Convenant houdende afspraken over de samenwerking in het kader van de verbetering van de bestrijding van zorgfraude: ‘Informatie Knooppunt Zorgfraude (IKZ)’

Het doel van het Informatieprotocol IKZ 2016 is drieledig. Het Informatieprotocol formaliseert afspraken tussen de convenantpartners over de wijze waarop informatie met elkaar wordt gedeeld.

Het gaat hierbij grotendeels over de verwerking van persoonsgegevens, waaronder strafrechtelijke gegevens en gegevens betreffende iemands gezondheid. Het protocol draagt bij aan een zorgvuldige verwerking van persoonsgegevens binnen het IKZ. Dat wil zeggen dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Het Informatieprotocol draagt bij aan een transparant IKZ, transparantie richting de betrokkene, wiens persoonsgegevens worden verwerkt, en naar de buitenwereld.

In het Convenant IKZ 2016 is opgenomen dat voor een effectieve en efficiënte samenwerking het van belang is dat de convenantpartners zich committeren aan het IKZ. Met inachtneming van de wet- en regelgeving stellen zij voldoende informatie, expertise en personele capaciteit ter beschikking aan het IKZ. Ter uitvoering van deze taken vindt binnen het IKZ centrale gegevensverwerking plaats. Het protocol richt zich in eerste instantie uitdrukkelijk op de verwerking van (bijzondere) persoonsgegevens door het IKZ.

Het Informatieprotocol bevat daarom bepalingen over de doelstellingen voor verwerking van persoonsgegevens door het IKZ, toepasselijke bepalingen uit de Wbp in relatie tot verwerking van persoonsgegevens door het IKZ, bepalingen over het verstrekken van persoonsgegevens door de convenantpartners aan het IKZ en bepalingen over het verstrekken van persoonsgegevens door het IKZ aan de convenantpartners.

Het IKZ is tot stand gekomen vanuit de overtuiging van de convenantpartners dat door samenwerking een gezamenlijk belang wordt gediend, namelijk de versterking van de integriteit van de zorgsector, een adequaat toezicht en een doeltreffende civielrechtelijke, bestuursrechtelijke, tuchtrechtelijke en strafrechtelijke handhaving in die sector.

De samenwerking in het IKZ levert een essentiële bijdrage aan dit belang en daarmee tevens aan een goede invulling van de wettelijke taken van de afzonderlijke convenantpartners. Het gezamenlijke doel van de convenantpartners is het versterken van de integriteit van de zorgsector door de onderlinge samenwerking tussen de partners te stimuleren, te coördineren en te vergroten door het uitwisselen van informatie en het delen van kennis, inzicht en vaardigheden (artikel 2 en 5 Convenant).

Uitgangspunt is dat de convenantpartners vanuit hun eigen wettelijke taakstellingen en binnen de daarvoor geldende wettelijke kaders met elkaar samenwerken. Dit betekent dat de concrete invulling van de samenwerking c.q. taken in beginsel geen vaste vorm kent, maar telkens afhankelijk is van de wettelijke mogelijkheden in het concrete geval. Het wettelijke kader is leidend ter bepaling welke convenantpartners betrokken zijn bij structurele informatie-uitwisseling of andere vorm van samenwerking in het IKZ.

De convenantpartners verstrekken elkaar (bijzondere) persoonsgegevens. Bij het verstrekken van de melding met daarin (bijzondere) persoonsgegevens toetst de desbetreffende convenantpartner of hij op grond van de voor hem toepasselijke wet- en regelgeving (bijzondere) persoonsgegevens aan een of meer andere partners mag verstrekken. Ook ziet de desbetreffende convenantpartner er op toe dat geen bedrijfsgevoelige gegevens worden verstrekt. Dit is de zogenaamde eerste toets.

Bij elke verstrekking wordt aangegeven voor welk doel of taak van het IKZ de (bijzondere) persoonsgegevens worden verstrekt. Het hoofd IKZ toetst vervolgens of de melding voldoet aan de doelstellingen van de samenwerking in het IKZ. Dit is de zogenaamde tweede toets.

De betreffende melding wordt vervolgens beoordeeld door de IKZ-leden waarna door de IKZ-leden wordt nagegaan in hoeverre er relevante informatie aanwezig is in de systemen van de IKZ-leden. Hierbij worden geen bevoegdheden toegepast uit het de Algemene wet bestuursrecht, de Algemene Wet inzake Rijksbelastingen, de Wet op de economische delicten en/of het Wetboek van Strafvordering. Het raadplegen van gesloten bronnen door IKZ-leden dient met zuiverheid van oogmerk te geschieden. Tevens wordt beoordeeld in hoeverre er een grondslag is om deze informatie te delen met de betreffende IKZ-leden. Dit is de zogenaamde derde toets.

