzoek welke gegevens u wilt laten wissen en waarom u vindt dat wij dit moeten doen.

Bezwaar

U heeft het recht om bezwaar te maken tegen het gebruik van uw persoonsgegevens voor direct marketing. Als uw gegevens worden gebruikt mag u daartegen bezwaar maken, als u daarvoor bijzondere persoonlijke redenen heeft.

Toestemming

Als wij alleen met uw toestemming uw persoonsgegevens hebben gebruikt, dan mag u deze toestemming altijd intrekken. De intrekking van uw toestemming heeft geen terugwerkende kracht. Het intrekken van uw toestemming heeft dus geen gevolgen voor al uitgevoerde handelingen.

Wij bewaren persoonsgegevens zolang wij deze nodig hebben voor het doel waarvoor wij juow gegevens in eerste instantie hebben gekregen. In sommige gevallen bepaalt de wet hoe lang wij gegevens mogen of moeten bewaren. In andere gevallen hebben wij zelf bepaald hoe lang wij uw gegevens nodig hebben. Wij bewaren gegevens standaard 7 jaar (met ingang van het volgende jaar dan het jaar waarop de gegevens betrekking hebben).

Voor sommige gegevens hebben wij een andere bewaartermijn vastgesteld. Voorbeelden hiervan zijn:

• Niet gesloten verzekering
  Het kan voorkomen dat je bij ons een verzekering hebt aangevraagd, maar deze niet hebt afgesloten. Omdat je zelf besloot de verzekering niet te willen sluiten, of omdat wij deze geweigerd hebben. In dat geval bewaren wij jouw gegevens tot 1 jaar na de aanvraag. Op die manier kunnen wij jouw gegevens controleren als je volgend jaar weer een aanvraag indient. Tevens biedt dit ons de mogelijkheid om je te benaderen met andere mogelijk interessante producten, tenzij je hebt aangegeven dat je dit niet wenst.
• Na beëindiging van jouw verzekering
  Heb je wel een verzekering gesloten, maar deze inmiddels beëindigd? Dan bewaren wij jouw gegevens maximaal 7 jaar nadat jouw verzekering geëindigd is of maximaal 7 jaar nadat er nota’s van je zijn ontvangen. Dit doen wij onder andere vanwege de gestelde eis in de Zorgverzekeringswet. Deze gegevens mogen maximaal 2 jaar worden gebruikt voor marketingdoeleinden, tenzij je hebt aangegeven dat je dit niet wenst.
• Onderzoek declaratie gegevens
  Hebben wij een onderzoek uitgevoerd, waarbij jouw declaratie gegevens zijn gebruikt of zijn jouw declaratie gegevens nodig voor toekomstig onderzoek? Dan bewaren wij deze zolang dat nodig is om het onderzoek uit te voeren en af te ronden, en daarna om onze rechten veilig te stellen. Bijvoorbeeld om declaraties terug te vorderen als zorg is gedeclareerd die niet verleend is. Een ander voorbeeld is het doen van onderzoek waarbij een ontwikkeling over een lange periode in kaart wordt gebracht.
• Fraude
  Als wij jouw gegevens hebben gebruikt in een fraudeonderzoek, bewaren wij deze gegevens 8 jaar nadat het onderzoek is gesloten.
• Opnemen telefoongesprekken voor trainingsdoelen
  Wij kunnen jouw telefoongesprekken met ons opnemen. Dat doen wij om onze medewerkers te kunnen trainen en zo onze dienstverlening beter te maken, om analyses te maken over het belgedrag en voor bewijsvoering bij mogelijke fraude. Deze gegevens bewaren wij maximaal 28 dagen.
• Betaalgedrag
  Als jouw verzekering is beëindigd omdat je niet of te laat betaalde, worden de gegevens hierover maximaal 5 jaar bewaard.
• Klachten en geschillen
  Als wij jouw gegevens hebben gebruikt in het kader van klachten en geschillen bewaren wij deze gegevens 2 jaar nadat de procedure is afgerond.