Loading...
Home/Privacy
Privacy 2018-07-03T10:31:03+02:00

PRIVACY-REGLEMENT  – Algemene bepalingen

Uitgangspunten

De EU Algemene Verordening Gegevensbescherming (AVG) mikt op het aanbieden van een uniforme en geharmoniseerde benadering ten aanzien van de in de Europese Unie aan de ingezetenen van de EU, en streeft ernaar de rechten van de mensen te versterken op gegevensbescherming als bepaald in Artikel 8 van de EU Handvest van Fundamentele Rechten. Na bijna vier jaar van beraadslagen en debatteren, werd de AVG eindelijk goedgekeurd door het Europees Parlement op 14 april 2016.

Alhoewel het document 20 dagen na de goedkeuringsdatum geldig werd, is de bekrachtigingsdatum op 25 mei 2018 vastgesteld, om goed in te kunnen spelen op belangrijke veranderingen. Met ingang van deze datum vervalt de rechtsgeldigheid van Nederlandse Wet Bescherming Persoonsgegevens.

Bij dit reglement baseren wij ons op de in Europese Unie geldende AVG en alle daarmee samen-hangende Nederlandse wetten, richtlijnen en bepalingen.

Dit privacyreglement wordt opgesteld op het moment dat de Wet Bescherming Persoonsgegevens (en dus het reglement versie 1.1) nog van kracht is – in voorbereiding op de in werking treding van de AVG.

 

Algemene bepalingen

  1. Begripsbepalingen

1.1 Persoonsgegevens

Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Hieronder worden eveneens verstaan:

  1. Genetische gegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon welke diens unieke informatie verschaffen over de fysiologie of de gezondheid;
  2. b. Biometrische gegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrags-gerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;

1.2 Zorggegevens

Persoonsgegevens, die direct of indirect betrekking hebben op de lichamelijke of geestelijke gesteldheid van de natuurlijke persoon (waaronder gegevens over verleende zorg en daarmee de gezondheidstoestand) verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening;

1.3 Verwerking van persoonsgegevens

Elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals in ieder geval het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

1.4 Verstrekken van persoonsgegevens

Het bekend maken of ter beschikking stellen van gegevens;

1.5 Verzamelen van persoonsgegevens

Het verkrijgen van persoonsgegevens;

1.6 Beperken van de verwerking

Het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

1.7 Maatwerkvoorziening

Een maatwerkvoorziening is een op behoeften, op persoonskenmerken en op de mogelijkheden van de persoon afgestemd geheel van zorg (denk hierbij aan individuele begeleiding).

1.7 Profilering

Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

1:8 Anonimisering

Het verwerken van persoonsgegevens verwerken op zodanige wijze dat dit leidt tot anonieme gegevens (die dus niet herleidbaar zijn tot een identificeerbaar individu). Deze anonieme gegevens vallen buiten de werkingssfeer van de AVG.

1.8 Pseudonimisering

Het verwerken van persoonsgegevens op zodanige wijze dat deze niet langer tot een individu kan worden herleid zonder dat gebruik wordt gemaakt van aanvullende, afzonderlijk opgeslagen informatie. Pseudonimisering wordt door de AVG beschouwd als een technische en organisatorische maatregel om persoonsgegevens te beschermen tegen onrechtmatige verwerkingen.

1.9 Bestand

Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens  gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

1.10 Verwerkingsverantwoordelijke

  1. Zeelen van Eigen-Wijs in Zorg – tevens directie.

(Volgens de Algemene Verordening Gegevensverwerking (AVG): ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’).

1.11 Verwerker

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

1.12 Betrokkene

Degene op wie een persoonsgegeven betrekking heeft;

1.13 Derde

Ieder, niet zijnde de betrokkene, de verwerkingsverantwoordelijke, de verwerker, noch enig persoon die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd is om persoonsgegevens te verwerken;

1.14 Ontvanger

Degene aan wie de persoonsgegevens worden verstrekt;

1.15 Toestemming van de betrokkene

Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

1.16 Inbreuk in verband met persoonsgegevens

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

1.17 Datalek

Een datalek is een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang of verstrekking van verwerkte persoonsgegevens.

1.18 Dataportabiliteit

Overdraagbaarheid van data, ofwel het doorgeven van persoonsgegevens aan een nieuwe aanbieder.

1.13 Toezichthoudende Autoriteit

De Autoriteit Persoonsgegevens is in Nederland (als Lidstaat van de Europese Unie) aangewezen als orgaan verantwoordelijk om toe te zien op juiste naleving van de AVG. Zij ziet erop toe dat verwerking van persoonsgegevens plaatsvindt overeenkomstig de wet en zal indien nodig sancties (zoals een waarschuwing, maatregel of boete) opleggen;

 

  1. Reikwijdte

Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

 

  1. Doel van de persoonsregistratie

3.1 Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van EU Algemene Verordening Gegevensbescherming, verder te noemen AVG en – voor zover van toepassing – de bepalingen van de Wet Maatschappelijke Ondersteuning 2015, verder te noemen WMO, de (Regeling) Jeugdwet, de Wet Langdurige Zorg, verder te noemen WLZ, de Wet Geneeskundige Behandelingsovereenkomst, verder te noemen WGBO en de Wet Bijzondere Opnemingen in Psychiatrische Ziekenhuizen, verder te noemen BOPZ.

3.2 De WMO 2015, de Jeugdwet (2015) met aanvullend de Regeling Jeugdwet (augustus 2016), en de WLZ bevatten specifieke bepalingen over het verwerken van persoonsgegevens, welke voorgaan op de algemene privacy-verplichtingen uit de AVG (en thans de WBP).

