Staatscourant van het Koninkrijk der Nederlanden

Datum publicatieOrganisatieJaargang en nummerRubriek
Ministerie van Volksgezondheid, Welzijn en SportStaatscourant 2016, 59229Convenanten

Convenant houdende afspraken over de samenwerking in het kader van de verbetering van de bestrijding van zorgfraude: ‘Informatie Knooppunt Zorgfraude (IKZ)’

Convenant houdende afspraken over de samenwerking in het kader van de verbetering van de bestrijding van zorgfraude: Informatie Knooppunt Zorgfraude (IKZ).

De ondergetekenden,

Gelet op het Convenant houdende afspraken over de samenwerking in het kader van de

Verbetering van de bestrijding van zorgfraude: Voortzetting Bestuurlijk Overleg Integriteit Zorgsector, zoals gepubliceerd in de Staatscourant van 27 maart 2015, nr. 8345;

Gelet op het belang van een integere zorgsector, het belang van een adequaat toezicht, een doeltreffende civielrechtelijke, bestuursrechtelijke, tuchtrechtelijke en strafrechtelijke handhaving in die sector en gelet op een goede samenwerking tussen de ketenpartners als bedoeld in artikel 1 van dit Convenant, op die onderscheiden gebieden;

Overwegende dat de werkzaamheden van de ondergetekenden in het kader van de verbetering van de bestrijding van zorgfraude de bovenstaande belangen beogen te behartigen en dat deze werkzaamheden, met inachtneming van ieders bestaande wettelijke taken en bevoegdheden, derhalve onverkort dienen te worden voortgezet en te worden versterkt;

Zijn het volgende overeengekomen:

Artikel 1 Het IKZ

  • 1. Ter intensivering van de samenwerking is in opdracht van het samenwerkingsverband Bestuurlijk Overleg Integriteit Zorgsector1 (hierna: BO TIZ) een IKZ opgericht.

  • 2. Het IKZ is een publiekrechtelijk samenwerkingsverband van de onderstaande convenantpartners die deelnemen aan het samenwerkingsverband BO TIZ, te weten:

    • Nederlandse Zorgautoriteit (NZa);

    • Inspectie voor de Gezondheidszorg (IGZ);

    • Directie Opsporing van de Inspectie Sociale Zaken en Werkgelegenheid (Inspectie SZW);

    • Fiscale Inlichtingen en Opsporingsdienst (FIOD);

    • Belastingdienst (BD).

    Hierna: convenantpartners, tevens IKZ-lid.

  • 3. Het IKZ bestaat uit een hoofd en vertegenwoordigers van de convenantpartners. De vertegenwoordigers van de convenantpartners houden in hun werk voor het IKZ rekening met de belangen van de convenantpartners waar zij bij in dienst zijn.

  • 4. Op uitnodiging van het hoofd IKZ kunnen de overige convenantpartners, die geen deel uitmaken van het publiekrechtelijk samenwerkingsverband, te weten het Centrum Indicatiestelling Zorg (CIZ), de Vereniging Nederlandse Gemeenten (VNG) en Zorgverzekeraars Nederland (ZN) (hierna: overige convenantpartners) deelnemen aan bepaalde activiteiten van het IKZ.

  • 5. De informatie-officier van het OM heeft, als overige convenantpartner, de status van toegangsgerechtigde, zonder hiervoor Wbp (Wet bescherming persoonsgegevens) verantwoordelijkheid te dragen.

  • 6. Het IKZ bestaat uit twee onderdelen:

    • onderdeel casuïstiek;

    • onderdeel kennisontwikkeling.

  • 7. Een informatieprotocol en bijbehorende matrix maken onderdeel uit van dit convenant.

Artikel 2 Doel en missie van het IKZ

  • 1. Het gezamenlijk doel van het IKZ is het versterken van de integriteit van de zorgsector door het voorkomen en aanpakken van onrechtmatigheden in de zorg die ten laste komen van de voor zorg bestemde middelen.

  • 2. Het gaat daarbij in het bijzonder om preventie en bestrijding van fraude in de zorg waarbij doelbewust in strijd met de regels wordt gehandeld met het oog op eigen of andermans (financieel) gewin.

  • 3. De missie van het IKZ is om het versterken van de integriteit van de zorgsector te realiseren door onderlinge samenwerking tussen de convenantpartners te stimuleren, te coördineren en te vergroten door het uitwisselen van informatie, waaronder (bijzondere) persoonsgegevens en het uitwisselen van kennis en inzicht.

  • 4. De activiteiten van het IKZ, die voortvloeien uit hun taken, worden elk jaar nader geconcretiseerd in een werkplan, waarbij de activiteiten zoveel mogelijk aansluiten bij de prioriteiten van de convenantpartners.

  • 5. De deelnemende convenantpartners zijn gezamenlijk verantwoordelijk voor de activiteiten van het IKZ.

Artikel 3 Inrichting en organisatie IKZ

  • 1. Het BO TIZ is de opdrachtgever voor het inrichten van het IKZ.

  • 2. Het hoofd IKZ rapporteert aan het BO TIZ over de resultaten en de producten van het IKZ. Het hoofd IKZ stuurt de IKZ-leden aan.

  • 3. De voorzitter van het escalatieoverleg, als bedoeld in artikel 5, derde lid, die tevens voorzitter is van de tijdelijke klankbordgroep kennisontwikkeling, als bedoeld in artikel 6, derde lid, fungeert als dagelijks aanspreekpunt voor het hoofd IKZ.

Artikel 4 Taken van het hoofd en het IKZ

  • 1. Het hoofd IKZ heeft de volgende taken:

    • a) Het aansturen van de leden van het IKZ.

    • b) Voor het onderdeel casuïstiek:

      • regisseur bij het verrijken van de signalen, als bedoeld in artikel 4, tweede lid, onder a, door toevoeging van gegevens uit openbare en gesloten bronnen en regisseur bij het opstellen van de rapportage als bedoeld in artikel 4, tweede lid, onder b.

    • c) Voor het onderdeel kennisontwikkeling:

      • regisseur bij de agendering van de onderwerpen en uitvoering daarvan en het bewaken van de kwaliteit van de opgeleverde kennisproducten.

      • rapporteren aan het BO TIZ over de producten van het IKZ.

    • d) Het hoofd IKZ stelt jaarlijks een werkplan op en legt dit werkplan ter advies voor aan het escalatieoverleg.

    • e) Het opstellen van de begroting en het vooraf ter goedkeuring voorleggen van de begroting aan het ministerie van VWS.

    • f) Over de goedgekeurde begroting verantwoording afleggen aan het ministerie van VWS en aan de voorzitter van het escalatieoverleg.

  • 2. Het IKZ, onderdeel casuïstiek, heeft de volgende taken:

    • a) Het verrijken van signalen van een vermoeden van fraude in de zorg met openbare en gesloten bronnen, met inachtneming van een ieder zijn wettelijke bevoegdheden met het oog op afdoening in het straf-, bestuurs-, tucht- en civielrecht. Het betreft de signalen die via het triageteam van de NZa dan wel langs andere weg bij het IKZ zijn belegd.

    • b) Het opstellen van een rapportage door welke partner het verrijkte signaal moet worden afgehandeld.

    • c) Het verrijkte signaal doorsturen naar een of meerdere aangesloten partners.

    • d) Het verrijkte signaal dat multidisciplinaire afhandeling vergt binnen het IKZ in behandeling nemen.

    • e) Status van de melding monitoren (procescoördinatie).

  • 3. Het IKZ, onderdeel kennisontwikkeling, heeft de volgende taken:

    • a) Het opstellen van een geanonimiseerde rapportage op geaggregeerd niveau met kwantitatieve en kwalitatieve informatie over meldingen die binnenkomen bij het IKZ.

    • b) Het vergroten van de kennis over fraude in de zorg bij de convenantpartners door:

    • a. het verkrijgen van inzicht in trends, ontwikkelingen en fenomenen;

    • b. advies geven over beleid, prioriteiten en aanpassingen bij (afzonderlijke) convenantpartners (effectsturing / leercirkel);

    • c. onderzoek doen op basis van vragen van de (afzonderlijke) convenantpartners.

Artikel 5 Escalatieoverleg

  • 1. Indien het IKZ, onderdeel casuïstiek, niet tot een eenduidig besluit komt over de afhandeling van een verrijkt signaal, dan wordt een ‘escalatieoverleg’ belegd.

  • 2. Het escalatieoverleg bestaat uit de vertegenwoordigers van de convenantpartners op managementniveau die in het IKZ zitten, onderdeel casuïstiek, en het OM.

  • 3. De voorzitter van het escalatieoverleg is afkomstig van de IGZ. Partijen deelnemend aan het escalatie-overleg maken in onderling overleg afspraken over het voorzitterschap.

  • 4. De leden van het escalatieoverleg komen in de regel bijeen op de reguliere vergaderdata van de beleidsgroep TIZ. Indien hier niet op kan worden gewacht komen de leden ad hoc bijeen.

  • 5. De deelnemers aan het escalatieoverleg nemen een unaniem besluit over de afhandeling van het desbetreffende signaal.

  • 6. Indien betrokkenheid van de overige convenantpartners die geen deel uitmaken van het publiekrechtelijk samenwerkingsverband IKZ, als bedoeld in artikel 1, vierde lid, gewenst en juridisch mogelijk is bij de besluitvorming, dan worden zij hier door de voorzitter van het escalatieoverleg voor uitgenodigd.

  • 7. Indien de deelnemers aan het escalatieoverleg ook niet tot overeenstemming komen over de afhandeling van het desbetreffende signaal, dan kunnen de afzonderlijke convenantpartners hun eigen verantwoordelijkheid nemen en daarmee dus hun eigen bevoegdheden uitoefenen.

Artikel 6 Klankbordgroep kennisontwikkeling

  • 1. Er is een tijdelijke klankbordgroep ingesteld die fungeert als dagelijks aanspreekpunt voor het hoofd IKZ met betrekking tot het onderdeel kennisontwikkeling.

  • 2. De tijdelijke klankbordgroep kennisontwikkeling bestaat uit vertegenwoordigers op managementniveau van de NZa, Inspectie SZW en de IGZ.

  • 3. De voorzitter van het escalatieoverleg is tevens voorzitter van de tijdelijke klankbordgroep kennisontwikkeling.