Vervolgens wordt door de IKZ-leden, voor zover zij op grond van wettelijke bepalingen (bijzondere) persoonsgegevens mogen verwerken, gezamenlijk een rapportage opgesteld met daarin vermeld een voorstel voor tucht-, privaat-, bestuurs- en/of strafrechtelijke interventie. Tenslotte toetst het IKZ-lid van het IKZ c.q. leden – waarvan de informatie in de rapportage oorspronkelijk afkomstig is – welke IKZ-leden van het IKZ de rapportage mag c.q. mogen ontvangen en of daarvoor een wettelijke grondslag aanwezig is. Dit is de zogenaamde vierde toets.

De partijen hanteren als uitgangspunt dat zij in beginsel worden voorzien van informatie indien daarvoor een wettelijke grondslag aanwezig is. Het verstrekken van informatie blijft achterwege indien dit om andere reden (bijvoorbeeld bedrijfsgevoelige gegevens) op ernstige bezwaren stuit. Er dient ruimte te zijn voor een eigen belangenafweging van de desbetreffende partners om al dan niet tot het verstrekken van deze gegevens over te gaan.

Op de verwerking van persoonsgegevens door het IKZ is het regime van de Wbp van toepassing. Bij de verwerking van persoonsgegevens door het IKZ is sprake van geheel of gedeeltelijk geautomatiseerde persoonsgegevensverwerking of van een niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Het feit dat de Wbp van toepassing is brengt verschillende verplichtingen met zich mee.

In verband met het doel van het IKZ is het noodzakelijk om de binnen het IKZ verzamelde persoonsgegevens op te slaan in de daarvoor bestemde geautomatiseerde informatiesystemen. Het IKZ stelt een lijst op van de informatiesystemen, applicaties en programma’s die worden gebruikt en deze lijst wordt vastgesteld door de regisseur als bedoeld in artikel 11 van dit Informatieprotocol.

Met deze gegevensbestanden, informatiesystemen, programma’s en applicaties worden verwerkingen gevoerd. Deze verwerkingen vallen onder het regime van de Wbp en voor zover van toepassing onder de sectorale wet- en regelgeving. Dit Informatieprotocol is van toepassing op alle door het IKZ gevoerde informatiesystemen en applicaties en de verantwoordelijken zijn gezamenlijk verantwoordelijk voor deze systemen.

De werkprocessen van de convenantpartners dienen voor wat betreft de beveiliging aan te sluiten op de beveiligingsstandaard van het IKZ. Dit betekent dat de verantwoordelijken ook bij de levering van gegevens dezelfde beveiligingswaarborgen in acht dienen te nemen.

De Wbp is van toepassing op het IKZ en op het bijbehorende Informatieprotocol en daarmee dus ook op eventueel ondersteunende informatiesystemen.

Personen waarover een melding bestaat zoals beschreven bij artikel 1, onderdeel l, van dit protocol. Het gaat hier om de natuurlijke- en rechtspersonen (relevante betrokkenen) die onderwerp zijn van de melding.

Over deze personen worden geen andere persoonsgegevens verwerkt dan:

• a) volledige personalia, titulatuur, aliassen;

• b) adresgegevens, gegevens uit de Basisregistratie personen en het burgerservicenummer voor zover toegestaan o.g.v. de Wet gebruik burgerservicenummer in de zorg en Wet algemene bepalingen burgerservicenummer;

• c) telecommunicatie- en internetgegevens en soortgelijke voor communicatie benodigde gegevens;

• d) gegevens betreffende de verblijfsstatus (mede omvattende gegevens omtrent visum of garantstelling);

• e) gegevens omtrent woonsituatie;

• f) voertuiggegevens, resp. gegevens uit de Basisregistratie voertuigen;

• g) financiële gegevens (mede omvattende hypothecaire gegevens en gegevens van eigendom of aan- en verkoop van onroerend goed, zogenaamd zwart geld of schulden dan wel ‘underground banking’);

• h) kadastrale gegevens (mede omvattende buitenlands onroerend goed), resp. gegevens uit de Basisregistratie gebouwen;

