Privacy Statement CZ zorgkantoor

Persoonsgegevens zijn alle gegevens die iets over u of uw persoonlijke situatie zeggen. Soms gaat de informatie niet direct over u maar is deze wel tot u te herleiden. Ook dan spreken we over persoonsgegevens.

Het zorgkantoor verwerkt ook gegevens over bedrijven, zoals zorgverleners. Gegevens over bedrijven zijn geen persoonsgegevens. Gegevens over hun werknemers, individuele zorgverleners of klanten wel.

Officieel ligt de verantwoordelijkheid voor de uitvoering van de Wlz bij de zogenaamde Wlz-uitvoerder maar in de praktijk heeft u te maken met regionale uitvoeringskantoren, de zorgkantoren. Waar in het vervolg van dit privacy statement wordt gesproken wordt over het zorgkantoor wordt daarmee bedoeld de Wlz-uitvoerder waaronder ook begrepen het zorgkantoor.

U bent automatisch verzekerd voor de zorg in de Wlz. Uw zorgverzekeraar zorgt dat u wordt aangemeld bij het juiste zorgkantoor. Als u geen zorgverzekering heeft maar wel verzekerd bent voor de Wlz, moet u zelf zorgen voor inschrijving bij het zorgkantoor van uw regio.

Het zorgkantoor gaat zorgvuldig om met uw persoonsgegevens en wil u in dit statement uitleg geven over het gebruik van uw persoonsgegevens. Omdat de zorgkantoren het belangrijk vinden dat zij de wettelijke regels op de juiste wijze nakomen, hebben zij hierover gezamenlijke gedragsregels opgenomen in de Gedragscode verwerking persoonsgegevens zorgverzekeraars. U kunt de huidige Gedragscode hier vinden. Eén van de wettelijke privacyregels is de verplichting om transparant te zijn over hoe omgegaan wordt met persoonsgegevens van klanten. Het zorgkantoor doet dit in de vorm van dit privacy statement.

In dit privacy statement worden de volgende vragen beantwoord:

1. Welke persoonsgegevens worden door CZ zorgkantoor verwerkt?
2. Waarvoor worden uw persoonsgegevens gebruikt?
3. Hoe lang worden uw persoonsgegevens bewaard?
4. Wat zijn uw rechten?
5. Op welke manier kunt u uw rechten uitoefenen?
6. Hoe zijn uw persoonsgegevens beveiligd?
7. Hoe kunt u in contact treden met het zorgkantoor?

CZ zorgkantoor verwerkt persoonsgegevens die nodig zijn voor de uitvoering van de Wlz. Met verwerken bedoelen wij in ieder geval het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen van persoonsgegevens. Gegevens die wij verwerken zijn onder andere:

• algemene persoonsgegevens uit de Basisregistratie Personen (BRP) zoals uw naam, adres, woonplaats, geslacht, geboortedatum, burgerservicenummer (BSN), aanhef, burgerlijke staat, geboorteplaats, nationaliteit, eventueel de verblijfstitel;
• contactgegevens, zoals telefoonnummer en e-mailadres;
• cliëntnummer;
• bank- en betaalgegevens;
• gezondheidsgegevens (bijvoorbeeld gegevens over uw zorgverleners, gedeclareerde zorg, gegevens van de instelling waar u (tijdelijk) verblijft, zorgplannen, zorgbeschrijvingen en zorgovereenkomsten, uw medisch dossier, de gedeclareerde zorg en uw indicatie, eventueel benodigde hulpmiddelen);
• informatie uit het Insolventieregister en het Centraal Curatele- en Bewindregister;
• gegevens over uw budgetbeheerder, contactpersoon en/of wettelijke vertegenwoordiger (indien van toepassing), zoals naam, adres, woonplaats, contactgegevens (telefoonnummer en/of e-mailadres;
• informatie over uw persoonlijke levensomstandigheden (bijvoorbeeld uw woonsituatie) en over uw familie (bijvoorbeeld of u een partner en/of kinderen heeft).

Wij verwerken alleen gegevens die noodzakelijk zijn om te bepalen of u recht heeft op (vergoeding van) zorg.