Artikel 7 Evaluatie werkwijze escalatieoverleg en tijdelijke klankbordgroep kennisontwikkeling

  • 1. De werkwijze met betrekking tot het escalatieoverleg en de tijdelijke klankbordgroep kennisontwikkeling wordt na 1 jaar geëvalueerd. Besloten kan worden om het escalatieoverleg en de tijdelijke klankbordgroep kennisontwikkeling samen te voegen tot één overleg gremium, in de vorm van één begeleidingscommissie.

  • 2. De huidige voorzitter van het escalatieoverleg en de tijdelijke klankbordgroep kennisontwikkeling, wordt dan de voorzitter van de begeleidingscommissie en fungeert in dat geval als dagelijks aanspreekpunt voor het hoofd IKZ.

Artikel 8 Rol van de Nederlandse Zorgautoriteit (NZa)

  • 1. De NZa is beheersvervantwoordelijk voor het IKZ.

  • 2. Onder de in het eerste lid genoemde beheersverantwoordelijkheid vallen het verzorgen van fysieke zaken, zoals huisvesting, kantoorbenodigdheden, de ICT en de bijbehorende beveiliging.

  • 3. Het gaat daarbij ook om het voeren van het financieel beheer met betrekking tot het IKZ (waaronder financiele processen, verantwoording en de afwikkeling van de detacheringsvergoedingen).

Artikel 9 Verplichting convenantpartners

  • 1. De convenantpartners bewerkstelligen dat met inachtneming van de wettelijke kaders en dit Convenant, voldoende expertise en personele capaciteit ten behoeve van het IKZ ter beschikking wordt gesteld; als een partner hier naar het oordeel van het hoofd IKZ niet aan voldoet, rapporteert hij dit aan het BO TIZ.

  • 2. De convenantpartners verplichten zich over en weer om alle informatie, waaronder (bijzondere) persoonsgegevens, te verstrekken die nodig is om het in artikel 2 vermelde doel te bereiken, mits de wettelijke bepalingen hiertoe voldoende grondslagen geven, tenzij zwaarwegende belangen zich hiertegen verzetten. Voor ZN (als branchevereniging van de zorgverzekeraars) en voor de VNG (als leden- en belangenorganisatie van de Nederlandse gemeenten) geldt dat zij zich verplichten hun leden te bewegen te handelen overeenkomstig onderhavig Convenant en daaruit voortvloeiende verplichtingen.

  • 3. De convenantpartners binnen het IKZ handelen conform het vigerend informatieprotocol.

Artikel 10 Overige bepalingen

  • 1. Dit Convenant treedt in werking op 1 november 2016 en wordt voor onbepaalde tijd aangegaan.

  • 2. Uiterlijk twee jaar na de inwerkingtreding van dit Convenant vindt, op initiatief en onder leiding van de voorzitter van het BO TIZ, een evaluatie plaats van de gehele uitvoering van het Convenant.

  • 3. Dit Convenant wordt na ondertekening gepubliceerd in de Staatscourant.

  • 4. Elke convenantpartner kan zijn deelname aan dit Convenant opzeggen met inachtneming van een opzeggingstermijn van zes maanden.

  • 5. Wanneer een convenantpartner het Convenant opzegt, blijft het Convenant voor de overige convenantpartners in stand voor zover de inhoud en de strekking ervan zich daartegen niet verzetten.

Handtekeningenblad

Nederlandse Zorgautoriteit, lid Raad van Bestuur R. Jansen

Inspectie voor de Gezondheidszorg, de plv. inspecteur-generaal voor de Gezondheidszorg R. Hoogerboord

Minister van Sociale Zaken en Werkgelegenheid, namens deze, de inspecteur-generaal van de Inspectie SZW M. Kuipers

Belastingdienst/Fiscale inlichtingen en opsporingsdienst directeur J. van der Vlist

Belastingdienst/Belastingen, algemeen directeur H.R. Blokpoel

Centrum Indicatiestelling Zorg, voorzitter Raad van Bestuur D. Hoefsmit,

Zorgverzekeraars Nederland, algemeen directeur P.H. van Holst-Wormser

Vereniging Nederlandse Gemeenten, voorzitter directieraad J. Kriens

Openbaar Ministerie, hoofdofficier van Justitie van het Functioneel Parket M.J. Bloos

INFORMATIEPROTOCOL IKZ 2016

Het protocol betreft de verwerking van (bijzondere) persoonsgegevens ten behoeve van de samenwerking binnen het Informatie Knooppunt Zorgfraude, verder te noemen het IKZ.

Gelet op:

  • Het bepaalde in de Wet bescherming persoonsgegevens (Wbp) en de overige relevante wet- en regelgeving met betrekking tot het verwerken van (bijzondere) persoonsgegevens;

  • De wettelijke taken van de onderscheiden convenantpartners;

  • Het Convenant TIZ d.d. 11 maart 2015, het Convenant houdende afspraken over de samenwerking in het kader van de verbetering van de bestrijding van zorgfraude:

  • IKZ.

Overwegende dat:

  • Het doel van het IKZ is het versterken van de integriteit van de zorgsector door het voorkomen en aanpakken van onrechtmatigheden in de zorg die ten laste komen van de voor de zorg bestemde middelen. Het gaat daarbij om preventie en bestrijding van fraude, waarbij opzettelijk en doelbewust in strijd met de regels wordt gehandeld met het oog op eigen of andermans (financieel) gewin;

  • Het streven is samenwerking tussen de convenantpartners te stimuleren, te coördineren en te vergroten door het uitwisselen van informatie en het uitwisselen van kennis en inzicht;

  • Het IKZ in dit kader mede (bijzondere) persoonsgegevens in de zin van de Wet bescherming persoonsgegevens verwerkt;

  • De convenantpartners het noodzakelijk vinden dat bij de vervulling van de taken van het IKZ, de waarborgen en verplichtingen, die voortvloeien uit de Wbp (of uit andere relevante wetgeving met betrekking tot het verwerken van persoonsgegevens), worden nageleefd zodat voor betrokkenen sprake is van een zorgvuldig en transparant werkproces.

Komen het volgende overeen:

Paragraaf 1 Algemene bepalingen

Artikel 1 Definities en afkortingen

In dit protocol wordt verstaan onder:

  • a) AP: Autoriteit Persoonsgegevens;

  • b) Betrokkene: degene op wie een persoonsgegeven betrekking heeft (artikel 1 onder f Wbp);

  • c) Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen (artikel 1 onder e Wbp);

  • d) Bijzondere persoonsgegevens: persoonsgegevens zoals bedoeld in artikel 16 Wbp;

  • e) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 1, onder a, Wbp);

  • f) Centrale persoonsgegevensverwerking: geïntegreerde verwerking van persoonsgegevens door het IKZ waarbij door het IKZ in verband met haar coördinerende en ondersteunende taken een apart gezamenlijk bestand wordt gecreëerd;

  • g) BO TIZ: de vertegenwoordigers van de Convenantpartners van het convenant TIZ als bedoeld in onderdeel j, op bestuurlijk niveau;

  • h) Convenant: Convenant houdende afspraken over de samenwerking in het kader van de verbetering van de bestrijding van zorgfraude: ‘Informatie Knooppunt Zorgfraude (IKZ)’, hierna: Convenant IKZ;

  • i) Convenant TIZ: Convenant houdende afspraken over de samenwerking in het kader van de verbetering van de bestrijding van de zorgfraude;

  • j) IKZ: een publiekrechtelijk samenwerkingsverband van de onderstaande convenantpartners die deelnemen aan het samenwerkingsverband Bestuurlijk Overleg Integriteit Zorgsector (BO TIZ):

    • de Nederlandse Zorgautoriteit (NZa);

    • de Inspectie voor de Gezondheidszorg (IGZ);

    • de Directie Opsporing van de Inspectie Sociale Zaken en Werkgelegenheid (Inspectie SZW);

    • de Fiscale Inlichtingen en Opsporingsdienst (FIOD) en

    • de Belastingdienst (BD).

    Het IKZ bestaat uit een hoofd en vertegenwoordigers van de convenantpartners. Op uitnodiging van het hoofd IKZ kunnen het Centrum Indicatiestelling Zorg (CIZ), de Vereniging Nederlandse Gemeenten (VNG) en Zorgverzekeraars Nederland (ZN) deelnemen aan bepaalde activiteiten van het IKZ. De informatie-officier van het OM heeft de status van toegangsgerechtigde, zonder hiervoor Wbp verantwoordelijkheid te dragen;

  • k) Convenantpartners, tevens IKZ-lid: de organisaties als bedoeld in onderdeel g en artikel 1, tweede lid, van het Convenant IKZ;

  • l) Overige convenantpartners: de organisaties als bedoeld in artikel 1, vierde en vijfde lid van het IKZ;

  • m) Melder: Instantie die het signaal binnen het IKZ brengt;

  • n) Melding: signaal betreffende een mogelijke aantasting van de integriteit van de zorgsector;

  • o) Ontvanger: degene aan wie de persoonsgegevens worden verstrekt (artikel 1 onder h Wbp);

  • p) Regisseur: de persoon als bedoeld in artikel 11 van dit protocol;

  • q) Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 1 onder d Wbp) als bedoeld in artikel 10 van dit protocol;

  • r) Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens (artikel 1 onder n Wbp);

  • s) Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van ter beschikking stelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens (artikel 1, onder b van de Wbp);

  • t) Wbp: Wet bescherming persoonsgegevens;

  • u) Wbp-taken: de verplichtingen van de verantwoordelijke voor de persoonsgegevensverwerking door het IKZ, zoals bedoeld in de artikelen 15, 27, 33, 34, 35 en 36 Wbp.

Paragraaf 2 Inleidende bepalingen

Artikel 2 Doelstelling IKZ

  • 1. Het gezamenlijke doel van de convenantpartners is het versterken van de integriteit van de zorgsector door het voorkomen en aanpakken van onrechtmatigheden in de zorg die ten laste komen van de voor zorg bestemde middelen. Het gaat daarbij om preventie en bestrijding van fraude in de zorg waarbij doelbewust in strijd met de regels wordt gehandeld met het oog op eigen of andermans (financieel) gewin.

  • 2. Binnen de bestaande wettelijke kaders wordt binnen het IKZ informatie, waaronder (bijzondere) persoonsgegevens, gedeeld die noodzakelijk is ter verwezenlijking van bovengenoemd doel.

