Wij vinden de privacy van zorgconsumenten erg belangrijk. Daarom omschrijven we in dit privacy statement uitgebreid welke maatregelen we hebben genomen om uw privacy te waarborgen, welke gegevens Infomedics met welke doelstellingen verwerkt, van wie Infomedics gegevens ontvangt en aan wie Infomedics gegevens verstrekt. Daarnaast leest u hoe lang gegevens worden bewaard en hoe die gegevens worden beveiligd, wat uw rechten zijn en hoe klachten ten aanzien van privacygerelateerde zaken bij Infomedics kunnen worden ingediend.
- Begrippen
In dit Privacy Statement worden de volgende begrippen gebruikt:
Infomedics: Infomedics B.V., statutair gevestigd te Almere aan de P.J. Oudweg 41, 1314 CJ en ingeschreven bij de Kamer van Koophandel onder nummer 04048143
Klanten: Zorgaanbieders die een Overeenkomst met Infomedics hebben gesloten
Zorgconsumenten: De klanten (inclusief eventuele gezinsleden) van onze Klanten aan wie zorg is verleend. Onder de AVG zijn de Zorgconsumenten te kwalificeren als Betrokkenen
Overeenkomst: Overeenkomst tussen Infomedics en Klanten voor diensten van Infomedics
Vorderingen: Vorderingen van Klanten op zorgconsumenten en zorgverzekeraars uit hoofde van de door Klanten geleverde zorg
Verwerkingsverantwoordelijke: Diegene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt zoals bepaald in de AVG
Verwerker: Diegene die in opdracht en ten behoeve van de Verwerkingsverantwoordelijke en onder diens verantwoordelijkheid persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen zoals bepaald in de AVG
Betrokkenen: Natuurlijke personen, zijnde Klanten en Zorgconsumenten waarvan Infomedics persoonsgegevens verwerkt
AVG: De Algemene Verordening Gegevensbescherming
2. Infomedics en haar dienstverlening
Infomedics zorgt voor het administreren, factureren en incasseren van Vorderingen op Zorgconsumenten en zorgverzekeraars die voortvloeien uit verleende medische zorg. Infomedics streeft met haar dienstverlening naar het verhogen van de efficiency in de zorg door het verminderen van de administratieve lasten en het bieden van financiële zekerheid voor Klanten. Haar Klanten zijn onder andere medisch specialisten, tandartsen, mondhygiënisten, orthodontisten, fysiotherapeuten, opticiens en apothekers.
3. Risicomanagement, kwaliteit en informatiebeveiliging
Infomedics verwerkt grote hoeveelheden (persoons)gegevens van Klanten en Zorgconsumenten. Wij zijn ons ervan bewust hoe belangrijk het is om zorgvuldig met al die data om te gaan. Om deze privacygevoelige data te beschermen treft Infomedics beveiligingsmaatregelen conform de daarvoor geldende beveiligingsstandaarden.
Volgens de onderstaande standaarden is Infomedics gecertificeerd:
- ISO 27001: 2013 en NEN 7510: We hebben op basis van deze normen passende technische en organisatorische maatregelen getroffen om onze organisatie en persoonsgegevens van Klanten en Zorgconsumenten goed te beschermen.
- ISO 9001: 2015: De kwaliteit van ons werk is geborgd in procesbeschrijvingen en werkinstructies.
Daarnaast hanteert Infomedics een control framework conform ISAE3402. In ons control framework hebben wij de belangrijkste risico’s binnen onze primaire processen en automatisering benoemd en zijn er maatregelen genomen om deze risico’s te beperken.
Bij Infomedics is iedereen die bij de verwerking van persoonsgegevens betrokken is, verplicht tot geheimhouding van de gegevens waarvan hij of zij kennis neemt en tot vertrouwelijke behandeling van die gegevens bij zijn of haar taakuitoefening. Deze geheimhouding is vastgelegd in de arbeidsovereenkomst die Infomedics met medewerkers aangaat. Daarnaast moeten alle nieuwe medewerkers van Infomedics een Verklaring omtrent het Gedrag (VoG) kunnen overleggen. Voorts vindt verstrekking van persoonsgegevens alleen plaats via beveiligde verbindingen.
Er wordt binnen Infomedics melding gedaan van een inbreuk op de beveiliging indien deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
4. Overeenkomsten tussen Klanten en Infomedics en de rechtsgrond voor de verwerking van persoonsgegevens
Klanten kunnen twee typen overeenkomsten met Infomedics sluiten:
- Type 1: Een bilaterale overeenkomst tussen de Klant en Infomedics B.V.