Het zorgkantoor gebruikt uw persoonsgegevens voor uitvoering van de Wlz. Onder uitvoering van de Wlz vallen verschillende handelingen:

• het opnemen van uw BSN in de administratie om u te kunnen identificeren (dit is een wettelijke verplichting);
• bepalen of u verzekerd bent voor de Wlz;
• het opnemen van de door het CIZ afgegeven indicatie in de administratie;
• bepalen of u recht heeft op een persoonsgebonden budget (pgb);
• betalen aan de zorgaanbieder (al dan niet via een pgb) of aan u;
• de beoordeling of zorg op verantwoorde wijze kan worden verleend zonder dat u verblijft in een instelling of met een persoonsgebonden budget;
• uitvoeren van controles, bestrijden van fraude;
• verbeteren van onze dienstverlening door het uitvoeren van klantonderzoeken;
• verhalen van schade op derde partijen;
• onderzoek onder verzekerden naar de kwaliteit van zorg;
• verbeteren van dienstverlening; behandelen van bezwaren;
• het analyseren van (persoons)gegevens voor risicobeheersing (waaronder beheersing van zorguitgaven), zorgkostenraming, zorginkoopbeleid en het maken van zorgafspraken.

Het zorgkantoor kan ervoor kiezen om werkzaamheden uit te besteden. Het zorgkantoor blijft wel altijd verantwoordelijk voor het gebruik van uw persoonsgegevens. Voorbeelden van uitbesteding zijn de werkzaamheden die bijvoorbeeld Vektis namens het zorgkantoor verricht. Vektis ondersteunt zorgprofessionals, patiëntenorganisaties en overheidspartijen bij het verbeteren van de zorg en het toegankelijk en betaalbaar houden van goede zorg in Nederland. Vektis doet voor zorgkantoren analyses van declaratiegegevens. Soms verstrekt Vektis in opdracht van zorgkantoren die gegevens aan derden, vaak voor wetenschappelijk onderzoek of om aan een wettelijke verplichting te voldoen.

Voor de bescherming van de belangen van het zorgkantoor, haar medewerkers, verzekerden en ook andere financiële instellingen verwerken we uw persoonsgegevens (waaronder in sommige gevallen ook strafrechtelijke gegevens) ook voor risicobeheersing en het voorkomen en bestrijden van fraude. In dit kader houdt het zorgkantoor een Gebeurtenissenadministratie bij. De afdeling Bureau Bijzonder Onderzoek kan besluiten de persoonsgegevens uit de Gebeurtenissenadministratie op te nemen in een Intern Verwijzingsregister (IVR). Indien een gebeurtenis voldoet aan de criteria uit het Protocol Incidenten waarschuwingssysteem Financiële Instellingen (PIFI), neemt het zorgkantoor de relevante persoonsgegevens op in een Incidentenregister (IR), en in voorkomende gevallen, het Extern Verwijzingsregister (EVR, genoemd hierna onder ‘Uitwisseling met derden’). Overigens beperken bovenstaande registers zich niet tot persoonsgegevens. Ook gegevens over zorgverleners worden in deze registers opgenomen. Door uw gegevens op te nemen in de bovenstaande registers kunnen we onder andere toetsen of u ooit fraudeerde of dit heeft geprobeerd. U/uw organisatie wordt op de hoogte gesteld van opname in een van de registers. Dit gebeurt in de meeste gevallen voordat uw gegevens in de registers worden opgenomen, tenzij openbaarmaking het onderzoek schaadt, dan wordt u na afloop van het onderzoek – bij continuering van uw registratie in het IVR, IR of EVR – op de hoogte gebracht.