Artikel 3 Doelstellingen verwerking (bijzondere) persoonsgegevens door het IKZ

De convenantpartners dragen zorg voor de uitvoering van de in het Convenant genoemde taken. Om deze taken succesvol te kunnen uitvoeren is uitwisseling van (bijzondere)(persoons) gegevens noodzakelijk. Daarom worden door de convenantpartners in het IKZ voor de volgende doeleinden (bijzondere) persoonsgegevens verwerkt:

Ten behoeve het onderdeel casuïstiek:

  • c) het verrijken van signalen van een vermoeden van fraude in de zorg met openbare en gesloten bronnen, met inachtneming van een ieder zijn wettelijke bevoegdheden met het oog op afdoening in het straf-, bestuurs-, tucht- en civielrecht;

  • d) het opstellen van een rapportage aan een convenantpartner die vervolgens het verrijkte signaal afhandelt;

  • e) het verrijkte signaal doorsturen naar een of meerdere aangesloten convenantpartners;

  • f) het verrijkte signaal dat multidisciplinaire afhandeling vergt binnen het IKZ in behandeling nemen;

  • g) status van de melding monitoren (procescoördinatie).

Ten behoeve van het onderdeel kennisontwikkeling:

  • h) het opstellen van een geanonimiseerde rapportage op geaggregeerd niveau met kwantitatieve en kwalitatieve informatie over meldingen die binnenkomen bij het IKZ;

  • i) het vergroten van de kennis over fraude in de zorg bij de convenantpartners door:

    • a. het verkrijgen van inzicht in trends, ontwikkelingen en fenomenen;

    • b. advies geven over beleid, prioriteiten en aanpassingen bij (afzonderlijke) convenantpartners (effectsturing / leercirkel);

    • c. onderzoek doen op basis van vragen van de (afzonderlijke) convenantpartners.

Artikel 4 Gazo-principe (geen actie zonder overleg)

Gedurende de verwerking van (bijzondere) persoonsgegevens binnen het IKZ geldt het gazo-principe. Dit houdt in dat de ingebrachte (bijzondere) persoonsgegevens niet verwerkt mogen worden zonder overleg met de convenantpartner(s) waarvan de (bijzondere) persoonsgegevens oorspronkelijk afkomstig zijn.

Paragraaf 3 Verstrekking aan convenantpartners binnen het IKZ

Artikel 5 De herkomst van (bijzondere) persoonsgegevens

  • 1. De convenantpartners verbinden zich met betrekking tot het verstrekken van (bijzondere) persoonsgegevens aan de partners binnen het IKZ voor zover dit ingevolge wetgeving is toegelaten, tot het volgende:

    • a) De IGZ verstrekt relevante (toezicht)informatie waaronder bijzondere persoonsgegevens met inachtneming van haar medisch beroepsgeheim;

    • b) De NZa verstrekt relevante (toezicht)informatie, waaronder bijzondere persoonsgegevens;

    • c) De Belastingdienst/Belastingen en Belastingdienst/Toeslagen, verstrekken relevante fiscale informatie en informatie omtrent inkomensafhankelijke regelingen;

    • d) De Inspectie SZW, Directie Opsporing verstrekt relevante politiegegevens voor zover deze ten behoeve van de eigen politietaak is verwerkt. Hierbij geldt het regime van de Wet politiegegevens (Wpg). Hiertoe stelt de Inspectie SZW, Directie Opsporing een zogenaamd Wpg artikel 20 Besluit op;

    • e) De FIOD verstrekt relevante politiegegevens voor zover deze ten behoeve van de eigen politietaak is verwerkt. Hierbij geldt het regime van de Wpg. Hiertoe stelt de FIOD een zogenaamd Wpb artikel 20 Besluit op;

    • f) De zorgverzekeraars verstrekken via Zorgverzekeraars Nederland relevante gegevens en (bijzondere) persoonsgegevens;

    • g) Het CIZ vertrekt relevante gegevens en (bijzondere) persoonsgegevens;

    • h) Gemeenten verstrekken relevante gegevens en (bijzondere) persoonsgegevens.

  • 2. Op incidentele basis kunnen relevante (bijzondere) persoonsgegevens van andere organisaties als bedoeld in artikel 1 van het Convenant en/of van andere samenwerkingsverbanden worden ontvangen. Hierbij geldt het wettelijke regime van de desbetreffende organisatie dan wel het betreffende samenwerkingsverband.

Artikel 6 Juridische toets en randvoorwaarden

  • 1. De convenantpartners verstrekken elkaar binnen het IKZ en met inachtneming van de bestaande wettelijke kaders (bijzondere) persoonsgegevens.

  • 2. Voor de gegevensverstrekking binnen het IKZ toetst de regisseur, zijnde het hoofd IKZ, voor welke convenantpartners de (bijzondere) persoonsgegevens bestemd zijn en of daarvoor een wettelijke grondslag aanwezig is.

  • 3. Het hoofd IKZ toetst of de melding voldoet aan haar doelstelling.

  • 4. Indien de melding voldoet, wordt door het IKZ een rapportage opgesteld met daarin vermeld een voorstel voor tucht-, privaat-, bestuurs- en/of strafrechtelijke interventie. Daarbij toetst de convenantpartner(s) – waarvan de informatie in de rapportage oorspronkelijk afkomstig is – welke convenantpartners de rapportage mag ontvangen c.q. mogen ontvangen en of daarvoor een wettelijke grondslag aanwezig is.

  • 5. De ontvanger van de rapportage kan na toetsing op rechtmatigheid de melding met de aan hem toegekende wettelijke bevoegdheden buiten het IKZ verder verwerken.

Paragraaf 4 Verwerking van persoonsgegevens binnen het IKZ

Artikel 7 Regime Wbp

  • 1. Gegevensverwerking door het IKZ vindt plaats door middel van centrale gegevensverwerking.

  • 2. Op deze centrale verwerking van (bijzondere) persoonsgegevens – waaronder persoonsgegevens betreffende iemands gezondheid – door het IKZ is het regime van de Wet bescherming persoonsgegevens van toepassing.

Artikel 8 Grondslagen, doelomschrijving en verenigbaar gebruik (verdere) verwerking (bijzondere) persoonsgegevens

  • 1. Elke verwerking van (bijzondere) persoonsgegevens door het IKZ vindt plaats met inachtneming van het gestelde in de artikelen 8, sub a, sub e, en sub f, 9 en 16 tot en met 23 Wbp en de van toepassing zijnde bijzondere wet- en regelgeving.

  • 2. (Bijzondere) persoonsgegevens worden door het IKZ slechts (verder) verwerkt voor zover toereikend en ter zake dienend om de doeleinden omschreven in artikel 3 van dit protocol te bereiken.

Artikel 9 Ontvangers (bijzondere) persoonsgegevens

  • 1. (Bijzondere) persoonsgegevens kunnen door het IKZ in beginsel alleen worden verstrekt aan de convenantpartner(s).

  • 2. Op incidentele basis kan het IKZ (bijzondere) persoonsgegevens verstrekken aan andere organisaties, die niet vermeld zijn in artikel 1 van het Convenant.

  • 3. De door het IKZ ontvangen (bijzondere) persoonsgegevens mogen alleen worden verwerkt als de beoogde verwerking verenigbaar is met het doel waarvoor de (bijzondere) persoonsgegevens (oorspronkelijk) zijn verstrekt. Indien er geen sprake is van verenigbaar gebruik kunnen de (bijzondere) persoonsgegevens slechts verder worden verwerkt uit hoofde van artikel 43 Wbp, indien passend binnen de geldende wet- en regelgeving.

  • 4. De convenantpartners treffen passende maatregelen om de doelbinding uit het vorige lid na ontvangst te borgen.

Artikel 10 Gezamenlijk verantwoordelijke Wbp

Voor de zorgvuldige verwerking van (bijzondere) persoonsgegevens door het IKZ zijn de NZa, de IGZ, de Inspectie SZW, de FIOD en de BD gezamenlijk de verantwoordelijke, ex artikel 1 onder d Wbp.

Artikel 11 Bewerker en regisseur

  • 1. Het hoofd IKZ van het IKZ is aangewezen als regisseur.

  • 2. De regisseur heeft tot taak te waarborgen dat de verantwoordelijke in de zin van de Wbp op een zorgvuldige wijze uitvoering geeft aan de Wbp-taken die voortvloeien uit de centrale gegevensverwerking als bedoeld in artikel 7 van dit protocol.

  • 3. De regisseur geeft inhoudelijk invulling aan de Wbp-taken en stemt waar nodig af met de afzonderlijke partners.

  • 4. De regisseur vervult de rol van bewerker in de zin van de Wbp, dit is nader uitgewerkt in een bij dit Informatieprotocol behorende bewerkersovereenkomst.

Artikel 12 Melding persoonsgegevensverwerking

  • 1. De verwerking van (bijzondere) persoonsgegevens door het IKZ wordt door de regisseur gemeld aan de AP.

  • 2. Wanneer er sprake is van relevante wijzigingen in het Convenant of het Informatieprotocol IKZ wordt daarvan opnieuw melding gedaan bij het AP.

  • 3. Indien sprake is van een nieuwe persoonsgegevensverwerking door het IKZ waarvan nog geen melding is gemaakt, wordt hiervan melding gedaan bij het AP.

Artikel 13 Bewaartermijnen

  • 1. De persoonsgegevens, die door het IKZ worden verwerkt, worden verwijderd uiterlijk vier jaar na de datum van de laatste verwerking van gegevens die blijk geeft van de noodzaak tot het verwerken van de persoonsgegevens van betrokkene op grond van het doel als omschreven in artikel 2, eerste lid van dit protocol.

  • 2. De verwijderde persoonsgegevens worden gedurende een termijn van zes jaar bewaard ten behoeve van verwerking met het oog op de afhandeling van klachten en de verantwoording van verrichtingen en vervolgens vernietigd.

  • 3. In bijzondere gevallen en voor zover dat noodzakelijk is voor het doel als bedoeld in artikel 2, eerste lid van dit protocol kunnen persoonsgegevens die overeenkomstig het tweede lid worden bewaard, in opdracht van de regisseur en na verkregen instemming van de convenantpartner beschikbaar worden gesteld voor hernieuwde verwerking.

Artikel 14 Beveiliging

  • 1. De verantwoordelijke voor de centrale persoonsgegevensverwerking door het IKZ is verplicht om passende technische en organisatorische maatregelen te treffen ter beveiliging van persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking.

  • 2. Omtrent de passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens kunnen door het hoofd IKZ en een convenantpartner als bedoeld in artikel 1, onderdeel l nadere afspraken worden gemaakt.

