BWBR0049565
Geldig vanaf 2025-01-01
Artikel 2.2
Besluit bevorderen samenwerking en rechtmatige zorg
1. Het protocol, bedoeld in artikel 2.1, tweede lid, van de wet, geeft een concrete invulling en uitwerking van de volgende eisen:
a. de waarborgen en eisen die op grond van de Algemene verordening gegevensbescherming, de Uitvoeringswet Algemene verordening gegevensbescherming en de wet worden gesteld aan de verwerking van persoonsgegevens die noodzakelijk zijn voor het in artikel 2.1, eerste lid, van de wet gestelde doel;
b. de wijze waarop wordt omgegaan met gegevens die geen persoonsgegevens zijn;
c. de te door de colleges en ziektekostenverzekeraars te volgen werkwijze bij de verwerking van persoonsgegevens en andere gegevens;
d. de wijze waarop de toezichthouder die is aangewezen op grond van artikel 2.2, eerste of tweede lid, van de wet tot dezelfde gerechtvaardigde overtuiging komen; en
e. de wijze van bewaren en verwijderen van gegevens.
2. Daarnaast bevat het protocol in ieder geval de volgende elementen:
a. procedurevoorschriften ten aanzien van de gegevensverwerking, waaronder ten minste voorschriften over het verstrekken, kennisnemen en verwijderen van de gegevens;
b. de wijze waarop wordt vastgesteld dat sprake is van een gerechtvaardigde overtuiging van fraude in de zorg waardoor voor natuurlijke personen of rechtspersonen van wie gegevens worden verwerkt vooraf kenbaar is op grond van welke gedragingen hun gegevens worden verwerkt en achteraf de rechtmatigheid van de verwerking toetsbaar is;
c. de wijze waarop wordt onderzocht, onderbouwd en gedocumenteerd dat een gerechtvaardigde overtuiging van fraude in de zorg bestaat;
d. een instructie voor de wijze waarop in een individueel geval wordt afgewogen of noodzaak tot verstrekking van gegevens bestaat waarbij rekening wordt gehouden met verzachtende en verzwarende omstandigheden;
e. een omschrijving van de rollen van de colleges en ziektekostenverzekeraars en hun medewerkers, waarbij onder meer duidelijk gemaakt welke instantie en medewerker in welk geval de bevoegdheid heeft tot welk type gegevensverwerking;
f. de wettelijke grondslag waarop het verstrekkende college of de verstrekkende ziektekostenverzekeraar de gegevens verwerkt;
g. de wijze waarop de verstrekkende en ontvangende colleges of ziektekostenverzekeraars verifiëren of de gegevens juist zijn;
h. de wijze waarop de gegevens tussen de colleges of ziektekostenverzekeraars worden uitgewisseld;
i. de technische en organisatorische maatregelen die worden getroffen tegen onrechtmatige wijziging, verstrekking, toegang, verlies, vernietiging of ander onrechtmatig gebruik van de gegevens;
j. een uitwerking van de geheimhoudingsplicht, bedoeld in artikel 2.9 van de wet;
k. de wijze waarop natuurlijke personen en rechtspersonen voorafgaand aan het aangaan van een overeenkomst worden geïnformeerd over het feit dat de gegevensverwerking als bedoeld in artikel 2.1, eerste lid, van de wet kan plaatsvinden;
l. een beschrijving van het recht van natuurlijke personen of rechtspersonen van wie gegevens worden verwerkt op inzage, rectificatie, verwijdering en beperking van de verwerking van hun gegevens, de wijze waarop zij deze rechten kunnen uitoefenen en de wijze waarop natuurlijke personen of rechtspersonen van wie gegevens worden verwerkt worden geïnformeerd over de rechtsbescherming die open staat tegen een beslissing op de uitoefening van dit recht.
a. de waarborgen en eisen die op grond van de Algemene verordening gegevensbescherming, de Uitvoeringswet Algemene verordening gegevensbescherming en de wet worden gesteld aan de verwerking van persoonsgegevens die noodzakelijk zijn voor het in artikel 2.1, eerste lid, van de wet gestelde doel;
b. de wijze waarop wordt omgegaan met gegevens die geen persoonsgegevens zijn;
c. de te door de colleges en ziektekostenverzekeraars te volgen werkwijze bij de verwerking van persoonsgegevens en andere gegevens;
d. de wijze waarop de toezichthouder die is aangewezen op grond van artikel 2.2, eerste of tweede lid, van de wet tot dezelfde gerechtvaardigde overtuiging komen; en
e. de wijze van bewaren en verwijderen van gegevens.
2. Daarnaast bevat het protocol in ieder geval de volgende elementen:
a. procedurevoorschriften ten aanzien van de gegevensverwerking, waaronder ten minste voorschriften over het verstrekken, kennisnemen en verwijderen van de gegevens;
b. de wijze waarop wordt vastgesteld dat sprake is van een gerechtvaardigde overtuiging van fraude in de zorg waardoor voor natuurlijke personen of rechtspersonen van wie gegevens worden verwerkt vooraf kenbaar is op grond van welke gedragingen hun gegevens worden verwerkt en achteraf de rechtmatigheid van de verwerking toetsbaar is;
c. de wijze waarop wordt onderzocht, onderbouwd en gedocumenteerd dat een gerechtvaardigde overtuiging van fraude in de zorg bestaat;
d. een instructie voor de wijze waarop in een individueel geval wordt afgewogen of noodzaak tot verstrekking van gegevens bestaat waarbij rekening wordt gehouden met verzachtende en verzwarende omstandigheden;
e. een omschrijving van de rollen van de colleges en ziektekostenverzekeraars en hun medewerkers, waarbij onder meer duidelijk gemaakt welke instantie en medewerker in welk geval de bevoegdheid heeft tot welk type gegevensverwerking;
f. de wettelijke grondslag waarop het verstrekkende college of de verstrekkende ziektekostenverzekeraar de gegevens verwerkt;
g. de wijze waarop de verstrekkende en ontvangende colleges of ziektekostenverzekeraars verifiëren of de gegevens juist zijn;
h. de wijze waarop de gegevens tussen de colleges of ziektekostenverzekeraars worden uitgewisseld;
i. de technische en organisatorische maatregelen die worden getroffen tegen onrechtmatige wijziging, verstrekking, toegang, verlies, vernietiging of ander onrechtmatig gebruik van de gegevens;
j. een uitwerking van de geheimhoudingsplicht, bedoeld in artikel 2.9 van de wet;
k. de wijze waarop natuurlijke personen en rechtspersonen voorafgaand aan het aangaan van een overeenkomst worden geïnformeerd over het feit dat de gegevensverwerking als bedoeld in artikel 2.1, eerste lid, van de wet kan plaatsvinden;
l. een beschrijving van het recht van natuurlijke personen of rechtspersonen van wie gegevens worden verwerkt op inzage, rectificatie, verwijdering en beperking van de verwerking van hun gegevens, de wijze waarop zij deze rechten kunnen uitoefenen en de wijze waarop natuurlijke personen of rechtspersonen van wie gegevens worden verwerkt worden geïnformeerd over de rechtsbescherming die open staat tegen een beslissing op de uitoefening van dit recht.