• i) bedrijfsgegevens (mede omvattende gegevens ondernemingsvormen en -structuren en gegevens handelsregister);

• j) fiscale gegevens (mede omvattende gemeentelijke belastinggegevens en gegevens rijksbelastingdienst);

• k) inkomensgegevens;

• l) politiegegevens als bedoeld in de Wet politiegegevens;

• m) gegevens betreffende relaties en de aard daarvan (mede omvattende gegevens van dienstverleners);

• n) gegevens betreffende vergunning- of subsidieaanvragen (mede omvattende gegevens van verzets-, bezwaar- en beroepsprocedures);

• o) toezicht- en handhavingsgegevens;

• p) gegevens omtrent privaatrechtelijke en bestuurlijke maatregelen of voornemens daartoe (mede omvattende gegevens omtrent conservatoir beslag);

• q) gegevens betreffende de gezondheid zoals omschreven in artikel 16 Wbp.

Van de volgende categorie van betrokkenen:

(Opsporings-)ambtenaren, of personen werkzaam bij het IKZ of ten dienste van een convenantpartner, voor zover dat van belang is voor het gebruik van de gegevens, alsmede voor de verantwoording van de verrichtingen naar aanleiding van de opgenomen gegevens; worden geen andere persoonsgegevens verwerkt dan:

• a) naam;

• b) dienstnummer, organisatieaanduiding, rang of functie binnen het IKZ;

• c) autorisatieniveau;

• d) wijze waarop deze (opsporings-)ambtenaar of functionaris is gescreend.

Het samenbrengen van persoonsgegevens van de convenantpartners bij het IKZ waardoor een gegevensset ontstaat, is een verwerking van persoonsgegevens. Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens is een verwerking. Dus ook verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Een verwerking (waaronder verstrekking) van persoonsgegevens moet gebaseerd kunnen worden op één van de zes in artikel 8 Wbp genoemde grondslagen. De verwerkingen door het IKZ zullen veelal gebaseerd zijn op artikel 8 sub a Wbp ofwel op artikel 8 sub e en f Wbp.

Voor verstrekking van het IKZ aan convenantpartners, voor zover bestuursorgaan zijn, geldt artikel 8 sub e Wbp: persoonsgegevens mogen slechts worden verwerkt indien de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan of door het bestuursorgaan waaraan de gegevens worden verstrekt.

De verwerking (inclusief de verstrekkingen aan de convenantpartners) van de persoonsgegevens door het IKZ dient een zwaarwegend belang en vindt plaats ter ondersteuning van de reguliere werkzaamheden en/of taken van de convenantpartners. Zonder de persoonsgegevensuitwisseling binnen het IKZ is een geïntegreerde, effectieve en efficiënte aanpak van het versterken van de integriteit van de zorgsector niet mogelijk.

Het noodzakelijkheidscriterium in artikel 8 Wbp houdt in dat voldaan moet zijn aan de beginselen van proportionaliteit en subsidiariteit. Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van de betrokkene niet onevenredig mag zijn in verhouding tot het te dienen doel. De persoonsgegevens dienen met het oog op dat doel toereikend, ter zake dienend en niet bovenmatig te zijn. Het subsidiariteitsbeginsel houdt in dat het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor betrokkene minder ingrijpende wijze, kan worden bereikt.

Dat wil zeggen dat er geen onevenredige inbreuken mogen worden gemaakt op de persoonlijke levenssfeer van betrokkenen en dat het doel wordt nagestreefd met de minst bezwarende maatregelen. Binnen het samenwerkingsverband van het IKZ wordt door de IKZ-leden bij de structurele informatie-uitwisseling, onder meer invulling gegeven aan het noodzakelijkheidscriterium door telkens na te gaan voor wie welke persoonsgegevens daadwerkelijk relevant zouden kunnen zijn. Indien blijkt dat een convenantpartner geen relevante betrokkenheid (meer) heeft wordt niet (langer) deelgenomen aan de betreffende verwerkingshandelingen. Bij de toepassing van artikel 8 Wbp moet ook artikel 9 lid 4 Wbp betrokken worden. Daarin is bepaald dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Hiermee wordt buiten twijfel gesteld dat een wettelijke verplichting tot geheimhouding niet terzijde kan worden geschoven door artikel 8 Wbp. Hierbij wordt in het bijzonder ook gewezen op artikel 67 Wet marktordening gezondheidszorg waarin een geheimhoudingsplicht is opgenomen die in acht genomen moet worden.