Artikel 15 Geheimhouding

De medewerkers van het IKZ zijn verplicht tot geheimhouding van de in het kader van het Convenant ontvangen (bijzondere) persoonsgegevens, gegevens over het IKZ en over al hetgeen waarvan redelijkerwijs is aan te nemen dat bekendmaking en/of ander gebruik daarvan de belangen van de convenantpartner(s) zou schaden, behoudens voor zover de uitvoering van de taak – zoals omschreven in artikel 3 – met het oog waarop de gegevens zijn verkregen/ en of een wettelijke verplichting tot het ter kennis brengen daarvan noodzaakt/verplicht.

Paragraaf 5 Verwerking van (bijzondere) persoonsgegevens na IKZ rapportage

Artikel 16 Doorverstrekking (bijzondere) persoonsgegevens aan derden

Doorverstrekking door de ontvangende convenantpartner(s) van (bijzondere) persoonsgegevens aan een derde, niet zijnde een convenantpartner of het IKZ, vindt alleen plaats met instemming van de convenantpartner(s) waarvan de (bijzondere) persoonsgegevens oorspronkelijk afkomstig zijn en indien passend binnen de geldende wet- en regelgeving.

Artikel 17 Verwerking of doorverstrekking (bijzondere) persoonsgegevens voor een ander doel

Verwerking of doorverstrekking door de ontvangende convenantpartner(s) van (bijzondere) persoonsgegevens voor een ander doel dan het doel waarvoor ze oorspronkelijk zijn verstrekt, vindt alleen plaats met instemming van de convenantpartner(s) waarvan de (bijzondere) persoonsgegevens oorspronkelijk afkomstig zijn en met inachtneming van de Wbp.

Paragraaf 6 De betrokkene

Artikel 18 Informatieplicht en rechten betrokkene

  • 1. De regisseur is als gevolg van het bepaalde in Hoofdstuk 5 van de Wbp verplicht om de betrokkene op eigen initiatief op de hoogte te stellen van de persoonsgegevensverwerking (informatieplicht), tenzij er sprake is van een situatie als bedoeld in artikel 43 Wbp.

  • 2. De betrokkene richt een verzoek tot uitoefening van diens rechten ten aanzien van de op hem betrekking hebbende gegevens als gevolg van hoofdstuk 6 van de Wbp aan de regisseur.

  • 3. De verantwoordelijke beslist binnen vier weken overeenkomstig het bepaalde in Hoofdstuk 6 van de Wbp op het verzoek. Bij de behandeling van verzoeken om inzage wordt rekening gehouden met de belangen van de deelnemende convenantpartner(s), die de persoonsgegevens heeft aangeleverd, en de belangen van betrokkene. Wanneer sprake is van één van de situaties zoals genoemd in artikel 43 Wbp kan het verzoek worden afgewezen. Op de beslissing is Hoofdstuk 8 van de Wbp van toepassing.

Paragraaf 7 Slotbepalingen

Artikel 19 Inwerkingtreding

Dit Informatieprotocol IKZ treedt in werking met ingang van 1 november 2016.

Artikel 20 Citeertitel

Dit protocol wordt aangehaald als: Informatieprotocol IKZ 2016 en wordt als bijlage gevoegd bij het Convenant en maakt daarvan onderdeel uit.

Artikel 21 Publicatie en wijzigingen

Het Convenant en bijbehorend informatieprotocol wordt gepubliceerd in de Staatscourant.

Eventuele wijzigingen van het informatieprotocol door wetswijzigingen zullen ook worden gepubliceerd in de Staatscourant.

TOELICHTING INFORMATIEPROTOCOL IKZ 2016

1. Algemeen

1.1 Doel van het Informatieprotocol IKZ 2016

Het doel van het Informatieprotocol IKZ 2016 is drieledig. Het Informatieprotocol formaliseert afspraken tussen de convenantpartners over de wijze waarop informatie met elkaar wordt gedeeld.

Het gaat hierbij grotendeels over de verwerking van persoonsgegevens, waaronder strafrechtelijke gegevens en gegevens betreffende iemands gezondheid. Het protocol draagt bij aan een zorgvuldige verwerking van persoonsgegevens binnen het IKZ. Dat wil zeggen dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Het Informatieprotocol draagt bij aan een transparant IKZ, transparantie richting de betrokkene, wiens persoonsgegevens worden verwerkt, en naar de buitenwereld.

1.2 Aard en reikwijdte van het Informatieprotocol IKZ 2016

In het Convenant IKZ 2016 is opgenomen dat voor een effectieve en efficiënte samenwerking het van belang is dat de convenantpartners zich committeren aan het IKZ. Met inachtneming van de wet- en regelgeving stellen zij voldoende informatie, expertise en personele capaciteit ter beschikking aan het IKZ. Ter uitvoering van deze taken vindt binnen het IKZ centrale gegevensverwerking plaats. Het protocol richt zich in eerste instantie uitdrukkelijk op de verwerking van (bijzondere) persoonsgegevens door het IKZ.

Het Informatieprotocol bevat daarom bepalingen over de doelstellingen voor verwerking van persoonsgegevens door het IKZ, toepasselijke bepalingen uit de Wbp in relatie tot verwerking van persoonsgegevens door het IKZ, bepalingen over het verstrekken van persoonsgegevens door de convenantpartners aan het IKZ en bepalingen over het verstrekken van persoonsgegevens door het IKZ aan de convenantpartners.

1.3 Juridisch kader

Het gaat bij informatie-uitwisseling binnen het IKZ veelal om het uitwisselen van (bijzondere) persoonsgegevens. Het ontvangen, (verder) verwerken en verstrekken van persoonsgegevens tussen bestuursorganen, al dan niet via een samenwerkingsverband, is onderworpen aan een aantal regels. Deze regels vloeien voort uit internationale verdragen en de Grondwet en hebben hun uitwerking gevonden in een breed scala aan (sectorale) wetten, lagere wetgeving en aanwijzingen. Dit geheel aan wet- en regelgeving vormt het juridische kader waarbinnen de uitwisseling van persoonsgegevens kan plaatsvinden. Voor de publiekrechtelijke samenwerking van het IKZ zijn de Wbp en afzonderlijke wettelijke regimes van de convenantpartners relevant. Deze wetten bepalen het kader waarbinnen kan worden samengewerkt.

2. Artikelsgewijs

Paragraaf 2 Inleidende bepalingen

Artikel 2 Doelstelling IKZ

Het IKZ is tot stand gekomen vanuit de overtuiging van de convenantpartners dat door samenwerking een gezamenlijk belang wordt gediend, namelijk de versterking van de integriteit van de zorgsector, een adequaat toezicht en een doeltreffende civielrechtelijke, bestuursrechtelijke, tuchtrechtelijke en strafrechtelijke handhaving in die sector.

De samenwerking in het IKZ levert een essentiële bijdrage aan dit belang en daarmee tevens aan een goede invulling van de wettelijke taken van de afzonderlijke convenantpartners. Het gezamenlijke doel van de convenantpartners is het versterken van de integriteit van de zorgsector door de onderlinge samenwerking tussen de partners te stimuleren, te coördineren en te vergroten door het uitwisselen van informatie en het delen van kennis, inzicht en vaardigheden (artikel 2 en 5 Convenant).

Uitgangspunt is dat de convenantpartners vanuit hun eigen wettelijke taakstellingen en binnen de daarvoor geldende wettelijke kaders met elkaar samenwerken. Dit betekent dat de concrete invulling van de samenwerking c.q. taken in beginsel geen vaste vorm kent, maar telkens afhankelijk is van de wettelijke mogelijkheden in het concrete geval. Het wettelijke kader is leidend ter bepaling welke convenantpartners betrokken zijn bij structurele informatie-uitwisseling of andere vorm van samenwerking in het IKZ.

Artikel 3 Doelstellingen verwerking (bijzondere) persoonsgegevens door het IKZ

Deze taken van het IKZ zijn opgenomen in het Convenant. Artikel 3 van dit informatieprotocol bevat een opsomming van deze taken en beschrijft vervolgens voor welke doelen, gerelateerd aan deze taken, een centrale verwerking van persoonsgegevens binnen het IKZ plaatsvindt. Deze doelen zijn conform de eisen van de Wbp welbepaald en uitdrukkelijk omschreven. De rechtvaardiging van de doelen vloeit voort uit het zwaarwegend algemeen belang dat noodzaakt tot samenwerking en daarmee de noodzaak tot een centrale gegevensverwerking.

Artikel 4 Gazo-principe (geen actie zonder overleg)

Een belangrijke voorwaarde voor de samenwerking in het IKZ betreft het gazo-principe: geen actie zonder overleg. De convenantpartners hebben gezamenlijk afgesproken dat ontvangers van persoonsgegevens geen actie met deze gegevens ondernemen (d.w.z. niet verwerken) voordat hierover overleg is geweest met de partners die gegevens hebben verstrekt. Convenantpartners moeten erop kunnen vertrouwen dat geen enkele ontvanger van de persoonsgegevens ongevraagd gebruik maakt van persoonsgegevens die zijn ingebracht. Dit ongevraagde gebruik kan namelijk leiden tot onaanvaardbare risico’s waaronder publiciteitsrisico’s, risico’s voor een bestuursrechtelijk of strafrechtelijk onderzoek dan wel risico’s voor de staatsveiligheid. Het gazo-principe is daarom onverkort van toepassing op alle activiteiten die in het kader van de samenwerking in het IKZ plaatsvinden.

Paragraaf 3 Verstrekking aan convenantpartners binnen het IKZ

Artikel 5 De herkomst van (bijzondere) persoonsgegevens

De beschikbaarheid van (bijzondere) persoonsgegevens is essentieel voor het succes dat de convenantpartners met de samenwerking beogen. In beginsel worden binnen de samenwerking in het IKZ alleen persoonsgegevens verwerkt die afkomstig zijn van de convenantpartners. Iedere convenantpartner heeft een eigen wettelijk kader wat gaat over het verstrekken van persoonsgegevens. Omdat het IKZ als samenwerkingsverband geen juridische status heeft wordt niet aan het IKZ verstrekt maar aan de afzonderlijke partners die deelnemen aan het IKZ.