- Type 2: Een driepartijen overeenkomst tussen de Klant, Infomedics B.V. en Infomedics Finance B.V.
Indien de Klant heeft gekozen voor de Type 1 overeenkomst, verkoopt de Klant zijn Vorderingen aan Infomedics B.V. De Klant levert zijn Vorderingen aan zonder Burgerservicenummers (BSN). Infomedics B.V. verwerkt in deze situatie geen BSN. Onder de Type 1 overeenkomst heeft Infomedics als Verwerkingsverantwoordelijke een wettelijke rechtsgrond om persoonsgegevens te verwerken. De rechtsgrond voor de verwerking van (medische) persoonsgegevens onder de AVG is:
Artikel 6 lid 1 sub c en 9 lid 2 sub g AVG jo artikel 1 sub c onder 2 jo artikel 38 leden 2 en 3 Wet marktordening gezondheidszorg.
Indien de Klant heeft gekozen voor de Type 2 overeenkomst, verkoopt de Klant zijn Vorderingen aan Infomedics Finance B.V. Deze entiteit verwerkt geen enkel persoonsgegeven. Dat is statutair vastgelegd bij de notaris en wordt gecontroleerd door een onafhankelijke externe accountant. De verwerking van de Vorderingen wordt in opdracht van en onder toezicht van de Klant als Verwerkingsverantwoordelijke uitgevoerd door Infomedics B.V.. Infomedics B.V. is binnen deze zogenaamde driepartijen structuur als Verwerker gerechtigd om BSN van Zorgconsumenten te verwerken ten behoeve van de Klant. Bij de Type 2 overeenkomst sluit Infomedics ook een Verwerkersovereenkomst met de Klant. De meeste Klanten van Infomedics hebben een Type 2 overeenkomst met Infomedics gesloten.
5. Van wie verwerkt Infomedics persoonsgegevens?
Infomedics verwerkt persoonsgegevens van:
- Zorgconsumenten
- Klanten
6. Van wie ontvangt Infomedics persoonsgegevens?
Infomedics ontvangt persoonsgegevens van:
- Klanten in het kader van hun overeenkomst met Infomedics
- Zorgconsumenten
- Zorgverzekeraars
- Openbare bronnen en externe dienstverleners
7. Welke persoonsgegevens worden door Infomedics verwerkt?
Infomedics verwerkt de volgende categorieën van persoonsgegevens:
Van Zorgconsumenten:
- NAW-gegevens
- Geboortedata en geslacht
- Verzekeringsnummers
- BSN (uitsluitend in geval van overeenkomst Type 2 in paragraaf 3)
- Gegevens omtrent te leveren of geleverde medische zorg of te verstrekken of verstrekte dienstverlening (prestatiecode en omschrijving conform NZa regelgeving)
- Factuurbedragen
- Gegevens omtrent betaalgedrag
- Bankrekeningnummers
- E-mail adressen, de inhoud van e-mails, het moment van ontvangst/aflevering en openen van e-mails
- Kopieën van identiteitsbewijzen met doorhaling pasfoto, MRZ (machine readable zone, de strook met nummers onderaan het paspoort of identiteitskaart), paspoortnummer of identiteitskaartnummer en Burgerservicenummer (BSN)
- Telefoonnummers en de inhoud van telefoongesprekken
- Inhoud van chatberichten
Van Klanten:
- NAW-gegevens
- Gegevens van uittreksels van de Kamer van Koophandel
- AGB zorgverlenerscodes, praktijkcodes en/of instellingscodes
- Bankrekeningnummers
- Kopie bankpas of recent bankafschrift bij aangaan van de Overeenkomst
- Financiële gegevens
- E-mail adressen en de inhoud van e-mails
- Kopieën van identiteitsbewijzen met doorhaling pasfoto, MRZ (machine readable zone, de strook met nummers onderaan het paspoort of identiteitskaart), paspoortnummer of identiteitskaartnummer en Burgerservicenummer (BSN)
- Telefoonnummers en de inhoud van telefoongesprekken
- Inhoud van chatberichten
8. Waarom heeft Infomedics uw gegevens nodig?
Infomedics verwerkt persoonsgegevens (in opdracht van haar Klanten bij Type 2 contracten) alleen als die gegevens noodzakelijk zijn voor en samenhangen met de dienstverlening aan haar Klanten. Onderdelen van de hierboven genoemde persoonsgegevens worden gebruikt voor de volgende doelen:
1. Ontvangst en uitbetaling van Vorderingen van Klanten, waaronder:
(i) het volledig dan wel gedeeltelijk overnemen van (een gedeelte van) de Vorderingen van Klanten op Zorgconsumenten en zorgverzekeraars;
(ii) het controleren van de juistheid van de door Klanten aangeleverde Vorderingen; en
(iii) het afrekenen van de Vorderingen aan Klanten conform de overeengekomen betalingstermijn;
(iv) het periodiek verstrekken van (financiële) overzichten betrekking hebbend op aangeleverde vorderingen.