Uitwisseling met derden

Voor het uitvoeren van de Wlz is het noodzakelijk dat het zorgkantoor gegevens ontvangt en/of uitwisselt met anderen. Welke dat onder andere zijn leest u hier:

• Zorgaanbieders (1): om de kosten van zorg te kunnen declareren, verstrekken zorgaanbieders uw gegevens aan het zorgkantoor;
• Zorgaanbieders (2): als een zorgaanbieder zorg verleent die zowel uit uw zorgverzekering als op grond van de Wlz kan worden betaald, mag deze zorgaanbieder (gezondheids-)gegevens over u opvragen als dat nodig is om vast te stellen of deze zorg bij de zorgverzekeraar of bij het zorgkantoor gedeclareerd moet worden;
• CIZ: het CIZ neemt het indicatiebesluit op grond waarvan u recht heeft op zorg die is opgenomen in de Wlz, het CIZ stuurt dit indicatiebesluit naar het zorgkantoor;
• CAK: het zorgkantoor stuurt aan het CAK de gegevens die het nodig heeft voor het vaststellen en innen van eigen bijdragen;
• De zorgverzekeraar: om te voorkomen dat zorg zowel op grond van de Wlz als de basisverzekering wordt betaald, en voor de onderlinge afstemming van de op grond van de zorgverzekering en de Wlz verzekerde zorg;
• Sociale Verzekeringsbank (SVB): de SVB ontvangt gegevens van het zorgkantoor voor de verzekerdenadministratie bedoeld in artikel 35 van de Wet structuur uitvoeringsorganisatie werk en inkomen en de betalingen ten laste van het persoonsgebonden budget en het daarmee verbonden budgetbeheer;
• Zorginstituut: om te voorkomen dat zorg zowel op grond van de Wlz als de basisverzekering wordt betaald en om rechtmatige en doelmatige uitvoering van de Wlz en een eenduidige uitleg van de aard, inhoud en omvang van het verzekerde pakket te bevorderen;
• Een ander zorgkantoor: bij verhuizing van de verzekerde en voor bovenregionale zorgconsumptie (zorg buiten de regio van het zorgkantoor);
• Softwareleveranciers;
• Toezichthouders: het zorgkantoor wisselt persoonsgegevens uit met toezichthouders (bijvoorbeeld Nederlandse Zorgautoriteit of de Autoriteit Persoonsgegevens) als dit nodig is in het kader van de toezichthoudende taak. Dit is een wettelijke verplichting;
• Het zorgkantoor krijgt regelmatig verzoeken van bijvoorbeeld universitaire ziekenhuizen om persoonsgegevens (over gezondheid) te mogen gebruiken voor wetenschappelijk onderzoek of statistiek. Deze gegevens worden alleen verstrekt voor zover niet volstaan kan worden met anonieme gegevens, het onderzoek in het algemeen belang is, en toestemming vragen niet mogelijk was;
• Het zorgkantoor heeft een Incidentenregister waarin persoonsgegevens worden opgenomen. In dit register worden gebeurtenissen opgenomen die als gevolg hebben of zouden kunnen hebben dat de belangen, integriteit of veiligheid van de verzekerden, of de (medewerkers van) het zorgkantoor of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het vervalsen van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding;
• In het Extern Verwijzingsregister worden de persoonsgegevens opgenomen van personen van wie in voldoende mate vaststaat dat de gedragingen een bedreiging (kunnen) vormen voor de financiële belangen van (medewerkers van) het zorgkantoor of zijn verzekerden. Het Extern Verwijzingsregister kan worden ingezien door de deelnemers aan het Protocol Incidenten waarschuwingssysteem Financiële Instellingen.
• Accountant: het zorgkantoor verstrekt aan zijn accountant persoonsgegevens, waaronder (eventueel) persoonsgegevens over de gezondheid, voor zover deze gegevens noodzakelijk zijn voor het uitvoeren van de verplichte controle van de jaarrekening;
• Openbaar ministerie en politie: het zorgkantoor verstrekt een het Openbaar ministerie en de politie persoonsgegevens wanneer en voor zover daartoe een wettelijke verplichting bestaat.

Als het om een dringende reden noodzakelijk is dat zorgaanbieders geen inzage kunnen hebben in uw adresgegevens, kunt u dit aan ons laten weten. Wij kunnen uw adresgegevens dan afschermen. Dit geldt ook voor personen tegen wie u beschermd wordt. Daartegen kunt u uw gegevens laten afschermen.