Artikel 6 Juridische toets en randvoorwaarden

De convenantpartners verstrekken elkaar (bijzondere) persoonsgegevens. Bij het verstrekken van de melding met daarin (bijzondere) persoonsgegevens toetst de desbetreffende convenantpartner of hij op grond van de voor hem toepasselijke wet- en regelgeving (bijzondere) persoonsgegevens aan een of meer andere partners mag verstrekken. Ook ziet de desbetreffende convenantpartner er op toe dat geen bedrijfsgevoelige gegevens worden verstrekt. Dit is de zogenaamde eerste toets.

Bij elke verstrekking wordt aangegeven voor welk doel of taak van het IKZ de (bijzondere) persoonsgegevens worden verstrekt. Het hoofd IKZ toetst vervolgens of de melding voldoet aan de doelstellingen van de samenwerking in het IKZ. Dit is de zogenaamde tweede toets.

De betreffende melding wordt vervolgens beoordeeld door de IKZ-leden waarna door de IKZ-leden wordt nagegaan in hoeverre er relevante informatie aanwezig is in de systemen van de IKZ-leden. Hierbij worden geen bevoegdheden toegepast uit het de Algemene wet bestuursrecht, de Algemene Wet inzake Rijksbelastingen, de Wet op de economische delicten en/of het Wetboek van Strafvordering. Het raadplegen van gesloten bronnen door IKZ-leden dient met zuiverheid van oogmerk te geschieden. Tevens wordt beoordeeld in hoeverre er een grondslag is om deze informatie te delen met de betreffende IKZ-leden. Dit is de zogenaamde derde toets.

Vervolgens wordt door de IKZ-leden, voor zover zij op grond van wettelijke bepalingen (bijzondere) persoonsgegevens mogen verwerken, gezamenlijk een rapportage opgesteld met daarin vermeld een voorstel voor tucht-, privaat-, bestuurs- en/of strafrechtelijke interventie. Tenslotte toetst het IKZ-lid van het IKZ c.q. leden – waarvan de informatie in de rapportage oorspronkelijk afkomstig is – welke IKZ-leden van het IKZ de rapportage mag c.q. mogen ontvangen en of daarvoor een wettelijke grondslag aanwezig is. Dit is de zogenaamde vierde toets.

De partijen hanteren als uitgangspunt dat zij in beginsel worden voorzien van informatie indien daarvoor een wettelijke grondslag aanwezig is. Het verstrekken van informatie blijft achterwege indien dit om andere reden (bijvoorbeeld bedrijfsgevoelige gegevens) op ernstige bezwaren stuit. Er dient ruimte te zijn voor een eigen belangenafweging van de desbetreffende partners om al dan niet tot het verstrekken van deze gegevens over te gaan.

Paragraaf 4 Verwerking van persoonsgegevens binnen het IKZ

Artikel 7 Regime Wbp

Op de verwerking van persoonsgegevens door het IKZ is het regime van de Wbp van toepassing. Bij de verwerking van persoonsgegevens door het IKZ is sprake van geheel of gedeeltelijk geautomatiseerde persoonsgegevensverwerking of van een niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Het feit dat de Wbp van toepassing is brengt verschillende verplichtingen met zich mee.

In verband met het doel van het IKZ is het noodzakelijk om de binnen het IKZ verzamelde persoonsgegevens op te slaan in de daarvoor bestemde geautomatiseerde informatiesystemen. Het IKZ stelt een lijst op van de informatiesystemen, applicaties en programma’s die worden gebruikt en deze lijst wordt vastgesteld door de regisseur als bedoeld in artikel 11 van dit Informatieprotocol.

Met deze gegevensbestanden, informatiesystemen, programma’s en applicaties worden verwerkingen gevoerd. Deze verwerkingen vallen onder het regime van de Wbp en voor zover van toepassing onder de sectorale wet- en regelgeving. Dit Informatieprotocol is van toepassing op alle door het IKZ gevoerde informatiesystemen en applicaties en de verantwoordelijken zijn gezamenlijk verantwoordelijk voor deze systemen.

De werkprocessen van de convenantpartners dienen voor wat betreft de beveiliging aan te sluiten op de beveiligingsstandaard van het IKZ. Dit betekent dat de verantwoordelijken ook bij de levering van gegevens dezelfde beveiligingswaarborgen in acht dienen te nemen.

De Wbp is van toepassing op het IKZ en op het bijbehorende Informatieprotocol en daarmee dus ook op eventueel ondersteunende informatiesystemen.

Van de volgende categorieën betrokkenen worden persoonsgegevens verwerkt:

Personen waarover een melding bestaat zoals beschreven bij artikel 1, onderdeel l, van dit protocol. Het gaat hier om de natuurlijke- en rechtspersonen (relevante betrokkenen) die onderwerp zijn van de melding.

Over deze personen worden geen andere persoonsgegevens verwerkt dan:

  • a) volledige personalia, titulatuur, aliassen;

  • b) adresgegevens, gegevens uit de Basisregistratie personen en het burgerservicenummer voor zover toegestaan o.g.v. de Wet gebruik burgerservicenummer in de zorg en Wet algemene bepalingen burgerservicenummer;

  • c) telecommunicatie- en internetgegevens en soortgelijke voor communicatie benodigde gegevens;

  • d) gegevens betreffende de verblijfsstatus (mede omvattende gegevens omtrent visum of garantstelling);

  • e) gegevens omtrent woonsituatie;

  • f) voertuiggegevens, resp. gegevens uit de Basisregistratie voertuigen;

  • g) financiële gegevens (mede omvattende hypothecaire gegevens en gegevens van eigendom of aan- en verkoop van onroerend goed, zogenaamd zwart geld of schulden dan wel ‘underground banking’);

  • h) kadastrale gegevens (mede omvattende buitenlands onroerend goed), resp. gegevens uit de Basisregistratie gebouwen;

  • i) bedrijfsgegevens (mede omvattende gegevens ondernemingsvormen en -structuren en gegevens handelsregister);

  • j) fiscale gegevens (mede omvattende gemeentelijke belastinggegevens en gegevens rijksbelastingdienst);

  • k) inkomensgegevens;

  • l) politiegegevens als bedoeld in de Wet politiegegevens;

  • m) gegevens betreffende relaties en de aard daarvan (mede omvattende gegevens van dienstverleners);

  • n) gegevens betreffende vergunning- of subsidieaanvragen (mede omvattende gegevens van verzets-, bezwaar- en beroepsprocedures);

  • o) toezicht- en handhavingsgegevens;

  • p) gegevens omtrent privaatrechtelijke en bestuurlijke maatregelen of voornemens daartoe (mede omvattende gegevens omtrent conservatoir beslag);

  • q) gegevens betreffende de gezondheid zoals omschreven in artikel 16 Wbp.

Van de volgende categorie van betrokkenen:

(Opsporings-)ambtenaren, of personen werkzaam bij het IKZ of ten dienste van een convenantpartner, voor zover dat van belang is voor het gebruik van de gegevens, alsmede voor de verantwoording van de verrichtingen naar aanleiding van de opgenomen gegevens; worden geen andere persoonsgegevens verwerkt dan:

  • a) naam;

  • b) dienstnummer, organisatieaanduiding, rang of functie binnen het IKZ;

  • c) autorisatieniveau;

  • d) wijze waarop deze (opsporings-)ambtenaar of functionaris is gescreend.

Artikel 8 Grondslagen, doelomschrijving en verenigbaar gebruik (verdere) verwerking (bijzondere) persoonsgegevens
Grondslag verwerking persoonsgegevens

Het samenbrengen van persoonsgegevens van de convenantpartners bij het IKZ waardoor een gegevensset ontstaat, is een verwerking van persoonsgegevens. Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens is een verwerking. Dus ook verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Een verwerking (waaronder verstrekking) van persoonsgegevens moet gebaseerd kunnen worden op één van de zes in artikel 8 Wbp genoemde grondslagen. De verwerkingen door het IKZ zullen veelal gebaseerd zijn op artikel 8 sub a Wbp ofwel op artikel 8 sub e en f Wbp.

Voor verstrekking van het IKZ aan convenantpartners, voor zover bestuursorgaan zijn, geldt artikel 8 sub e Wbp: persoonsgegevens mogen slechts worden verwerkt indien de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan of door het bestuursorgaan waaraan de gegevens worden verstrekt.

De verwerking (inclusief de verstrekkingen aan de convenantpartners) van de persoonsgegevens door het IKZ dient een zwaarwegend belang en vindt plaats ter ondersteuning van de reguliere werkzaamheden en/of taken van de convenantpartners. Zonder de persoonsgegevensuitwisseling binnen het IKZ is een geïntegreerde, effectieve en efficiënte aanpak van het versterken van de integriteit van de zorgsector niet mogelijk.

Het noodzakelijkheidscriterium in artikel 8 Wbp houdt in dat voldaan moet zijn aan de beginselen van proportionaliteit en subsidiariteit. Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van de betrokkene niet onevenredig mag zijn in verhouding tot het te dienen doel. De persoonsgegevens dienen met het oog op dat doel toereikend, ter zake dienend en niet bovenmatig te zijn. Het subsidiariteitsbeginsel houdt in dat het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor betrokkene minder ingrijpende wijze, kan worden bereikt.

Dat wil zeggen dat er geen onevenredige inbreuken mogen worden gemaakt op de persoonlijke levenssfeer van betrokkenen en dat het doel wordt nagestreefd met de minst bezwarende maatregelen. Binnen het samenwerkingsverband van het IKZ wordt door de IKZ-leden bij de structurele informatie-uitwisseling, onder meer invulling gegeven aan het noodzakelijkheidscriterium door telkens na te gaan voor wie welke persoonsgegevens daadwerkelijk relevant zouden kunnen zijn. Indien blijkt dat een convenantpartner geen relevante betrokkenheid (meer) heeft wordt niet (langer) deelgenomen aan de betreffende verwerkingshandelingen. Bij de toepassing van artikel 8 Wbp moet ook artikel 9 lid 4 Wbp betrokken worden. Daarin is bepaald dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Hiermee wordt buiten twijfel gesteld dat een wettelijke verplichting tot geheimhouding niet terzijde kan worden geschoven door artikel 8 Wbp. Hierbij wordt in het bijzonder ook gewezen op artikel 67 Wet marktordening gezondheidszorg waarin een geheimhoudingsplicht is opgenomen die in acht genomen moet worden.