3.3 Volgens de WMO 2015 mogen persoonsgegevens worden verwerkt door zorginstellingen wanneer dit noodzakelijk is voor de te leveren diensten of hulpmiddelen, het bepalen van de eigen bijdrage of in het kader van toezicht door of namens de gemeente.

3.4 De aanbieder van een maatwerkvoorziening mag in het kader van de WMO voor voornoemde doeleinden (3.3) persoonsgegevens verwerken van de betrokkene waaronder begrepen gezondheidsgegevens en gegevens ten aanzien van diens mantelzorger voor zover deze verkregen zijn van de gemeente, de betrokkene of de mantelzorger.

3.5 Dit reglement is van toepassing binnen Eigen-Wijs in Zorg en heeft betrekking op het door Eigen-Wijs in Zorg op te stellen overzicht van genoemde verwerkingen van persoonsgegevens.

Dit overzicht vormt een geheel met dit reglement (en bijbehorend aanhangsel).

3.6 Binnen de doelstelling van dit reglement zullen geen andere gegevens worden opgenomen dan onder artikel 2 omschreven.

 

  1. Vertegenwoordiging

4.1 Indien de betrokkene jonger is dan twaalf jaar treden de ouders op die het ouderlijk gezag uitoefenen dan wel de wettelijk vertegenwoordiger in plaats van de betrokkene.

4.2 Hetzelfde geldt voor de betrokkene die de leeftijd van twaalf jaar heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen.

4.3 Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien jaar valt en in staat is tot een redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders of wettelijke vertegenwoordiger op.

4.4 Indien de betrokkene ouder is dan zestien jaar en in staat is tot een redelijke waardering van zijn belangen, kan hij er toch uit vrije wil voor kiezen om namens hem of naast hem zijn ouders of een derde als vertegenwoordiger op te laten treden. Dit maakt betrokkene dan expliciet kenbaar in de zorgovereenkomst met Eigen-Wijs in Zorg.

4.5 Indien de betrokkene ouder is dan achttien jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, dan treedt in volgorde als hier weergegeven, als vertegenwoordiger voor hem op:

  1. De curator of mentor indien de betrokkene onder curatele staat of ten behoeve van hem het mentorschap is ingesteld;
  2. De persoonlijke gemachtigde indien de betrokkene deze schriftelijk heeft gemachtigd, tenzij deze persoon niet optreedt;
  3. De echtgenoot of andere levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt;
  4. Een kind, broer of zus van de betrokkene, tenzij deze persoon dat niet wenst.

4.6 Echter indien de betrokkene de leeftijd van achttien jaar heeft bereikt en wel in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een andere persoon schriftelijk te machtigen in diens plaats als vertegenwoordiger te treden.

4.7 De toestemming kan door de betrokkene of zijn vertegenwoordiger te allen tijde worden ingetrokken. Hiervoor wordt het formulier ‘Intrekking Toestemmingsverklaring’ gebruikt.

4.8 De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goede vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.

4.9 Indien een vertegenwoordiger optreedt namens de betrokkene, komt de verwerkings-verantwoordelijke zijn verplichtingen die voortvloeien uit de wet en dit reglement na ten opzichte van deze vertegenwoordiger, tenzij die nakoming niet verenigbaar is met de zorg van een goede verwerkingsverantwoordelijke.

4.10 Bij verstrekking van online diensten van Eigen-Wijs in Zorg zoals toegang tot onze nieuwsbrief (via een emailadres) of facebook-pagina is toestemming van de wettelijke vertegenwoordigers vereist voor verwerking van persoonsgegevens bij kinderen onder de 16 jaar zoals aangegeven in de AVG (ondanks dat lidstaten zelf kunnen besluiten deze leeftijdsgrens hooguit te verlagen tot 13 jaar).

 

  1. Voorwaarden voor rechtmatige verwerking

5.1 Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt.

5.2 Persoonsgegevens worden voor wel bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen verzameld.

5.3 Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doel-einden waarvoor zij worden verzameld of vervolgens worden verwerkt; ze dienen derhalve toereikend, ter zake dienend en niet bovenmatig te zijn.

5.4 De verwerkingsverantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking en bescherming van persoonsgegevens. Zijn handelwijze met betrekking tot de werking van de persoonsgegevens en de verstrekking van gegevens wordt bepaald door dit reglement.

De verwerkingsverantwoordelijke is aansprakelijk voor de eventuele schade als gevolg van het niet naleven van dit reglement*.

*De verwerkingsverantwoordelijke draagt er zorg voor dat passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking. De verwerkingsverantwoordelijke is niet aansprakelijk indien hij kan aantonen dat hem aangaande de betreffende onrechtmatigheid niet kan worden aangerekend.

 

  1. Verwerking van persoonsgegevens

Doelstelling

Voor een juiste bedrijfsvoering en om, passend binnen de doelstelling van Eigen-Wijs in Zorg, vorm te kunnen geven aan ambulante begeleiding (ofwel zorgverlening) en de zorgovereenkomst is de zorginstelling genoodzaakt tot verwerking van gegevens.

Om begeleiding te kunnen bieden, voortvloeiend uit opdracht van de gemeente (of een andere indicatieorgaan) in het kader van de Jeugdwet, de Wet Maatschappelijke Ondersteuning 2015 of de Wet Langdurige Zorg, heeft de zorginstelling de wettelijke verplichting tot verwerking van persoonsgegevens (waaronder NAW gegevens en BSN).