Gegevens over uw gezondheid en functionele eenheid

Het zorgkantoor ontvangt gegevens over uw gezondheid van zorgaanbieders en het CIZ. Gegevens over uw gezondheid zijn gegevens waar het zorgkantoor extra zorgvuldig mee omgaat. Het zorgkantoor gebruikt deze gegevens om te bepalen of u recht heeft op (de vergoeding van) zorg en de beoordeling of zorg op verantwoorde wijze kan worden verleend zonder dat de verzekerde verblijft in een instelling of met een persoonsgebonden budget. Voor zover dat nodig is, worden gegevens over de gezondheid ook gebruikt voor controle, het doen van fraudeonderzoek, verhaal op een derde en analyses voor zorginkoop en risicobeheersing.

De medisch adviseur van het zorgkantoor is een in het register inzake Beroepen in de Individuele Gezondheidszorg (BIG) ingeschreven: arts, tandarts, fysiotherapeut, verloskundige, verpleegkundige, gezondheidszorgpsycholoog, psychotherapeut of apotheker. Iedere medewerker die gezondheidsgegevens interpreteert of beoordeelt valt onder de verantwoordelijkheid van de medisch adviseur. De medisch adviseur en de medewerkers die onder zijn/haar verantwoordelijkheid werken, dit heet een ‘functionele eenheid’, hebben een wettelijke geheimhoudingsplicht. Voor de medewerkers die uw gezondheidsgegevens verwerken maar niet interpreteren en beoordelen, geldt ook een geheimhoudingsplicht.

Geautomatiseerde verwerking declaratie

Declaraties worden meestal geautomatiseerd afgehandeld, waarbij toetsingscriteria gebaseerd op de Wlz worden toegepast op uw declaratie. U heeft altijd het recht om een bezwaar in te dienen naar aanleiding van de geautomatiseerde afhandeling van uw declaratie.

Het zorgkantoor bewaart uw persoonsgegevens zolang hij deze nodig heeft voor het doel waarvoor uw gegevens in eerste instantie zijn gekregen. Dit betekent dat de meeste gegevens 7 jaar worden bewaard (met ingang van het volgende jaar dan het jaar waarop de gegevens betrekking hebben), met een aantal uitzonderingen.

• Onderzoek medische gegevens
  Hebben wij een onderzoek uitgevoerd, waarbij uw medische gegevens zijn gebruikt? Dan bewaren wij deze zolang dat nodig is om het onderzoek uit te voeren en af te ronden, en daarna om onze rechten veilig te stellen. Bijvoorbeeld om declaraties terug te vorderen als zorg is gedeclareerd die niet verleend is.
• Fraude
  Als wij uw gegevens hebben gebruikt in een fraudeonderzoek, bewaren wij deze gegevens 8 jaar nadat het onderzoek is gesloten.
• Opnemen telefoongesprekken voor trainings-en/of analysedoeleinden
  Wij kunnen uw telefoongesprekken met ons opnemen. Dat doen wij om onze medewerkers te kunnen trainen en om analyses te maken om zo onze dienstverlening te verbeteren. Deze gegevens bewaren wij niet langer dan noodzakelijk, maar maximaal 6 maanden.
• Videocameratoezicht
  Bij CZ maken we gebruik van cameratoezicht op onze terreinen en in onze gebouwen. Dit doen wij om onze medewerkers, bezoekers en eigendommen te beschermen. Deze beelden worden verwijderd uiterlijk vier weken nadat de opnamen zijn gemaakt, of na afhandeling van geconstateerde incidenten.
• Bezwaren
  Als wij uw gegevens hebben gebruikt in het kader van bezwaren bewaren wij deze gegevens 2 jaar nadat de procedure is afgerond.

U heeft recht op inzage, rectificatie, gegevenswissing, beperking van het gebruik van uw persoonsgegevens, overdraagbaarheid van uw persoonsgegevens, bezwaar en op het intrekken van uw toestemming. Hieronder kunt u lezen wat deze rechten inhouden.

Inzage
U heeft recht op inzage in de persoonsgegevens die het zorgkantoor van u heeft en informatie waarvoor het die persoonsgegevens gebruikt.

Vermeld in uw verzoek welke gegevens u wilt inzien.