Grondslag verwerking bijzondere persoonsgegevens

Gelet op de taakstelling van het IKZ worden door het IKZ bijzondere persoonsgegevens verwerkt, waaronder in ieder geval strafrechtelijke persoonsgegevens en persoonsgegevens betreffende iemands gezondheid. Voor het verwerken van deze persoonsgegevens geldt in beginsel een verbod (artikel 16 Wbp). Er staan echter specifieke en algemene uitzonderingen op dit verwerkingsverbod in de wet waaronder artikel 22 en 23 Wbp). Een uitzondering op het verbod om strafrechtelijke persoonsgegevens te verwerken geldt voor persoonsgegevens die een verantwoordelijke heeft verkregen krachtens de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevens of door organen die krachtens de wet zijn belast met de toepassing van het strafrecht (art. 22 Wbp). Voor het IKZ hebben de directeur van de FIOD en de directeur Opsporing van de Inspectie SZW een beslissing ex artikel 20 Wet politiegegevens genomen om politiegegevens te verstrekken aan het IKZ. Die persoonsgegevens zijn daarmee door het IKZ verkregen krachtens de Wet politiegegevens. Dit betekent dat politiegegevens die door de FIOD en ISZW DO aan het IKZ worden verstrekt, op rechtmatige wijze in de centrale persoonsgegevensverwerking ten behoeve van de samenwerking in het IKZ kunnen worden verwerkt. Bij de wijziging van de Wbp in 2012 is een uitzondering opgenomen voor verwerkingen van strafrechtelijke gegevens door en ten behoeve van publiekrechtelijke samenwerkingsverbanden (art. 22, zesde lid, Wbp). Het IKZ kan worden geduid als een dergelijk publiekrechtelijk samenwerkingsverband. Gegevens afkomstig van de toezichthouders, die betrekking hebben op overtredingen die zowel bestuursrechtelijk als strafrechtelijk kunnen worden afgedaan, kunnen op basis van deze uitzondering door het IKZ worden verwerkt. Onder het begrip gezondheidsgegevens in de zin van artikel 16 Wbp vallen niet alleen gegevens waarop het medisch beroepsgeheim rust (zoals de aard, oorzaak en de behandeling van de ziekte) maar alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen. In artikel 22 vijfde lid Wbp staan voor het IKZ relevante uitzonderingen op het verbod om persoonsgegevens betreffende iemands gezondheid te verwerken. Om in andere gevallen dergelijke persoonsgegevens betreffende iemands gezondheid te mogen verwerken (hieronder begrepen uitwisselen) dient op grond van artikel 23 lid 1 sub f Wbp een ontheffing te worden verleend, tenzij dit bij wet bepaald is en of betrokkene uitdrukkelijk toestemming heeft gegeven. Benadrukt wordt dat het IKZ te allen tijde zorg draagt voor een legitieme verwerking van de strafrechtelijke gegevens en gegevens omtrent de gezondheid.

Doelbinding

De persoonsgegevens die afkomstig zijn van de convenantpartners worden door het IKZ verder verwerkt. Hierbij moet zijn voldaan aan het vereiste van artikel 9 Wbp: persoonsgegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met de doelen waarvoor ze zijn verkregen. Zie ook de toelichting bij artikel 17 van dit protocol.

Artikel 9 Ontvangers (bijzondere) persoonsgegevens

De ontvangers van persoonsgegevens die door het IKZ zijn verwerkt zijn in beginsel alleen de convenantpartners. In incidentele gevallen kan het IKZ ook persoonsgegevens verstrekken aan derden. De systematiek van de Wbp brengt mee dat het doelbindingsvereiste van artikel 9 Wbp (wederom) op deze verstrekking van toepassing is. Dit houdt in dat alleen ten behoeve van integriteitskwesties die de zorgsector raken informatie aan convenantpartners kan worden verstrekt. Dit toetst het IKZ. Bovendien moeten de convenantpartners kunnen borgen dat de verkregen persoonsgegevens in hun organisatie daadwerkelijk alleen maar voor dit IKZ-doel worden verwerkt.

De convenantpartners treffen passende maatregelen om deze doelbinding te borgen. Er wordt in ieder geval bij elke ontvangende organisatie een functionaris aangewezen die verantwoordelijk is voor het beheer van deze persoonsgegevens.

Verstrekking van gegevens aan derden

Het IKZ houdt in een gegevensbestand bij aan welke derden – een partij niet zijnde een Convenantpartij – gegevens worden door verstrekt. Daarbij wordt vermeld de noodzaak van de verstrekking alsmede het tijdstip van de verstrekking. De ontvangende partij wordt expliciet gewezen op de voorwaarden die gelden bij ontvangst. Met name de voorwaarden die uit dit protocol voortvloeien en het van toepassing zijnde wettelijke kader zoals artikel 67 Wet marktordening gezondheidszorg.

Artikel 10 Gezamenlijk verantwoordelijke Wbp

De NZa is systeemverantwoordelijk voor de verwerking van persoonsgegevens in de door het IKZ gebruikte geautomatiseerde informatiesystemen. De NZa stelt de doeleinden van deze systemen vast en bepaalt op welke wijze van deze systemen gebruik kan worden gemaakt. De systeemverantwoordelijkheid ziet op de inrichting van het systeem voor verwerking van de persoonsgegevens en op de wijze waarop persoonsgegevens binnen deze systemen tussen de convenantpartners worden uitgewisseld. De verantwoordelijken verlenen het IKZ ten behoeve van het verrichten van technische werkzaamheden toegang tot de persoonsgegevens die onder hun verantwoordelijkheid worden verwerkt. Met systeemverantwoordelijkheid wordt bedoeld de verantwoordelijkheid op het terrein van informatie- en communicatietechnologie (ICT), huisvesting en beveiliging.

Naast de systeemverantwoordelijkheid hebben de gezamenlijke convenantpartners ieder een eigen deelverantwoordelijkheid voor de eigen gegevensverwerkingen in de afzonderlijke compartimenten van de informatiesystemen. Het gaat dan om persoonsgegevens die door de afzonderlijke convenantpartners in deze systemen worden ingevoerd.

Alle convenantpartners zijn er zelf voor verantwoordelijk dat de gegevensuitwisseling binnen het IKZ noodzakelijk is ten behoeve van de uitoefening van hun taak en in het verlengde liggend van hun taak en zijn derhalve zelfstandig verantwoordelijk voor de juistheid en volledigheid van de aangeleverde gegevens.

De regisseur is bewerker in de zin van de Wbp. Het IKZ verwerkt de persoonsgegevens onder verantwoordelijkheid van de convenantpartners in de betreffende informatiesystemen en verstrekt deze aan de convenantpartners.

Artikel 11 Bewerker en regisseur

Het hoofd IKZ is aangewezen als regisseur. De regisseur heeft tot taak te waarborgen dat de gezamenlijke verantwoordelijken op een zorgvuldige wijze uitvoering geven aan de taken die voor hen uit de Wbp voortvloeien. De gezamenlijke verantwoordelijken kunnen overeenkomen dat bepaalde taken die voor hen uit de Wbp voortvloeien, onder hun verantwoordelijkheid door de regisseur worden uitgevoerd. Het hoofd IKZ vervult de rol van bewerker in de zin van de Wbp, dit is nader uitgewerkt in een bij dit Informatieprotocol behorende bewerkersovereenkomst.

Artikel 12 Melding persoonsgegevensverwerking

In beginsel dienen op grond van de Wbp alle geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens door een verantwoordelijke te worden gemeld bij de AP. De melding heeft tot doel de belangen van de deelnemende partijen aan het IKZ enerzijds en die van de betrokkene anderzijds op een gestructureerde en hiermee controleerbare wijze af te wegen. Dit komt verder tot uitdrukking in de transparantie van de melding van de persoonsgegevensverwerking bij de AP.

Aan de meldingsplicht van de Wbp wordt voldaan door de centrale persoonsgegevensverwerking door het IKZ te melden bij AP. De gegevens van de melding worden opgenomen in het openbare register van de gegevensverwerking van AP.

Artikel 13 Bewaartermijnen
Onderbouwing termijnen

Persoonsgegevens die worden verwerkt worden niet langer bewaard dan noodzakelijk is voor het doel waarvoor ze worden verwerkt. Bij met name strafrechtelijke procedures is sprake van lange doorlooptijden. Gedurende deze doorlooptijden wenst het IKZ te beschikken over de (bijzondere) persoonsgegevens die aan deze procedure ten grondslag liggen. Derhalve is gekozen voor de in dit artikel vermelde termijnen.

Actief gebruik

De persoonsgegevens van de persoon of personen worden verwerkt in de vastgestelde gegevensbestanden met het oog op de uitvoering van de in het Convenant vastgelegde doelen van de samenwerking in het IKZ.

Zolang een betrokkene als bedoeld in artikel 1, onderdeel b in bespreking is, er acties zijn afgesproken die bewaakt worden door middel van termijnen, blijven de betreffende persoonsgegevens verwerkt in de ‘actieve omgeving’.

Archivering

De persoonsgegevens in de vastgestelde gegevensbestanden worden verwijderd uit de ‘actieve omgeving’ wanneer er vier jaar na de laatste verwerking geen nieuwe persoonsgegevens van een betrokkene zijn verwerkt. Daartoe worden alle informatiesystemen, applicaties of programma’s periodiek gecontroleerd. Deze verwijderde gegevens worden gedurende zes jaar in de ‘archief omgeving’ gearchiveerd en zijn in principe slechts beschikbaar voor het afhandelen van klachten en de (rechtens gevraagde) verantwoording van verrichtingen.

Onverminderd het hiervoor bepaalde worden persoonsgegevens eveneens verwijderd uit de ‘actieve omgeving’ als het IKZ bekend wordt met het feit dat een actie het gewenste resultaat heeft gehad; de convenantpartners informeren hiertoe het IKZ over de resultaten van de uitgevoerde interventieadviezen.

Hernieuwd gebruik archiefgegevens

Gearchiveerde gegevens zijn wederom raadpleegbaar als er nieuwe persoonsgegevens van betrokkene worden verwerkt in de vorm van nieuwe signalen over betrokkene, afkomstig van de convenantpartners. Deze raadpleging vindt plaats strikt binnen de ‘archiefomgeving’ door een beperkt aantal hiertoe door de regisseur geautoriseerde medewerkers van het IKZ.

Indien geraadpleegde gearchiveerde gegevens relevant lijken voor hernieuwd gebruik, kunnen gearchiveerde persoonsgegevens in opdracht van de regisseur en na verkregen instemming van de verstrekkende Convenantpartner hernieuwd worden gebruikt en worden overgebracht naar de ‘actieve omgeving’.