De zorginstelling heeft om uitvoering te kunnen geven aan de zorg (en bijbehorende administratie) de wettelijke verplichting tot uitwisseling van gegevens met o.a. (betrokken) gemeente, Centrum Jeugd en Gezin (CJG), Centraal Indicatieorgaan Zorg (CIZ), Centraal Administratie Kantoor (CAK), Sociale Verzekeringsbank SVB of toezichthoudende ambtenaren.

Grondslagen

In de AVG staan zes grondslagen. Persoonsgegevens mogen slechts worden verwerkt indien aan een van onderstaande voorwaarden is voldaan:

  1. De betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend*;
  2. Dit noodzakelijk is voor de uitvoering van een overeenkomst die Eigen-Wijs in Zorg met betrokkene heeft gesloten, of voor handelingen die op verzoek van de betrokkene worden verricht;
  3. Dit noodzakelijk is om een vitaal belang (bijvoorbeeld gezondheid of eigendom) van de betrokkene te waarborgen en het is niet goed mogelijk de betrokkene om toestemming te vragen;
  4. Dit noodzakelijk is om een wettelijke verplichting na te komen;
  5. Dit noodzakelijk is voor de vervulling van een algemeen belang of publiekrechtelijke taak;
  6. Dit noodzakelijk is met het oog op een gerechtvaardigd belang van de verwerkings-verantwoordelijke dat prevaleert ten aanzien het privacybelang van de betrokkene. Bijvoorbeeld: het verwerken van de gegevens is noodzakelijk voor een goede bedrijfsvoering, activiteiten kunnen niet goed worden uitgevoerd zonder het verwerken van deze gegevens.

Binnen Eigen-Wijs in Zorg zijn de wettelijke verplichting en adequate bedrijfsvoering voorwaarden om persoonsgegevens te verwerken. Voor verwerking van zorggevens geldt de verleende toestemming als grond voor zover het gegevens betreft die niet noodzakelijk zijn voor de uitvoering van de aangegane overeenkomst.

*De verwerkingsverantwoordelijke moet er voor zorgdragen dat de betrokkene voldoende geïnformeerd is alvorens toestemming kan worden gegeven (zgn. informed consent). Deze expliciete toestemming moet een vrijwillige keuze zijn en moet geïnformeerd, specifiek en ondubbelzinnig gegeven worden, middels een actieve handeling. Voorts moet de toestemming worden geregistreerd en te allen tijde kunnen worden ingetrokken door de betrokkene. Toestemming hoeft niet schriftelijk te worden gegeven. Toestemming kan ook blijken uit woord of gedrag in antwoord op een duidelijke keuzevraag – vervolgens vastgelegd in het dossier.

 

  1. Gegevens verkregen bij betrokkene

7.1 Indien bij de betrokkene zelf de persoonsgegevens worden verkregen deelt de verwerkings-verantwoordelijke voor het moment van verkrijgen de betrokkene mede*:

▪ Zijn identiteit;

▪ Welke gegevens verzameld danwel verwerkt worden;

▪ De doeleinden van de verwerking waarvoor de gegevens zijn bestemd tenzij de betrokkene daarvan al op de hoogte is.

*Deze algemene kennisgeving kan geschieden door bijvoorbeeld het uitreiken van een informatiebrochure of door informatie over het reglement met verwijzing naar de website.

7.2 De betrokkene verstrekt nadere informatie voor zover dat – gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat daarvan wordt gemaakt – nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen*.

* Aangezien de verwerking van de gegevens wordt gedaan door een zorgverlenende instelling, mag in het algemeen worden aangenomen dat de betrokkene weet of kan weten dat verwerking van gegevens plaatsvindt. Kennisgeving van opname van gegevens aan de individuele betrokkene kan dan achterwege blijven. Volstaan kan worden met een algemene kennisgeving van het bestaan van de verwerking en dit reglement. Dit is anders indien andere doelen dan zorgverlening een zelfstandige doelstelling vormen van de verwerking, bijvoorbeeld wetenschappelijk onderzoek. In dat geval kan niet zonder meer worden aangenomen dat de betrokkene van deze doelstelling weet heeft. Kennisgeving aan individuele betrokkenen van verwerking van hun gegevens, alsmede van de doeleinden die daarmee worden nagestreefd, is in dit geval noodzakelijk.

Gegevens elders verkregen

7.3 Indien de persoonsgegevens niet rechtstreeks bij de betrokkene worden verkregen deelt de verwerkingsverantwoordelijke de betrokkene op het moment van vastlegging van hem betreffende gegevens, of wanneer de gegevens bestemd zijn voor een derde, uiterlijk op het moment van de eerste verstrekking, tenzij deze daarvan al op de hoogte is, de volgende informatie mede:

  1. zijn identiteit;
  2. de doeleinden van de verwerking waarvoor de gegevens zijn bestemd.

7.4 De verwerkingsverantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat er van wordt gemaakt nodig is om tegenover betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

7.5 Het bepaalde onder 3 is niet van toepassing indien de mededeling van de informatie aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verwerkingsverantwoordelijke de herkomst van de gegevens vast.

7.6 Het bepaalde onder 3 is eveneens niet van toepassing indien de vaststelling of de verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de verwerkingsverantwoordelijke de betrokkene op diens verzoek te informeren over het wettelijke voorschrift dat tot de vastlegging of verstrekken van de hem betreffende gegevens heeft geleid.

7.7 Indien de verwerkingsverantwoordelijke de betrokkene niet heeft geïnformeerd conform dit artikel, betekent dit dat de persoonsgegevens op een niet behoorlijke en onzorgvuldige wijze zijn verwerkt.