De ontvangers van persoonsgegevens die door het IKZ zijn verwerkt zijn in beginsel alleen de convenantpartners. In incidentele gevallen kan het IKZ ook persoonsgegevens verstrekken aan derden. De systematiek van de Wbp brengt mee dat het doelbindingsvereiste van artikel 9 Wbp (wederom) op deze verstrekking van toepassing is. Dit houdt in dat alleen ten behoeve van integriteitskwesties die de zorgsector raken informatie aan convenantpartners kan worden verstrekt. Dit toetst het IKZ. Bovendien moeten de convenantpartners kunnen borgen dat de verkregen persoonsgegevens in hun organisatie daadwerkelijk alleen maar voor dit IKZ-doel worden verwerkt.

De convenantpartners treffen passende maatregelen om deze doelbinding te borgen. Er wordt in ieder geval bij elke ontvangende organisatie een functionaris aangewezen die verantwoordelijk is voor het beheer van deze persoonsgegevens.

De NZa is systeemverantwoordelijk voor de verwerking van persoonsgegevens in de door het IKZ gebruikte geautomatiseerde informatiesystemen. De NZa stelt de doeleinden van deze systemen vast en bepaalt op welke wijze van deze systemen gebruik kan worden gemaakt. De systeemverantwoordelijkheid ziet op de inrichting van het systeem voor verwerking van de persoonsgegevens en op de wijze waarop persoonsgegevens binnen deze systemen tussen de convenantpartners worden uitgewisseld. De verantwoordelijken verlenen het IKZ ten behoeve van het verrichten van technische werkzaamheden toegang tot de persoonsgegevens die onder hun verantwoordelijkheid worden verwerkt. Met systeemverantwoordelijkheid wordt bedoeld de verantwoordelijkheid op het terrein van informatie- en communicatietechnologie (ICT), huisvesting en beveiliging.

Naast de systeemverantwoordelijkheid hebben de gezamenlijke convenantpartners ieder een eigen deelverantwoordelijkheid voor de eigen gegevensverwerkingen in de afzonderlijke compartimenten van de informatiesystemen. Het gaat dan om persoonsgegevens die door de afzonderlijke convenantpartners in deze systemen worden ingevoerd.

Alle convenantpartners zijn er zelf voor verantwoordelijk dat de gegevensuitwisseling binnen het IKZ noodzakelijk is ten behoeve van de uitoefening van hun taak en in het verlengde liggend van hun taak en zijn derhalve zelfstandig verantwoordelijk voor de juistheid en volledigheid van de aangeleverde gegevens.

De regisseur is bewerker in de zin van de Wbp. Het IKZ verwerkt de persoonsgegevens onder verantwoordelijkheid van de convenantpartners in de betreffende informatiesystemen en verstrekt deze aan de convenantpartners.

In beginsel dienen op grond van de Wbp alle geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens door een verantwoordelijke te worden gemeld bij de AP. De melding heeft tot doel de belangen van de deelnemende partijen aan het IKZ enerzijds en die van de betrokkene anderzijds op een gestructureerde en hiermee controleerbare wijze af te wegen. Dit komt verder tot uitdrukking in de transparantie van de melding van de persoonsgegevensverwerking bij de AP.

Aan de meldingsplicht van de Wbp wordt voldaan door de centrale persoonsgegevensverwerking door het IKZ te melden bij AP. De gegevens van de melding worden opgenomen in het openbare register van de gegevensverwerking van AP.

De persoonsgegevens van de persoon of personen worden verwerkt in de vastgestelde gegevensbestanden met het oog op de uitvoering van de in het Convenant vastgelegde doelen van de samenwerking in het IKZ.

Zolang een betrokkene als bedoeld in artikel 1, onderdeel b in bespreking is, er acties zijn afgesproken die bewaakt worden door middel van termijnen, blijven de betreffende persoonsgegevens verwerkt in de ‘actieve omgeving’.

De persoonsgegevens in de vastgestelde gegevensbestanden worden verwijderd uit de ‘actieve omgeving’ wanneer er vier jaar na de laatste verwerking geen nieuwe persoonsgegevens van een betrokkene zijn verwerkt. Daartoe worden alle informatiesystemen, applicaties of programma’s periodiek gecontroleerd. Deze verwijderde gegevens worden gedurende zes jaar in de ‘archief omgeving’ gearchiveerd en zijn in principe slechts beschikbaar voor het afhandelen van klachten en de (rechtens gevraagde) verantwoording van verrichtingen.