Vernietiging archiefgegevens

Gearchiveerde gegevens worden 6 jaar na archivering vernietigd.

Van de vernietiging wordt afgezien voor zover de waarde van de archiefbescheiden als bestanddeel van het cultureel erfgoed of voor historisch onderzoek zich daartegen verzet. De betreffende gegevens worden geselecteerd en gedigitaliseerd en ondergebracht in een digitaal archief. Daarbij worden met toepassing van artikel 15 van de Archiefwet 1995 beperkingen aan de openbaarheid gesteld.

Indien geanonimiseerd kunnen persoonsgegevens, na afloop van de in het eerste lid bedoelde termijn, verder bewaard worden voor statistische en wetenschappelijke doeleinden. De beslissing hiertoe wordt vóór de afloop van de in het eerste lid bedoelde termijn door de convenantpartners, in overleg met de oorspronkelijk verstrekkende convenantpartner(s), genomen.

Artikel 14 Beveiliging

Artikel 13 Wbp verplicht de verantwoordelijke tot het nemen van passende technische en organisatorische maatregelen tegen verlies of enige vorm van onrechtmatige verwerking van persoonsgegevens.

De mate van beveiliging van persoonsgegevens die noodzakelijk is, wordt voornamelijk bepaald door de aanwezige risico’s op onzorgvuldig en onbevoegd gebruik van deze gegevens. In de Wbp wordt een beschermingsniveau dat rekening houdt met deze risico’s, de aard van de te beschermen persoonsgegevens, de stand van de techniek en de kosten van tenuitvoerlegging van beveiligings-maatregelen, een ‘passend’ beveiligingsniveau genoemd.

De persoonsgegevens die fysiek bij het IKZ aanwezig zijn, moeten worden beveiligd door logische en fysieke maatregelen in en rondom de informatie zoals toegangscontrole, vastlegging van gegevensgebruik en back-up van gegevens. Veilig omgaan met persoonsgegevens betekent ook dat gegevens veilig moeten worden vernietigd. Organisatorische maatregelen zijn maatregelen voor de inrichting van de organisatie en deling van verantwoordelijkheden en bevoegdheden, instructies, en calamiteitenplannen.

Het IKZ geeft hier onder andere invulling aan door de volgende maatregelen:

  • het hanteren van een strikt autorisatiesysteem;

  • toepassing van het beveiligingsbeleid van de NZa;

  • screening van de personen die (bijzondere) persoonsgevens verwerken;

  • het gebruiken van beveiligde communicatietools;

  • het toepassen van de meldplicht inzake datalekken;

  • het periodiek door een onafhankelijke auditor laten uitvoeren van audits2 waarbij onder meer wordt toegezien op autorisaties, naleving informatieplicht, bewaartermijnen en vernietiging van gegevens;

  • de registratie van meldingen, ontvangst en verstrekking van (bijzondere) persoonsgegevens.

Artikel 15 Geheimhouding

Voor zover de convenantpartners niet al verplicht zijn tot geheimhouding van de ontvangen persoonsgegevens, leggen zij aan medewerkers die inzage hebben in of – in overeenstemming met het bepaalde in dit Informatieprotocol – op een andere wijze persoonsgegevens verkrijgen uit het IKZ, een plicht tot geheimhouding op. Deze plicht strekt tot geheimhouding van de persoonsgegevens waarvan de medewerkers kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak als medewerker van het IKZ de noodzaak tot mededeling voortvloeit. Bovendien gelden specifieke wettelijke bepalingen zoals artikel 67 Wet marktordening gezondheidszorg onverkort.

Paragraaf 5 Verwerking van (bijzondere) persoonsgegevens na IKZ rapportage

Artikel 16 Doorverstrekking (bijzondere) persoonsgegevens aan derden

Persoonsgegevens die door een convenantpartner aan het IKZ zijn verstrekt, kunnen door een andere convenantpartner van het desbetreffende IKZ of door het IKZ zelf aan een derde worden doorverstrekt, doch alleen indien de partner die de gegevens aan het IKZ heeft verstrekt, daarvoor toestemming heeft gegeven en de doorverstrekking noodzakelijk is voor een goede vervulling van de taak van de doorverstrekkende partner dan wel van die derde en niet in strijd met wet- of regelgeving.

De derden worden gewezen op de informatieplicht jegens betrokkene ingevolge art 34 van de Wbp.

Artikel 17 Verwerking of doorverstrekking (bijzondere) persoonsgegevens voor een ander doel

De Wbp biedt de mogelijkheid om in bijzondere gevallen af te wijken van het beginsel van doelbinding. Een uitzondering op de doelbinding conform artikel 43 Wbp mogelijk wanneer dit noodzakelijk is in het belang van:

  • a) de veiligheid van de staat;

  • b) de voorkoming, opsporing en vervolging van strafbare feiten;

  • c) gewichtige financiële en economische belangen van de staat en andere openbare lichamen;

  • d) het toezicht op naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen bedoeld onder b en c; of

  • e) de bescherming van betrokkene of de rechten en vrijheden van anderen.

Indien een convenantpartner van oordeel is dat ten behoeve van de uitvoering van zijn taak verwerking of doorverstrekking van de persoonsgegevens voor een ander doel, dan waarvoor de persoonsgegevens zijn verstrekt, noodzakelijk is, en indien is voldaan aan bovengenoemd wettelijk kader, is instemming nodig van de convenantpartner(s) waarvan de persoonsgegevens oorspronkelijk afkomstig zijn.

Artikel 17 borgt dat persoonsgegevens alleen kunnen worden verwerkt voor doeleinden waarvoor de verstrekker impliciet of expliciet heeft ingestemd.

Paragraaf 6 De betrokkene

Artikel 18 Informatieplicht en rechten betrokkene

Aan de persoon of personen op wie het interventieadvies als bedoeld in artikel 6.4 betrekking heeft worden ingevolge artikel 34 van de Wbp de identiteit van de convenantpartners en de doeleinden van de verwerking meegedeeld en nadere informatie verstrekt, voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij zijn verkregen of het gebruik dat er van wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

Indien tot interventie wordt besloten, vindt de mededeling/verstrekking plaats tegelijk met de feitelijke uitvoering van de interventie.

Indien wordt besloten het onderzoek aan te houden of van een interventie af te zien, vindt de mededeling/verstrekking plaats binnen een termijn van vier weken. Deze mededeling/verstrekking kan, gelet op artikel 43 Wbp, op een later moment plaatsvinden, voor zover dit noodzakelijk is in het belang van:

  • a) de veiligheid van de staat;

  • b) de voorkoming, opsporing en vervolging van strafbare feiten;

  • c) gewichtige economische en financiële belangen van de staat en andere openbare lichamen;

  • d) het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of

  • e) de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

De bekendheid van betrokkenen over de verwerking van zijn of haar persoonsgegevens in verband met bijvoorbeeld (de voorbereiding van) concrete toezichtactiviteiten of opsporingsactiviteiten, kan immers tot ongewenste neveneffecten leiden. De betrokkene wordt in deze gevallen achteraf geïnformeerd wanneer geen van de belangen als bedoeld in artikel 43 Wbp (meer) in het geding zijn. Veelal zal het informeren door het IKZ dan ook achteraf plaats vinden.

Aan anderen ten aanzien van wie persoonsgegevens zijn verwerkt, vindt geen mededeling/verstrekking plaats, omdat deze een onevenredige inspanning als bedoeld in artikel 34, vierde lid, Wbp zou vergen.

Algemene informatieplicht

In het belang van de algemene transparantie over de geïntegreerde aanpak van zorgfraude wordt het Informatieprotocol gepubliceerd op de websites van de convenantpartners.

Rechten van betrokkenen
  • a) De betrokkene of zijn wettelijke vertegenwoordiger -indien een betrokkene de leeftijd van zestien nog niet heeft bereikt – richt zijn of haar verzoek om inzage en/of correctie aan de verantwoordelijken, door tussenkomst van de regisseur, die door de verantwoordelijken is belast met de dagelijkse uitvoering van de inzage- en correctieverzoeken.

  • b) De betrokkene of zijn wettelijke vertegenwoordiger -indien een betrokkene de leeftijd van zestien nog niet heeft bereikt – kan aan de verantwoordelijke om inzage in zijn persoonsgegevens verzoeken. Dit verzoek kan worden gericht tot de regisseur.

Nadat de identiteit van de verzoeker is vastgesteld, wordt het verzoek zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst, gehonoreerd. De betrokkene of zijn wettelijke vertegenwoordiger ontvangt een overzicht (in een begrijpelijke vorm) van de gegevens die worden verwerkt, de doelen of de doeleinden waarvoor deze gegevens worden verwerkt, de (mogelijke) ontvangers van deze gegevens en de informatie over de herkomst van die gegevens. De verzoeker heeft recht op een kopie of uitdraai van alle gegevens die over hem of haar zijn verwerkt.

Alle zaken die betrekking hebben op de rechten van betrokkene en de besluiten die hierover worden genomen door de convenantpartners vallen onder de reikwijdte van de Algemene wet bestuursrecht en staan dus in principe open voor bezwaar en beroep.

Weigering of beperking inzage

Inzage kan worden geweigerd of deels beperkt voor zover dat noodzakelijk is in het belang van:

  • a) de veiligheid van de staat;

  • b) de voorkoming, opsporing en vervolging van strafbare feiten;

  • c) gewichtige economische en financiële belangen van de staat en andere openbare lichamen;

  • d) het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen als bedoeld onder b en c;

  • e) de bescherming van betrokkene of van de rechten en vrijheden van anderen.

In situaties zoals hierboven omschreven moet er een afweging worden gemaakt tussen de belangen van de betrokkene en belangen van de verantwoordelijke om te besluiten of de inzage beperkt of geweigerd kan of moet worden. Een mogelijke beperking op basis van deze afweging kan zijn het ter inzage voorleggen van de gegevens aan de persoon die inzage verzoekt.

Recht op correctie (verbetering, aanvulling, verwijdering en/of afscherming)

De betrokkene of zijn wettelijk vertegenwoordiger geeft in het verzoek aan welke correcties hij of zij uitgevoerd wil zien en om welke reden.

De verantwoordelijke voldoet zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, aan het verzoek, indien en voor zover de persoonsgegevens:

  • a) feitelijk onjuist zijn;

  • b) voor het doel van de verwerking onvolledig of niet ter zake dienend zijn;

  • c) anderszins in strijd met een wettelijk voorschrift worden verwerkt.