7.8 Binnen Eigen-Wijs in Zorg wordt de betrokkene middels uitleg in de zorgovereenkomst (onder punt 8 en aanvullend de punten 10 en 11) geïnformeerd over privacy, registratie en dossiervorming – evenals inzage door een externe auditor en uitwisseling met de huisarts. Voor deze laatstgenoemde kan de betrokkene toestemming intrekken.

Voorts is er aan de zorgovereenkomst een toestemmingsverklaring gekoppeld waarin specifiek toestemming gevraagd wordt voor het opvragen / verstrekken / uitwisselen van persoonsgegevens met derden (waar nodig met naam genoemd). Ook deze toestemming kan op elk later moment worden ingetrokken middels een daartoe bestemd formulier.

 

  1. Specifieke regels voor de verwerking van zorggegevens

8.1 Voor verwerking van zorggegevens is uitdrukkelijke toestemming* vanuit vrije wil**  van de betrokkene vereist, tenzij het een geval betreft als genoemd in de leden 2 of 6 of indien verstrekking noodzakelijk is ter uitvoering van een wettelijk voorschrift.

* De uitdrukkelijke toestemming: de betrokkene dient in woord, geschrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan verwerking van de hem betreffende gegevens.

**Het is een gegeven dat betrokkene in een afhankelijkheidsrelatie (cliënt/zorginstelling) verkeert en derhalve er geen sprake kan zijn van een volledige vrije wil. Immers zonder verwerking van persoonsgegevens is de gevraagde zorg niet leverbaar en kan de zorgovereenkomst met betrokkene niet tot stand komen. Uiteraard kan wel desgewenst een minimale verwerking van persoonsgegevens plaats vinden.

8.2 Persoonsgegevens betreffende de gezondheid mogen zonder toestemming van de betrokkene – met inachtneming van het derde lid – door de verwerkingsverantwoordelijke worden verstrekt aan:

  1. Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienst-verlening voor zover dat noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene; dan wel met het oog op het beheer van de organisatie van de verwerkings-verantwoordelijke;
  2. Verzekeraars voor zover dat noodzakelijk is voor de beoordeling van het door de verzekerings-instelling te verzekeren risico met uitsluiting van lid 4 en de betrokkene geen bezwaar heeft gemaakt, dan wel voor zover dat noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst.

8.3 De persoonsgegevens betreffende iemands gezondheid worden alleen verstrekt aan personen die uit hoofde van ambt, beroep of wettelijk voorschrift tot geheimhouding verplicht zijn dan wel krachtens een overeenkomst.

Ook overige personen moeten de persoonsgegevens geheim houden, tenzij de wet betrokkene tot mededeling verplicht of de noodzaak tot mededeling aan andere hiertoe bevoegde personen voortvloeit uit zijn taak. Dit laatste kan het geval zijn bij melding aan het Advies- en Meldpunt Huiselijk geweld en Kindermishandeling (AMHK).

8.4 Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de gegevensverwerking de beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer. Voorts hebben toegang tot de gegevensverwerking de verwerkingsverantwoordelijke en de verwerker persoonsgegevens voor zover dat met het oog op een goede behandeling of verzorging dan wel het beheer noodzakelijk is.

8.5 Persoonsgegevens betreffende erfelijke eigenschappen mogen alleen worden verstrekt voor zover deze gegevens uitsluitend betrekking hebben op de betrokkene die deze gegevens heeft verstrekt.

8.6 Indien persoonsgegevens betreffende iemands gezondheid zodanig zijn geanonimiseerd dat zij redelijkerwijs niet herleidbaar zijn, kan de verwerkingsverantwoordelijke besluiten deze te verstrekken ten behoeve van de doeleinden die verenigbaar zijn met het doel van de gegevensverwerking.

8.7 Persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke voorkeur en seksuele leven, lidmaatschap van een vakbond, strafrechtelijke verleden mogen uitsluitend worden verstrekt voor zover dit noodzakelijk is in aanvulling op de verstrekking van persoonsgegevens betreffende iemands gezondheid als bedoeld in lid 2 van dit artikel.

8.8 Persoonsgegevens betreffende iemands gezondheid mogen worden verwerkt indien:

  1. dit geschiedt met uitdrukkelijke toestemming van de betrokkene;
  2. de gegevens door de betrokkene duidelijk openbaar zijn gemaakt;
  3. dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte;
  4. dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting of
  5. dit noodzakelijk is met het oog op een zwaarwegend algemeen belang.