Rectificatie 
U heeft recht op correctie (rectificatie) van onjuiste persoonsgegevens die op u betrekking hebben. U heeft er recht op dat onvolledige persoonsgegevens volledig worden gemaakt, bijvoorbeeld door het verstrekken van een aanvullende verklaring. 

Vermeld in uw verzoek welke gegevens gecorrigeerd moeten worden en waarom.

Gegevensoverdraagbaarheid
U heeft het recht om uw persoonsgegevens door ons over te laten dragen naar een andere partij. Wij kunnen persoonsgegevens direct aan een ander zorgkantoor sturen als het gaat om gegevens die nodig zijn om over te stappen naar het andere zorgkantoor (bijvoorbeeld door verhuizing) of door de aan ons gegeven machtigingen voor het vergoeden van zorg. Als u wilt dat wij uw gegevens aan een ander zorgkantoor sturen, dan dient u daarvoor een verzoek in. Wanneer de gegevens worden overgedragen, worden deze verstuurd in een leesbaar bestandsformaat zoals Excel of Word.

Vermeld in uw verzoek welke gegevens moeten worden overgedragen en naar welk zorgkantoor.

Gegevenswissing
U kunt het zorgkantoor vragen uw persoonsgegevens te wissen als volgens u één van de volgende gevallen van toepassing is:

• het zorgkantoor heeft uw persoonsgegevens niet meer nodig;
• uw gegevens worden gebruikt op grond van uw toestemming, maar u trekt deze toestemming in;
• u maakt bezwaar zoals hierna omschreven, tegen het gebruik van uw persoonsgegevens;
• het zorgkantoor mocht uw persoonsgegevens niet gebruiken;
• het zorgkantoor was op grond van de wet al verplicht uw gegevens te wissen;
• het zorgkantoor gebruikt uw gegevens voor social media.

Vermeld in uw verzoek welke gegevens u wilt laten wissen en waarom u vindt dat het zorgkantoor dit moet doen. Wanneer uw verzoek betrekking heeft op de afgegeven indicatie en de uitvoering van de Wlz is het wissen van gegevens vaak niet mogelijk, bijvoorbeeld omdat het zorgkantoor deze gegevens nog wel nodig heeft, met inachtneming van de geldende bewaartermijnen (zie onderdeel 2).

Beperking
U heeft er recht op dat het gebruik van uw persoonsgegevens wordt beperkt:

• in de periode die het zorgkantoor nodig heeft om vast te stellen of uw gegevens inderdaad gecorrigeerd moeten worden;
• als het zorgkantoor uw persoonsgegevens niet had mogen gebruiken, maar u wilt niet dat die gegevens worden gewist;
• in de periode dat u tegen het gebruik van uw persoonsgegevens bezwaar heeft gemaakt maar van het zorgkantoor nog geen antwoord heeft gekregen.

Als het gebruik van uw persoonsgegevens wordt beperkt, heeft het zorgkantoor uw toestemming nodig om toch nog gebruik van die gegevens te mogen maken. Hierop zijn een aantal uitzonderingen. Uw persoonsgegevens mogen toch worden gebruikt:

• voor de uitvoering van de Wlz, omdat u verzekerd moet blijven en zodat uw zorgkosten kunnen worden betaald;
• voor het instellen, uitoefenen of onderbouwen van een rechtsvordering;
• ter bescherming van de rechten van een ander persoon of een rechtspersoon; of 
• om redenen van groot algemeen belang voor de Europese Unie of een lidstaat van de Europese Unie, zoals volksgezondheid.

Vermeld in uw verzoek waarom het zorgkantoor uw persoonsgegevens niet mocht gebruiken. Of voeg het verzoek tot beperking van het gebruik van uw persoonsgegevens toe aan een verzoek tot rectificatie of een bezwaar. 

Als u samen met het beroep op rectificatie of uw bezwaar ook een beroep op beperking van het gebruik van uw persoonsgegevens heeft gedaan, worden uw persoonsgegevens in deze termijn minder gebruikt. 