Onverminderd het hiervoor bepaalde worden persoonsgegevens eveneens verwijderd uit de ‘actieve omgeving’ als het IKZ bekend wordt met het feit dat een actie het gewenste resultaat heeft gehad; de convenantpartners informeren hiertoe het IKZ over de resultaten van de uitgevoerde interventieadviezen.

Gearchiveerde gegevens zijn wederom raadpleegbaar als er nieuwe persoonsgegevens van betrokkene worden verwerkt in de vorm van nieuwe signalen over betrokkene, afkomstig van de convenantpartners. Deze raadpleging vindt plaats strikt binnen de ‘archiefomgeving’ door een beperkt aantal hiertoe door de regisseur geautoriseerde medewerkers van het IKZ.

Indien geraadpleegde gearchiveerde gegevens relevant lijken voor hernieuwd gebruik, kunnen gearchiveerde persoonsgegevens in opdracht van de regisseur en na verkregen instemming van de verstrekkende Convenantpartner hernieuwd worden gebruikt en worden overgebracht naar de ‘actieve omgeving’.

Gearchiveerde gegevens worden 6 jaar na archivering vernietigd.

Van de vernietiging wordt afgezien voor zover de waarde van de archiefbescheiden als bestanddeel van het cultureel erfgoed of voor historisch onderzoek zich daartegen verzet. De betreffende gegevens worden geselecteerd en gedigitaliseerd en ondergebracht in een digitaal archief. Daarbij worden met toepassing van artikel 15 van de Archiefwet 1995 beperkingen aan de openbaarheid gesteld.

Indien geanonimiseerd kunnen persoonsgegevens, na afloop van de in het eerste lid bedoelde termijn, verder bewaard worden voor statistische en wetenschappelijke doeleinden. De beslissing hiertoe wordt vóór de afloop van de in het eerste lid bedoelde termijn door de convenantpartners, in overleg met de oorspronkelijk verstrekkende convenantpartner(s), genomen.

Het IKZ geeft hier onder andere invulling aan door de volgende maatregelen:

• • het hanteren van een strikt autorisatiesysteem;

• • toepassing van het beveiligingsbeleid van de NZa;

• • screening van de personen die (bijzondere) persoonsgevens verwerken;

• • het gebruiken van beveiligde communicatietools;

• • het toepassen van de meldplicht inzake datalekken;

• • het periodiek door een onafhankelijke auditor laten uitvoeren van audits2 waarbij onder meer wordt toegezien op autorisaties, naleving informatieplicht, bewaartermijnen en vernietiging van gegevens;

• • de registratie van meldingen, ontvangst en verstrekking van (bijzondere) persoonsgegevens.

De Wbp biedt de mogelijkheid om in bijzondere gevallen af te wijken van het beginsel van doelbinding. Een uitzondering op de doelbinding conform artikel 43 Wbp mogelijk wanneer dit noodzakelijk is in het belang van:

• a) de veiligheid van de staat;

• b) de voorkoming, opsporing en vervolging van strafbare feiten;

• c) gewichtige financiële en economische belangen van de staat en andere openbare lichamen;

• d) het toezicht op naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen bedoeld onder b en c; of

• e) de bescherming van betrokkene of de rechten en vrijheden van anderen.

Indien een convenantpartner van oordeel is dat ten behoeve van de uitvoering van zijn taak verwerking of doorverstrekking van de persoonsgegevens voor een ander doel, dan waarvoor de persoonsgegevens zijn verstrekt, noodzakelijk is, en indien is voldaan aan bovengenoemd wettelijk kader, is instemming nodig van de convenantpartner(s) waarvan de persoonsgegevens oorspronkelijk afkomstig zijn.

Artikel 17 borgt dat persoonsgegevens alleen kunnen worden verwerkt voor doeleinden waarvoor de verstrekker impliciet of expliciet heeft ingestemd.

Aan de persoon of personen op wie het interventieadvies als bedoeld in artikel 6.4 betrekking heeft worden ingevolge artikel 34 van de Wbp de identiteit van de convenantpartners en de doeleinden van de verwerking meegedeeld en nadere informatie verstrekt, voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij zijn verkregen of het gebruik dat er van wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

Indien tot interventie wordt besloten, vindt de mededeling/verstrekking plaats tegelijk met de feitelijke uitvoering van de interventie.