2. Het debiteurenbeheer en de incasso van Vorderingen op Zorgconsumenten, waaronder:
(i) het versturen van rekeningen, aanmaningen en sommaties om Vorderingen te incasseren, zowel digitaal als per gewone post;
(ii) het laten uitvoeren van een telefoongesprek door een belcomputer om de Zorgconsument te herinneren aan een openstaande Vordering;
(iii) het laten uitvoeren dan wel coördineren van arbitrage of een gerechtelijke incassoprocedure in voorkomende gevallen; en
(iv) het teruggeven van oninbare Vorderingen aan Klanten indien overeengekomen met Klanten.
3. Clearing:
Het incasseren van Vorderingen bij zorgverzekeraars, waaronder:
(i) het controleren van Vorderingen op verzekeringsrecht zodat Infomedics weet bij welke zorgverzekeraar de Zorgconsument is verzekerd;
(ii) het digitaal aanleveren van Vorderingen bij de zorgverzekeraars via VeCoZo conform de door Vektis vastgestelde communicatiestandaarden; en
(iii) het verwerken van retourinformatie van zorgverzekeraars over goed- en afgekeurde Vorderingen, ter afhandeling met Zorgconsumenten en Klanten.
4. Risicoanalyses Klanten:
Infomedics beoordeelt de kredietwaardigheid van Klanten door:
(i) het maken van financiële analyses van een Klant; en
(ii) het inzichtelijk maken van het debiteurenrisico van een Klant via het maken van risicoprofielen, eventueel met behulp van derden.
5. Controle op kredietwaardigheid Zorgconsumenten:
Infomedics voert, zo nodig met behulp van derden en inachtneming van privacy waarborgen, controles uit op Zorgconsumenten om te beoordelen of zij het debiteurenrisico van Klanten overneemt. Infomedics verstrekt hiervoor uw naam, initialen, geboortedatum en adres aan Economic Data Resources B.V. (EDR). EDR zal op basis van die gegevens een advies geven over uw kredietwaardigheid. EDR gebruikt uw gegevens alleen voor het doel waarvoor ze deze heeft gekregen. De gegevens mogen niet voor andere doeleinden gebruikt worden.
6. Contact met Betrokkenen:
Infomedics wisselt op verschillende manieren informatie uit met Betrokkenen: het versturen van brieven en e-mails, telefonisch contact, contact via een chatbot en uitwisseling van informatie via beveiligde online serviceportalen.
7. Het verbeteren en waarborgen van de kwaliteit van onze dienstverlening:
Wanneer een Klant of Zorgconsumenten via de telefoon contact met ons opneemt, kunnen wij het telefoongesprek opnemen. Wij gebruiken de opgenomen telefoongesprekken uitsluitend voor (i) de training, begeleiding en coaching van medewerkers van Infomedics of derden die callcenter diensten leveren aan Infomedics en (ii) het verbeteren en waarborgen van de kwaliteit van de dienstverlening van Infomedics. Ook kunnen wij in dit kader chatberichten nalezen.
8. Het verrichten van betalingen:
Het gaat hier zowel om het betalen van de koopprijs van de Vorderingen of het krediet aan Klanten als het terugbetalen van onverschuldigd ontvangen bedragen aan Zorgconsumenten en zorgverzekeraars.
9. Verificatie van de Klant:
Op het moment dat een Overeenkomst met een Klant wordt afgesloten, controleert Infomedics of deze door de juiste tekeningsbevoegde persoon/personen is ondertekend.
10. Verificatie van de Betrokkene:
Bij verzoek om inzage, verwijdering, verbetering, aanvulling of afscherming van persoonsgegevens dan wel wanneer een Betrokkene over zijn of haar gegevens wenst te beschikken in het kader van gegevensoverdraagbaarheid. In deze situaties controleert Infomedics aan de hand van een kopie van een paspoort of identiteitsbewijs of het verzoek daadwerkelijk door de Betrokkene is gedaan. Zodra de identiteit van de Betrokkene is geverifieerd, wordt de kopie van zijn/haar paspoort of identiteitsbewijs vernietigd.