8.9 Verstrekking van gegevens in het kader van de WMO, de WLZ en de Jeugdwet – AMHK en BSN:

  1. Persoonsgegevens mogen door zorginstellingen die een maatwerkvoorziening vanuit de WMO 2015 bieden verstrekt worden aan de gemeente, het CAK, de SVB of toezichthoudende ambtenaren voor zover dit noodzakelijk is voor bepaalde doeleinden (zoals onderzoek van noodzaak van de voorziening, bepalen en innen van de eigen bijdragen of het houden van toezicht).Het medisch dossier mag niet worden overlegd aan de gemeente of andere instantie. De gemeente mag bijvoorbeeld weten dat betrokkene een indicatie heeft volgens de WMO 2015, maar niet wát er in het dossier staat. Deze gegevens mogen alleen worden verstrekt met ondubbelzinnige toestemming van betrokkene gericht op specifiek omschreven gegevens die noodzakelijk zijn om aan het legitieme verzoek van de gemeente te voldoen.
  2. In het kader van de WLZ mogen persoonsgegevens verstrekt worden aan CIZ, CAK en WLZ uitvoerders voor bepaalde doeleinden zoals zorgverlening, het sluiten van overeenkomsten, bijhouden van wachtlijsten, declaratie van zorg, controle door WLZ uitvoerders en vaststelling en inning van eigen bijdragen. Alleen met uitdrukkelijke toestemming mag de zorginstelling persoonsgegevens betreffende de gezondheid delen met het CIZ.
  3. In het kader van de Jeugdwet (en Regeling Jeugdwet) mogen persoonsgegevens in beginsel alleen verstrekt worden met duidelijke en expliciete toestemming van betrokkene, tenzij deze worden verstrekt aan personen en instanties die rechtstreeks zijn betrokken bij het verlenen van de jeugdhulp of bij de uitvoering van de behandelingsovereenkomst. Voor het opstellen van beleidsinformatie of het onderzoeken van fraude mogen niet herleidbare gegevens (anoniem) worden verstrekt aan de gemeente.
  4. Aanbieders van een maatwerkvoorziening Jeugdhulp moeten op grond van de Jeugdwet persoons-gegevens verstrekken aan de gemeente of aan betreffende Minister die daarom verzoekt. Deze persoonsgegevens mogen worden verstrekt voor zover ze noodzakelijk zijn voor, onder andere, het functioneren van de toegang tot jeugdhulp en de jeugdhulpaanbieders en het waarborgen van de stelselverantwoordelijkheid. Hierbij mag in beginsel door de opvragende instantie (de gemeente) geen diagnose-informatie of behandelplan worden verzocht (hierin staan bijzondere persoonsgegevens die vallen onder het strenge regime van de AVG).
  5. Toestemming van betrokkene is bij zorgverlening vanuit bovengenoemde wetten niet vereist wanneer persoonsgegevens worden verstrekt aan het AMHK in het kader van een situatie van (vermoede) kindermishandeling en/of huiselijk geweld.
  6. De WMO, de WLZ en de Jeugdwet bieden een grondslag voor het verwerken (en verstrekken) van de BSN door een zorginstelling, jeugdhulpaanbieder en andere instanties zoals gemeente, CAK, SVB, toezichthoudende ambtenaren, AMHK en de zorgverzekeraar. De zorginstelling heeft de plicht de identiteit van betrokkene (bij het eerste contact) te controleren en het BSN in de administratie op te nemen.

8.10 Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek worden verstrekt indien:

  1. Het onderzoek een algemeen belang dient;
  2. De verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is;
  3. Het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een evenredige inspanning kost en
  4. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

8.11 Onverminderd eventuele wettelijke voorschriften ter zake is toestemming vereist als een bijzondere wet zoals de WMO, de Jeugdwet of de WLZ voorschrijft dat voorgaande toestemming vereist is.

8.12 Organisaties moeten nagaan of er sprake is van internationale doorgifte van persoonsgegevens.

Eigen-Wijs in Zorg werkt uitsluitend binnen Nederland en voor zover bekend blijven de gegevens binnen de landsgrenzen.

Tenzij buiten medeweten van de verwerkingsverantwoordelijke gegevens verstrekt aan overheidsinstanties waarmee wordt samen gewerkt (zoals gemeentes, inspectie-diensten of indicatieorganen) op grond van een wettelijke plicht internationaal gedeeld worden.

Er mag redelijkerwijs aangenomen worden dat dit in dergelijke gevallen anoniem geschiedt.

 

  1. Recht op inzage en afschrift van opgenomen persoonsgegevens

9.1 De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens. Inzage en/of een afschrift van persoonsgegevens kan worden verkregen door een schriftelijk verzoek* aan de directie, tevens verwerkingsverantwoordelijke.

* Dit inzageverzoek kan zonder opgaaf van reden gedaan worden.

9.2 De betrokkene ontvangt in duidelijke en begrijpelijke taal helderheid over welke gegevens het betreft, doel van gebruik, aan wie de gegevens eventueel verstrekt zijn, wat de herkomst van de gegevens is (voor zover bekend) en hoe lang deze worden bewaard.

9.3 Ouders kunnen inzage krijgen in het dossier van hun kind als dat jonger is dan zestien jaar en de ouder (eventueel aangetoond) wettelijke vertegenwoordiger (gezaghebber) is van het kind. Kinderen van zestien jaar of ouder hebben zelf recht op inzage*. Vanaf 16 jaar hebben ouders toestemming van het kind nodig voor inzage, tenzij het kind wilsonbekwaam is.

* Op grond van de WMO 2015 en de Jeugdwet hebben kinderen van twaalf jaar of ouder recht op inzage, tenzij betrokkene zijn belangen niet zelf kan inschatten. Dan kan een verzoek worden geweigerd. In die gevallen kan een wettelijke vertegenwoordiger een inzage-verzoek doen. In de leeftijd tussen 12 en 16 jaar is een dubbel toestemmingsrecht tot inzage. Zowel het kind als diens wettelijke vertegenwoordigers kunnen dan toestemming geven tot inzage (en gegevensuitwisseling).

9.4 Recht op inzage betreft alleen de eigen gegevens van betrokkene. Er bestaat dus geen recht op inzage van informatie over anderen. Werkaantekeningen vallen niet onder het inzagerecht (tenzij deze informatie is opgenomen in het dossier of verstrekt is aan anderen).

*Op  grond van de WMO 2015 en de Jeugdwet blijft de verstrekking van inzage achterwege voor zover dit noodzakelijk is in het belang van de bescherming van de persoonlijke levenssfeer van een ander.

9.5 De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt.

9.6 Een mogelijke beperkingsgrond voor inzage en afschrift kunnen zijn gewichtige belangen van anderen dan de verzoeker, de verwerkingsverantwoordelijke daaronder begrepen.