Indien wordt besloten het onderzoek aan te houden of van een interventie af te zien, vindt de mededeling/verstrekking plaats binnen een termijn van vier weken. Deze mededeling/verstrekking kan, gelet op artikel 43 Wbp, op een later moment plaatsvinden, voor zover dit noodzakelijk is in het belang van:

• a) de veiligheid van de staat;

• b) de voorkoming, opsporing en vervolging van strafbare feiten;

• c) gewichtige economische en financiële belangen van de staat en andere openbare lichamen;

• d) het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of

• e) de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

• a) De betrokkene of zijn wettelijke vertegenwoordiger -indien een betrokkene de leeftijd van zestien nog niet heeft bereikt – richt zijn of haar verzoek om inzage en/of correctie aan de verantwoordelijken, door tussenkomst van de regisseur, die door de verantwoordelijken is belast met de dagelijkse uitvoering van de inzage- en correctieverzoeken.

• b) De betrokkene of zijn wettelijke vertegenwoordiger -indien een betrokkene de leeftijd van zestien nog niet heeft bereikt – kan aan de verantwoordelijke om inzage in zijn persoonsgegevens verzoeken. Dit verzoek kan worden gericht tot de regisseur.

Nadat de identiteit van de verzoeker is vastgesteld, wordt het verzoek zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst, gehonoreerd. De betrokkene of zijn wettelijke vertegenwoordiger ontvangt een overzicht (in een begrijpelijke vorm) van de gegevens die worden verwerkt, de doelen of de doeleinden waarvoor deze gegevens worden verwerkt, de (mogelijke) ontvangers van deze gegevens en de informatie over de herkomst van die gegevens. De verzoeker heeft recht op een kopie of uitdraai van alle gegevens die over hem of haar zijn verwerkt.

Alle zaken die betrekking hebben op de rechten van betrokkene en de besluiten die hierover worden genomen door de convenantpartners vallen onder de reikwijdte van de Algemene wet bestuursrecht en staan dus in principe open voor bezwaar en beroep.

Inzage kan worden geweigerd of deels beperkt voor zover dat noodzakelijk is in het belang van:

• a) de veiligheid van de staat;

• b) de voorkoming, opsporing en vervolging van strafbare feiten;

• c) gewichtige economische en financiële belangen van de staat en andere openbare lichamen;

• d) het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen als bedoeld onder b en c;

• e) de bescherming van betrokkene of van de rechten en vrijheden van anderen.

De betrokkene of zijn wettelijk vertegenwoordiger geeft in het verzoek aan welke correcties hij of zij uitgevoerd wil zien en om welke reden.

De verantwoordelijke voldoet zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, aan het verzoek, indien en voor zover de persoonsgegevens:

• a) feitelijk onjuist zijn;

• b) voor het doel van de verwerking onvolledig of niet ter zake dienend zijn;

• c) anderszins in strijd met een wettelijk voorschrift worden verwerkt.

De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming in ieder geval uiterlijk binnen vier weken na deze beslissing wordt uitgevoerd. Hij doet hiervan een kennisgeving aan de convenantpartners. De verantwoordelijke bericht gemotiveerd zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek schriftelijk aan de betrokkene of zijn wettelijk vertegenwoordiger, zijn reactie op het verzoek.

Convenantpartners en tevens IKZ-leden:

• • Nederlandse Zorgautoriteit (NZa);

• • Inspectie voor de Gezondheidszorg (IGZ);

• • Directie Opsporing van de Inspectie Sociale Zaken en Werkgelegenheid (ISZW DO);

• • Fiscale Inlichtingen en Opsporingsdienst (FIOD);

• • Belastingdienst (BD).

Overige convenantpartners:

• • Zorgverzekeraars Nederland (ZN)3;

• • Vereniging Nederlandse Gemeenten (VNG)/College van Burgemeester & Wethouders (B&W);

• • Centrum Indicatiestelling Zorg (CIZ);

• • Openbaar Ministerie (OM).

De matrix moet als volgt worden gelezen:

• • Horizontaal staan vragende/ontvangende partijen vermeld.

• • Verticaal staan de verstrekkende partijen vermeld.

• • De letter geeft aan op basis van welke wettelijke bevoegdheid verstrekt kan worden met

• • Inachtname van het doel en de voorwaarden zoals vermeld in de betreffende artikelen.

• • Het Openbaar Ministerie is in de matrix alleen als vragende partij opgenomen aangezien zij deelnemen aan het casusoverleg maar verder geen informatie inbrengen.