De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming in ieder geval uiterlijk binnen vier weken na deze beslissing wordt uitgevoerd. Hij doet hiervan een kennisgeving aan de convenantpartners. De verantwoordelijke bericht gemotiveerd zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek schriftelijk aan de betrokkene of zijn wettelijk vertegenwoordiger, zijn reactie op het verzoek.

Recht van verzet

De betrokkene kan bij de verantwoordelijken te allen tijde schriftelijk verzet aantekenen tegen de verwerking van zijn of haar persoonsgegevens in het IKZ in verband met bijzondere omstandigheden. Binnen vier weken na ontvangst van het verzet beoordeelt de verantwoordelijken of dit verzet gerechtvaardigd is.

Paragraaf 7 Slotbepalingen

Paragraaf 7 bevat enkele bepalingen van procedurele aard.

Matrix informatieprotocol convenantpartners IKZ 2016

In onderstaande matrix staan de mogelijke rechtsgronden vermeld op basis waarvan de convenantpartners aan elkaar (al dan niet onder voorwaarden en eventuele beperkingen zoals medische gegevens) kunnen verstrekken.

Convenantpartners en tevens IKZ-leden:

  • Nederlandse Zorgautoriteit (NZa);

  • Inspectie voor de Gezondheidszorg (IGZ);

  • Directie Opsporing van de Inspectie Sociale Zaken en Werkgelegenheid (ISZW DO);

  • Fiscale Inlichtingen en Opsporingsdienst (FIOD);

  • Belastingdienst (BD).

Overige convenantpartners:

  • Zorgverzekeraars Nederland (ZN)3;

  • Vereniging Nederlandse Gemeenten (VNG)/College van Burgemeester & Wethouders (B&W);

  • Centrum Indicatiestelling Zorg (CIZ);

  • Openbaar Ministerie (OM).

De matrix moet als volgt worden gelezen:

  • Horizontaal staan vragende/ontvangende partijen vermeld.

  • Verticaal staan de verstrekkende partijen vermeld.

  • De letter geeft aan op basis van welke wettelijke bevoegdheid verstrekt kan worden met

  • Inachtname van het doel en de voorwaarden zoals vermeld in de betreffende artikelen.

  • Het Openbaar Ministerie is in de matrix alleen als vragende partij opgenomen aangezien zij deelnemen aan het casusoverleg maar verder geen informatie inbrengen.

verstrekkende partijen

Ontvangende partijen

IKZ partners

Nza

ISZW

DO

IGZ

FIOD

OM

CIZ

ZN

BD

B&W

Nza

E

E1,F2,T

E3,F

W

K

L

L

K

ISZW DO

B,E

B,D4,E

A

C

B

B

O

B

IGZ

E,F,T

E

E

E,Y

K

K

K

K

FIOD

B, E, F

A

B, D5

 

C

B

B

B,N

B

CIZ

M,H6

K

K

K

K

 

J

K,M

P

ZN

H,G7, L, J

K

K

L,I

K

J

 

L

R

BD

L

nvt8

nvt9

U

V

nvt10

L

 

Q

B&W

H11,M

K

K

K

K

K

S

M

 

A Artikel 15 Wet politiegegevens

B Artikel 20 Wet politiegegevens

C Artikel 16, eerste lid, sub b Wet politiegegevens

D Artikel 16, eerste lid, sub a Wet politiegegevens

E Artikel 72 j° art. 73 Wet marktordening gezondheidszorg j° artikel 17 Wet op de economische delicten j° artikel 141 Wetboek van Strafvordering en het gestelde bij artikel 65 Wet marktordening gezondheidszorg en de Regeling categorieën persoonsgegevens Wmg (ongevraagd)

F Artikel 70 Wet marktordening gezondheidszorg j° artikel 65 Wmg en de Regeling categorieën persoonsgegevens Wmg. (desgevraagd)

G Artikel 65 Wet marktordening gezondheidszorg

H Artikel 61 en 69 Wet marktordening gezondheidszorg (desgevraagd verplicht)

I Artikel 66 Wet marktordening gezondheidszorg (verplicht op verzoek)

J Artikel 9.1.3 Wet langdurige zorg

K Artikel 8, sub e en/ of 9 j° 43 Wet bescherming persoonsgegevens

L Artikel 88 j° artikel 89 Zorgverzekeringswet (ongevraagd en verplicht op verzoek)

M Artikel 88 Zorgverzekeringswet (op verzoek)

N Artikel 6, eerste lid, Besluit politiegegevens Bijzondere Opsporingsdiensten

O Artikel 6, derde lid, Besluit politiegegevens Bijzondere Opsporingsdiensten

P Artikel 5.2.5, derde lid, Wet maatschappelijke ondersteuning 2015

Q Artikel 5.2.3 Wet maatschappelijke ondersteuning 2015

R Artikel 5.2.5, eerste lid, Wet maatschappelijke ondersteuning 2015

S Artikel 5.2.5, tweede lid, Wet maatschappelijke ondersteuning 2015

T Artikel 26, eerste lid, Wet kwaliteit, klachten en geschillen zorg

U Artikel 67 Algemene wet inzake rijksbelastingen en 43c, onder h, Uitvoeringsregeling Algemene wet inzake rijksbelastingen

V Artikel 67 Algemene wet inzake rijksbelastingen en 43c, onder l, Uitvoeringsregeling Algemene wet inzake rijksbelastingen

W Artikel 73 Wet marktordening gezondheidszorg j° artikel 17 Wet op de economische delicten j° art 141 Wetboek van Strafvordering en het gestelde bij artikel 65 Wet marktordening gezondheidszorg en de Regeling categorieën persoonsgegevens Wmg (ongevraagd)

X Art. 62 j° art. 68 Wet marktordening gezondheidszorg

Y Art. 65, achtste lid, Wet op de beroepen in de individuele gezondheidszorg

Opmerking letter E:

In het betreffende artikel staat vermeld ‘alle gegevens en inlichtingen’. Deze gegevens (die overigens niet gelden als politiegegevens!) kunnen ook (identificerende) persoonsgegevens bevatten. Het is onduidelijk of daaronder ook vallen: medische persoonsgegevens. Deze onduidelijkheid wordt weggenomen door een wijziging van de Wet marktordening gezondheidszorg (Wmg) waarin expliciet wordt bepaald dat de uitwisseling van gegevens op basis van artikel 73 Wmg ook betrekking heeft op medische persoonsgegevens. Het Ministerie van VWS wijst erop dat het wetsvoorstel VTO Wmg uitsluitend een verduidelijking (en geen uitbreiding) betreft en dat daarom op basis van artikelen 72 en 73 Wmg nu ook al medische persoonsgegevens mogen worden uitgewisseld. Aan te bevelen is te kiezen voor een strenge interpretatie van deze artikelen, omdat deze verduidelijking nog geen geldend recht is en het wetsvoorstel nog niet openbaar is. De wijziging is opgenomen in het wetsvoorstel VTO Wmg. Een tijdelijke oplossing is erin gelegen dat de betreffende organisatie deze signalen ontdoet van medische persoonsgegevens of vraagt om toestemming aan de melder.

Opmerking letter H

Voor wat betreft zorgverzekeraars gelden ook artikel 62 j° artikel 68 Wet marktordening gezondheidszorg.

Opmerking letter K

Geen gezondheidsgegevens of gegevens waarop een medisch beroepsgeheim of een geheimhoudingsplicht gelijk aan het medisch beroepsgeheim rust, en afweging door verstrekkende instantie per geval en voorzover er geen bijzondere wet (lex specialis) die voorgaat op de algemene regel in de Wbp.

Opmerking letters L en M

De verstrekking is beperkt tot identificerende gegevens en omvat geen medische persoonsgegevens.

Voor wat betreft zorgverzekeraars zie ook artikelen 90 en 93 Zorgverzekeringswet.

X Noot
1

Nza kan aan IGZ wel medische persoonsgegevens verstrekken, zie artikel 4 lid 3 Regeling categorieën persoonsgegevens WMG, waarin de verstrekking van medische persoonsgegevens door Nza aan IGZ expliciet is vastgelegd.

X Noot
2

Zie voetnoot 2.

X Noot
3

NZa kan aan FIOD wel medische persoonsgegevens verstrekken, zie artikel 4 lid 6 Regeling categorieën persoonsgegevens WMG, waarin de verstrekking van medische persoonsgegevens door NZa aan FIOD expliciet is vastgelegd.

X Noot
4

T.b.v. opsporingstaak IGZ.

X Noot
5

T.b.v. opsporingstaak IGZ.

X Noot
6

De verstrekking is beperkt tot identificerende gegevens en omvat geen medische persoonsgegevens.

X Noot
7

ZN mag uit eigen beweging informatie, waaronder medische persoonsgegevens, aan de NZa verstrekken; de NZa mag deze informatie verwerken ten behoeve van het toezicht op artikel 35 Wmg, op grond van artikel 2 sub 10b van de Regeling Categorieën Persoonsgegevens Wmg.

X Noot
8

Voor toezicht mag de Belastingdienst vanwege de geheimhoudingsplicht alleen gegevens verstrekken grond van art. 67 AWR in samenhang met een wettelijk voorschrift wat tot bekendmaking verplicht, art. 43c uitvoeringsregeling AWR of ontheffing. De Wbp en de AWR verhouden zich als algemene (lex generalis) en bijzondere (lex specialis) regels tot elkaar, waarbij een uitzonderende regel in de AWR dus voorgaat op een algemene regel in de Wbp. Wel kan de belastingdienst indien noodzakelijk in voorkomend geval een ontheffing op grond van artikel 67 lid 3 Awr aanvragen.

X Noot
9

Zie voetnoot 6.

X Noot
10

Zie voetnoot 6.

X Noot
11

Zie voetnoot 4.


X Noot
1

Stcrt. 27 maart 2015, nr. 8345; met ingang van 5 februari 2016 uitgebreid met de convenantpartner de VNG (addendum bij het Convenant houdende afspraken over de samenwerking in het kader van de verbetering van de bestrijding van zorgfraude: Voortzetting Bestuurlijk Overleg Integriteit Zorgsector, artikel 4, lid 4).

X Noot
2

De eerste audit vindt tenminste binnen drie jaar na datum oprichting plaats.

X Noot
3

ZN heeft met de aangesloten zorgverzekeraars een bewerkersovereenkomst gesloten en is hiermee bevoegd om namens een zorgverzekeraar binnen het verstrekte mandaat signalen uit te wisselen.