11. Google Analytics:
Bij het bezoeken van onze website wordt een cookie geplaatst van het Amerikaanse bedrijf Google, als deel van de “Analytics”-dienst. Wij gebruiken deze dienst om bij te houden en rapportages te krijgen over hoe bezoekers de website gebruiken. Google kan deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover derden de informatie namens Google verwerken. Wij hebben hier geen invloed op. Wij hebben Google niet toegestaan de verkregen analytics informatie te gebruiken voor andere Google diensten. De informatie die Google verzamelt wordt zo veel mogelijk geanonimiseerd. Uw IP-adres wordt nadrukkelijk niet meegegeven. De informatie wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Zie tevens het privacy beleid van Google: https://policies.google.com/privacy
9. Aan wie verstrekt Infomedics persoonsgegevens?
Infomedics verstrekt persoonsgegevens aan derden indien de verstrekking:
- noodzakelijk is voor het doel van de verwerking en de taak van de daarbij betrokken personen of derden
- is vereist ingevolge een wettelijk voorschrift; of
- geschiedt met toestemming van de Betrokkenen.
Persoonsgegevens kunnen worden verstrekt aan:
- Zorgconsumenten
- Klanten
- zorgverzekeraars/zorgkantoren
- medewerkers van Infomedics, voor zover noodzakelijk voor het uitoefenen van hun functie
- incassobureaus en/of gerechtsdeurwaarders, zover noodzakelijk voor inning van de openstaande vorderingen
- dienstverleners, voor zover zij als (sub)-verwerker in de zin van de AVG diensten aanbieden aan Infomedics en de persoonsgegevens nodig zijn voor hun dienstverlening.
10. Welke bewaartermijn hanteert Infomedics?
Infomedics verwerkt de persoonsgegevens niet langer dan noodzakelijk is voor het innen van de Vordering en het afhandelen van eventuele geschillen met betrekking tot die Vordering. Waar sprake is van een wettelijke bewaarplicht houdt Infomedics de persoonsgegevens langer in zijn beheer. De wettelijke termijn voor het bewaren van een debiteurenadministratie is 7 jaar. Als bij dezelfde Betrokkene sprake is van opeenvolgende Vorderingen, wordt de wettelijke bewaartermijn telkens met eerder genoemde periode verlengd als het ook om dezelfde persoonsgegevens gaat. Na afloop van de wettelijke bewaartermijn worden de persoonsgegevens vernietigd.
Infomedics neemt telefoongesprekken op voor trainings-, coaching-, en beoordelingsdoeleinden en voor het evalueren van de kwaliteit van de dienstverlening. Opgenomen telefoongesprekken worden na 3 maanden vernietigd.
11. Uw rechten
De Betrokkene heeft altijd, maar wel met redelijke tussenpozen, het recht om Infomedics te verzoeken om inzage rectificatie of wissing van zijn of haar persoonsgegevens. De Betrokkene heeft voorts het recht op beperking van de verwerking alsmede het recht tegen verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid.
Aan dergelijke verzoeken zal in opdracht van haar Klanten worden voldaan in het geval die aan de wettelijke eisen van artikel 12 van de AVG voldoen. De Betrokkene kan een verzoek daartoe richten aan Infomedics (het adres vindt u hieronder). Om uw identiteit vast te stellen, vragen wij u (i) of bij ons langs te komen met uw paspoort of identiteitskaart, of (ii) uw verzoek te voorzien van een deugdelijke kopie van uw paspoort of identiteitskaart. Voegt u een kopie van uw paspoort of identiteitskaart bij? Dan vragen wij u op de kopie uw pasfoto, MRZ (machine readable zone, de strook met nummers onderaan het paspoort of identiteitskaart), paspoortnummer of identiteitskaartnummer en Burgerservicenummer (BSN) zwart te maken. Dit ter bescherming van uw privacy. Als u dat niet doet, zal Infomedics dat voor u doen.
Infomedics behoudt zich het recht voor om een vergoeding te verlangen conform de AVG.
12. Vragen, klachten of tips
Indien u een vraag, klacht of tip heeft of indien u uw rechten als Betrokkene wilt uitoefenen, dan kunt u een e-mail sturen aan: security@infomedics.nl. U kunt ook een brief sturen naar:
Infomedics B.V.
T.a.v. Functionaris Gegevensbescherming
Postbus 60108
1320 AC Almere
Indien u van mening bent dat uw rechten worden geschonden, dan heeft u ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Op www.autoriteitpersoonsgegevens.nl leest u hoe u een klacht kunt indienen.
Het Privacy Statement van Infomedics kan wijzigen als nieuwe ontwikkelingen daartoe aanleiding geven. Het meest actuele Privacy Statement vindt u altijd op de website van Infomedics.