Privacy
Als zorgverzekeraar verwerkt CZ groep zeer privacygevoelige gegevens, zoals persoonsgegevens en medische gegevens. Dit brengt verschillende risico’s met zich mee, zowel voor de personen van wie wij de gegevens verwerken als voor ons als organisatie. Voor verzekerden gaat het (bij misbruik of onvoldoende bescherming van hun gegevens) bijvoorbeeld om inbreuk op hun privacy, identiteitsdiefstal en discriminatie. Voor CZ groep gaat het om risico’s zoals het optreden van datalekken (bijvoorbeeld door menselijke fouten of cyberaanvallen), het verlies van vertrouwen in onze organisatie en het opgelegd krijgen van sancties. Tegelijkertijd brengt de gepaste en juiste verwerking van persoonsgegevens veel kansen met zich mee die bijdragen aan onze kerntaak en zowel voor individuele personen als de maatschappij, van positieve impact zijn. Voorbeelden hiervan zijn de kwaliteitsverbetering van zorg, de verbetering van zorgprocessen en het nauwkeuriger inschatten van de zorgkosten en van de zorgpremie. Volop redenen dus voor CZ groep om – binnen alle wettelijke kaders en met de juiste informatiebeveiliging – persoonsgegevens te verwerken.
CZ Privacy beleid
Wij gaan zorgvuldig om met klant- en medewerkersgegevens, hebben strikte interne werkprocessen (waaronder strenge bepalingen ten aanzien van wie intern toegang tot welke informatie heeft) en nemen alle mogelijke maatregelen om de gegevens die ons zijn toevertrouwd te beschermen. Wij besteden speciale aandacht aan privacyvraagstukken die met data in zorg samenhangen, om zo de privacy van onze verzekerden altijd te waarborgen. Wij hebben dit alles in onze privacy-statements vastgelegd. De belangrijkste principes hiervan:
Persoonsgegevens worden uitsluitend verzameld en verwerkt voor zover wij hiervoor een wettelijke grondslag hebben en alleen voor gerechtvaardigde doeleinden;
Wij verwerken alleen persoonsgegevens die relevant en noodzakelijk zijn voor het doel waarvoor ze worden verzameld en we zorgen ervoor dat de gegevens juist, volledig en actueel zijn (voor zover dat mogelijk is);
Wij verzamelen geen gegevens voordat het doel ervan helder is en de verzamelde gegevens worden uitsluitend voor dit doel gebruikt, of voor een doel dat niet onverenigbaar is met het oorspronkelijke doel;
Alleen als een betrokkene toestemming geeft of als een wettelijke plicht het vereist, worden gegevens voor een ander doel gebruikt dan het oorspronkelijke doel. Wij verkopen persoonsgegevens niet aan derden;
Wij zorgen voor een passende beveiliging van gegevens zodat deze zijn beschermd tegen verlies, ongeautoriseerde toegang, vernietiging, gebruik, wijziging of openbaarmaking.
In onze privacy-statements leggen wij uit waarvoor de persoonsgegevens allemaal worden gebruikt, hoe wij deze verwerken en hoe lang ze worden bewaard. Onze privacy-statements zijn van toepassing op alle medewerkers van CZ groep, alle verzekerden van CZ groep (ongeacht onder welk merk zij zijn verzekerd) en de cliënten van het CZ zorgkantoor. Het privacy-statement voor externen publiceren wij op onze website zodat elke betrokkene op de hoogte kan zijn van ons beleid omtrent het gebruik van persoonsgegevens. Ons privacy statement voor personeel is gepubliceerd op intranet.
Voorafgaand aan de verwerking van persoonsgegevens worden de risico's daarvan zo nodig beoordeeld via Privacy Impact Assessments (PIA), ook bekend als Data Protection Impact Assessments (DPIA). CZ groep brengt voorafgaand aan de verwerking van persoonsgegevens in kaart welke privacyrisico’s er kunnen spelen. Met dit proces wordt per betrokken bedrijfsactiviteit nagegaan wat de gevolgen van een verwerking van persoonsgegevens zijn voor de betrokken personen (verzekerden of cliënten, zorgaanbieders of onze medewerkers) en welke beheersmaatregelen nodig zijn. Eventuele inbreuken in verband met persoonsgegevens worden bijgehouden in een datalekregister en zo nodig ook gemeld aan de Autoriteit Persoonsgegevens. De beheersing van de privacy-risico’s wordt gemonitord en gerapporteerd in interne compliance rapportages.
Ons privacy-beleid is erop gericht om tenminste te voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). Deze stellen eisen aan het gebruik van informatie die tot personen herleidbaar is. Voor de zorgverzekeringsbranche zijn deze wettelijke regelingen vertaald in de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars. Wij leven die gedragscode na.
De verantwoordelijkheid voor het toepassen en naleven van de regelgeving ligt bij het lijnmanagement van ieder bedrijfsonderdeel (de ‘eerste lijn’ volgens het Three Lines model). De eindverantwoordelijkheid ligt bij de Raad van Bestuur. Binnen CZ groep is een Functionaris voor de gegevensbescherming (FG) in dienst die onderdeel uitmaakt van de centrale Compliance-functie binnen CZ groep (‘tweede lijn’). Hij werkt voor de uitvoering van zijn functie nauw samen met ‘local compliance en privacy officers’ in de bedrijfsonderdelen.