9.4 Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht.

 

  1. Rechten van betrokkene op aanvulling, correctie, vernietiging, vergetelheid en dataportabiliteit van opgenomen persoonsgegevens

10.1 De betrokkene, die volgens artikel 9 kennis heeft genomen van zijn persoonsgegevens, kan de

verwerkingsverantwoordelijke verzoeken de opgenomen gegevens aan te vullen met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.

10.2 De betrokkene kan verzoeken om correctie van op hem betrekking hebbende gegevens, indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift.

10.3 Het correctierecht is niet bedoeld voor het corrigeren van professionele indrukken, meningen en conclusies waarmee betrokkene het niet eens is, voor zover deze ter zake doen. Wel mag de betrokkene verzoeken dat de zorginstelling in ieder geval zijn schriftelijke mening toevoegt aan het dossier. Dit kan vooral een oplossing beiden in situaties waarbij het niet om objectief vast te stellen feiten gaat.

10.4 De verwerkingsverantwoordelijke draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd.

10.5 De betrokkene heeft het recht op beperking van de verwerking en het recht bezwaar te maken tegen bepaalde verwerkingen van zijn gegevens voor directe marketingdoeleinden.

10.6 De betrokkene kan verzoeken om verwijdering* van op hem betrekking hebbende persoons-gegevens.

* Onder verwijdering dient men tevens vernietiging te verstaan.

10.7 De betrokkene kan verzoeken om verwijdering van persoonsgegevens door te geven aan alle andere organisaties die gegevens van de zorginstelling hebben ontvangen.

10.8 De betrokkene heeft (onder bepaalde voorwaarden) het recht om van de zorginstelling de persoonsgegevens in een standaardformaat te ontvangen of door te geven aan een andere zorgaanbieder (dataportabiliteit genoemd).

10.9 De verwerkingsverantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot correctie of verwijdering schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.

10.10 De verwerkingsverantwoordelijke verwijdert de gegevens binnen drie maanden* na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is.

* De AVG schrijft een termijn van 1 maand voor. De WMO 2015, de Jeugdwet en de WLZ schrijven een verlengde termijn van 3 maanden voor. Persoonsgegevens hoeven niet te worden vernietigd wanneer een derde een aanmerkelijk belang heeft bij het bewaren van het dossier of wanneer een wettelijke bepaling zich hiertegen verzet. Deze verplichting tot vernietiging geldt niet alleen ten aanzien van de zorginstelling, maar ook ten aanzien van bijvoorbeeld CAK, SVB, gemeente, verzekeraars en AMHK.

10.11 Betrokkene heeft het recht bezwaar te maken tegen geautomatiseerde besluitvorming. Binnen Eigen-Wijs in Zorg is hiervan ten tijde van het opstellen van dit document geen sprake.

 

  1. Bewaren van gegevens

11.1 De verwerkingsverantwoordelijke stelt vast hoelang de opgenomen persoonsgegevens bewaard blijven. Deze bewaartermijn is:

  1. Voor medische, zorggegevens en diagnostische gegevens in beginsel minimaal vijftien jaren, in het kader van de WMO 2015 en Jeugdwet, de WLZ (en ook de WGBO), te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goede hulpverlener casu quo de verwerkingsverantwoordelijke voortvloeit.
  2. Voor gegevens van werknemers, opgenomen in personeelsdossier is de bewaartermijn vijf jaren.
  3. Voor fiscale gegevens, boekhoudplicht en financiële verslaglegging is de bewaartermijn in de regel zeven jaren.

11.2 Indien de bewaartermijn van de zorggegevens is verstreken of de betrokkene doet een verzoek tot verwijdering vóór het verstrijken van de bewaartermijn, worden de desbetreffende medische persoonsgegevens verwijderd zulks binnen een termijn van drie maanden.

11.3 Verwijdering blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de verwerkingsverantwoordelijke overeenstemming bestaat.

 

  1. Documentatie

12.1 Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of samenhangende doeleinden bestemd is, is vanuit de AVG onderhevig aan plicht tot documentatie.

12.2 De verwerkingsverantwoordelijke heeft de verantwoordelijkheid (intern) een register van alle gegevensverwerkingen bij te houden. Gegevensverwerking hoeft niet (meer) te worden gemeld aan de Autoriteit Persoonsgegevens (AP). Deze AP kan de gegevens te allen tijde bij de verwerkingsverantwoordelijke opvragen.

12.3 Eigen-Wijs in Zorg voldoet aan deze documentatieplicht in de vorm van een register te vinden in het aanhangsel bij dit privacyreglement.

 

  1. Register van gegevensverwerking

Een verwerkingsregister is verplicht bij a. meer dan 250 medewerkers of als minder bij b. gegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie de persoonsgegevens verwerkt worden en/of c. waarvan de verwerking niet incidenteel is en/of d. bij bijzondere persoonsgegevens. De gronden a, b en c zijn voor Eigen-Wijs in Zorg niet van toepassing, d wel.

Eigen-Wijs in Zorg verwerkt bijzondere persoonsgegevens in de vorm van gezondheidsgegevens (uitsluitend voor zover noodzakelijk voor de uitvoering van de zorgtaak) en het BSN (op basis wettelijke verplichting).

13.1 Doel van verwerking van gegevens binnen Eigen-Wijs in Zorg (passend binnen de doelstelling van de zorginstelling) is het verantwoord kunnen bieden van ambulante begeleiding (ofwel zorgverlening) in het kader van een maatwerkvoorziening, het verlenen van jeugdhulp of het bieden van adequate (langdurige) zorg ten behoeve van betrokkene en eveneens het zorgdragen voor een juiste bedrijfsvoering.