Bezwaar
Als uw gegevens worden gebruikt – maar niet voor de uitvoering van de Wlz - mag u daartegen bezwaar maken, als u daarvoor bijzondere persoonlijke redenen heeft. Vermeld in uw bezwaar om welke gegevens het gaat en wat de reden van uw bezwaar is.

Toestemming
Als het zorgkantoor alleen met uw toestemming uw persoonsgegevens heeft gebruikt, dan mag u deze toestemming te allen tijde intrekken. De intrekking van uw toestemming heeft geen terugwerkende kracht. Het intrekken van uw toestemming heeft dus geen gevolgen voor al uitgevoerde handelingen.

Vermeld bij uw verzoek welke toestemming u wilt intrekken.

Als u een beroep wilt doen op één van de rechten die hierboven genoemd worden, kunt u daarvoor een verzoek indienen bij de functionaris voor de gegevensbescherming van CZ zorgkantoor. Dit kunt u bijvoorbeeld per brief of elektronisch doen. We vertellen u dan binnen een maand wat we met uw verzoek hebben gedaan. Als uw verzoek erg ingewikkeld is, kan deze termijn met nog eens twee maanden worden verlengd. Als het zorgkantoor de termijn wil verlengen, laten wij u dat binnen een maand na ontvangst van uw verzoek weten.

Als u het niet eens bent met de afhandeling van uw verzoek kunt u daarover een klacht indienen bij de Autoriteit Persoonsgegevens (of iedere andere Europese toezichthoudende autoriteit). U kunt ook een verzoekschrift indienen bij de rechtbank.

Het zorgkantoor past in het hele bedrijf beveiligingsmaatregelen toe om persoonsgegevens te beveiligen. Deze maatregelen betreffen: de organisatie, het personeel, processen, techniek, en fysieke beveiliging, en zijn vastgelegd in het beveiligingsbeleid van het zorgkantoor.

De ontwikkelingen binnen de wereld van informatiebeveiliging gaan snel. De invulling van de maatregelen is afgeleid van internationaal geldende standaarden, zoals ISO norm ISO27002. Periodiek wordt door ons het zorgkantoor gecontroleerd of zijn maatregelen nog adequaat zijn. Dit gebeurt door middel van het uitvoeren van risicoanalyses, interne controleplannen en door onafhankelijke audits. Daarnaast staat het zorgkantoor onder direct toezicht van verschillende toezichthouders en de externe accountant, waarbij onder meer wordt toegezien op de werking van interne beheersing van informatiebeveiliging. Als het zorgkantoor gebruik maakt van derde partijen bij de verwerking van persoonsgegevens dan controleert de zorgkantoor dat die derde partij, afhankelijk van het soort persoonsgegevens, beschikt over voldoende beveiliging.

We vinden het vanzelfsprekend dat we u duidelijk en compleet informeren over uw privacy. Heeft u vragen over dit privacy statement, bent u het oneens met hoe het zorgkantoor met uw gegevens omgaat of wilt u het gebruik van uw gegevens voor één van de genoemde doeleinden beëindigen, dan kunt u uw vraag stellen via e-mail of per brief:

Afdeling klantcontact Wlz, o.v.v. functionaris gegevensbescherming
Wulfaertstraat 25
4461 HS Goes

Verzoeken met betrekking tot één van de rechten zoals hierboven onder punt 4 genoemd kunt u richten aan de functionaris gegevensbescherming CZ zorgkantoor.

Wijzigingen en datum

Dit privacy statement kan wijzigen. De laatste versie vindt u altijd hier. Dit privacy statement is het laatst gewijzigd op 27 januari 2026.

De belangrijkste wijzigingen ten opzichte van de vorige versie

• Er is een nieuw hoofdstuk toegevoegd waarin wordt uitgelegd welke persoonsgegevens wij verwerken. Dit is hoofdstuk 1;
• In hoofdstuk 2 is verduidelijkt waarvoor uw persoonsgegevens worden gebruikt. Verder is de toelichting over de verantwoordelijkheid van de medisch adviseur verduidelijkt;
• In hoofdstuk 3 is een passage opgenomen over videocameratoezicht;
• In hoofdstuk 4 is een passage opgenomen over gegevensoverdraagbaarheid.