13.2 Het verwerkingsregister van Eigen-Wijs in Zorg is te vinden in het aanhangsel bij dit privacyreglement.

13.3 Dit register wordt desgevraagd ter beschikking gesteld van de toezichthoudende Autoriteit Persoonsgegevens.

 

  1. Toezicht en klachten

De Autoriteit Persoonsgegevens houdt toezicht op naleving van de privacy regelgeving. De AVG vereist dat de verwerkingsverantwoordelijke kan aantonen dat verwerkingen geschieden in overeenstemming met de vereisten die de AVG daaraan stelt.

Betrokkene heeft het recht tot het indienen van een klacht betreffende niet-conforme verwerking van persoonsgegevens door verwerkingsverantwoordelijke en/of verwerkers.

14.1 Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij zich te wenden tot:

  1. De verwerkingsverantwoordelijke – directie van Eigen-Wijs in Zorg en contactpersoon volgens de klachtenprocedure van de zorginstelling;
  2. De binnen de instelling functionerende regeling voor onafhankelijke klachtenbehandeling;
  3. De Autoriteit Persoonsgegevens (AP) met het verzoek een onderzoek in te stellen of de wijze van gegevensverwerking door de verwerkingsverantwoordelijke in overeenstemming is met de AVG;
  4. De Ombudsman.

14.2 Betrokken heeft op grond van de AVG het recht op een effectief rechtsmiddel tegen een toezichthouder die een klacht niet correct heeft afgehandeld.

 

  1. Schadevergoeding

Betrokkene heeft het recht op het vorderen van schadevergoeding voor schade veroorzaakt door een overtreding van de AVG. In geval van schade is compensatie mogelijk middels een nationale rechtsgang waarin een betrokkene kan opkomen tegen de schending van zijn rechten.

 

  1. Wijzigingen, inwerkingtreding en inzage van dit reglement

16.1 Wijzigingen van dit reglement worden aangebracht door de verwerkingsverantwoordelijke.

16.2 De wijzigingen in het reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan betrokkene.

16.3 Dit reglement zal per 25 mei 2018 in werking getreden en is bij de verwerkings-verantwoordelijke in te zien.

16.4 Desgewenst kan afschrift van dit reglement worden verkregen.

 

De verwerkingsverantwoordelijke,

Namens Louise Zeelen

Directie Eigen-Wijs in Zorg
Privacyreglement van Eigen-Wijs in Zorg februari 2018 – versie 1.2

 

Contactgegevens:

Eigen-Wijs in Zorg

info@eigen-wijsinzorg.nl

www.eigen-wijsinzorg.nl

06-43181967

 

Privacy-reglement – Aanhangsel 

Verwerkingsregister

Eigen-Wijs in Zorg verwerkt bijzondere persoonsgegevens in de vorm van gezondheidsgegevens (uitsluitend voor zover noodzakelijk voor de uitvoering van de zorgtaak) en het BSN (op basis wettelijke verplichting). Op grond van de AVG vraagt dit om een verwerkingsregister, welk middels dit aanhangsel is vorm gegeven en uitgewerkt.

I – Doel

Doel van verwerking van gegevens binnen Eigen-Wijs in Zorg (passend binnen de doelstelling van de zorginstelling) is het verantwoord kunnen bieden van ambulante begeleiding (ofwel zorgverlening) in het kader van een maatwerkvoorziening, het verlenen van jeugdhulp of het bieden van adequate (langdurige) zorg ten behoeve van betrokkene en eveneens het zorgdragen voor een juiste bedrijfsvoering.

 

II – Categorieën van persoonsgegevens

Cliëntgegevens

Eigen-Wijs in Zorg verzamelt persoonsgegevens waardoor de betrokkene identificeerbaar is zoals: voornaam, achternaam, voorletters, adres, telefoonnummer (ouders), emailadres (ouders), geboortedatum, geboorteplaats, nationaliteit, burgerlijke staat en geslacht.

Eigen-Wijs in Zorg vraagt elke betrokkene (uit wettelijke plicht) het BurgerServiceNummer (BSN). Daarnaast (tenzij daartegen bezwaar is gemaakt) worden gegevens van de huisarts gevraagd. En voor zover nodig en van toepassing registratienummers van instanties zoals gemeente, CJG (verzorgt toewijzing jeugdhulp in opdracht van de gemeente), CIZ en CAK.

Op het moment dat de cliënt daar toestemming voor geeft, ontvangt Eigen-Wijs in Zorg contactgegevens van (in verleden) betrokken hulpverleningsinstanties (of personen) voor zover dit de begeleiding vanuit onze zorginstelling ten goede kan komen.

Eigen-Wijs in Zorg verzamelt (met name in het kader van uitvoering van zorg op grond van de jeugdwet) gegevens van kinderen en jongeren – en spreekt volgens wettelijke verplichting gezaghebbende ouders of wettelijke vertegenwoordigers aan voor toestemming.

Eigen-Wijs in Zorg verzamelt bijzondere persoonsgegevens betreffende de gezondheid (zorggegevens genoemd) voor zover nodig en van toepassing in het kader van de aan de zorginstelling gestelde vraag zoals: aard en omvang van de beperking, diagnostische gegevens (IQ en psychiatrisch en persoonlijkheidsonderzoek), persoonlijke situatie en beleving, leefsituatie, gezinssituatie, woonsituatie, gezinssamenstelling, aard en omvang van het sociale netwerk (vrienden/kennissen), school-, dagbestedings- en/of werksituatie (organisatie, niveau/functie, betrokken personen, verloop en knelpunten), vrije-tijdssituatie (hobby of sport), knelpunten en beperkingen in functioneren, krachten (sterke kanten) en prognose, sociale ontwikkeling, emotionele ontwikkeling, zelfstandigheid en regie (op diverse levensgebieden), ingrijpende gebeurtenissen, hulpverlening in heden en verleden (betrokken instanties, personen, verloop, bevindingen/conclusies), hulpvraag en doelen waar aan gewerkt dient te worden, gewenste ontwikkeling van vaardigheden en gedragsverandering en voor zover relevant medische informatie over lichamelijke gezondheid.

Eigen-Wijs in Zorg verzamelt of verwerkt in de regel geen bijzonder persoonsgegevens over godsdienst of levensovertuiging, ras, politieke voorkeur en seksuele leven, lidmaatschap van een vakbond, strafrechtelijke verleden. Tenzij de betrokkene deze informatie in alle openheid – en met diens toestemming – zelf deelt (al dan niet in de vorm van verslaglegging van anderen) en het passend of noodzakelijk is voor het verlenen van een goede zorg om deze gegevens vast te leggen.

Eigen-Wijs in Zorg verzamelt geen genetische (DNA) of biometrische gegevens (vingerafdruk).

Werknemersgegevens

Eigen-Wijs in Zorg verzamelt van werknemers in dienst van de zorginstelling persoonsgegevens voor zover noodzakelijk voor een juiste bedrijfsvoering, loonadministratie en personeelsbeleid.

Eigen-Wijs in Zorg verzamelt persoonsgegevens waardoor de werknemer identificeerbaar is zoals: voornaam, achternaam, voorletters, adres, privételefoonnummer, privé-emailadres, geboortedatum, geboorteplaats, nationaliteit, burgerlijke staat en geslacht.

Eigen-Wijs in Zorg vraagt bewijzen van opleiding, ervaring en betrouwbaarheid in de vorm diploma’s, registraties, kwalificaties en Verklaring Omtrent Gedrag (VOG).

Eigen-Wijs in Zorg verwerkt gegevens in het kader van het personeelsdossier in de vorm van verslaglegging van o.a. functioneringsgesprekken. De werknemer is op de hoogte van de stukken die daar ingevoegd zijn – daar deze vooraf (en in kopie) ter ondertekening worden aangeboden.

Gegevens van derden

Voor een specifieke verwerking (zoals de nieuwsbrief of aansluiting social media (facebookgroep) wordt het mailadres of actieve handeling van de betrokkene gevraagd. Desgevraagd is duidelijk dat het mailadres ook weer uit de mailinglijst verwijderd zal worden als daarom verzocht wordt en kan iemand zich zelf* afmelden bij de social media groep.

* Bij kinderen onder de 16 jaar wordt toestemming van de wettelijk vertegenwoordiger gevraagd.

 

III – Personen aan wie persoonsgegevens verstrekt kunnen worden

Persoonsgegevens betreffende cliënten

Eigen-Wijs in Zorg verstrekt informatie aan instanties die vanuit indicatie en administratie betrokken zijn bij de uitvoering van de gestelde taak. Denk hierbij aan de gemeente, CJG, CIZ, CAK, In voorkomende gevallen worden gegevens verstrekt aan auditoren kwaliteitszorg (HKZ), AMHK, inspectiediensten en de Autoriteit Persoonsgegevens.

Beknopte gegevens worden middels de huisartsenbrief (bij start en afsluiting hulpverlening) verstrekt aan de huisarts van betrokkene (tenzij betrokkene in de zorgovereenkomst heeft aangevinkt dit niet te wensen).

Verder worden gegevens uitsluitend verstrekt met toestemming van betrokkene.

In het kader van ambulante begeleiding wordt uitsluitend met toestemming van betrokkene informatie verstrekt aan bij die personen welke direct betrokken zijn bij het doel van de geleverde zorg. Dit kunnen familieleden of bekenden zijn, maar voornamelijk professionals van zorginstellingen, onderwijsinstellingen of arbeidsvoorzieningen (inclusief werkgevers).

Persoonsgegevens betreffende werknemers

Gegevens van werknemers worden uitsluitend gedeeld met het administratiekantoor dat als ingekochte dienst de loonadministratie uitvoert en (voor zover nodig) met de boekhouder welke de bedrijfsboekhouding uitvoert.

 

IV – Verwerkers buiten de zorginstelling

De (bijzondere) persoonsgegevens in het elektronisch cliëntdossier worden verwerkt en bewaard door een extern daartoe gespecialiseerd bedrijf, genaamd Qurentis.

Dit bedrijf is sinds 2016 NEN 7510:2011 en NEN-ISO/IEC 27001:2013 gecertificeerd. Dit betekent dat een onafhankelijke organisatie jaarlijks beoordeelt of en op welke wijze Qurentis haar processen inricht in relatie tot de informatiebeveiliging en het in werking zijnde Information Security Management System (ISMS). Hiermee voldoet het registratiesysteem aan de huidige wettelijke veiligheidsstandaard voorgeschreven door de AVG. Bij een datalek wordt een procedure gevolgd en informeert Qurentis de verantwoordelijke tijdig, en zonder onnodige vertraging.

Qurentis heeft een bewerkersovereenkomst ontwikkeld die recht doet aan de bestaande samenwerking en de actuele werkwijze – getoetst aan het wettelijk kader en bovengenoemde normen. Directie zal die spoedig ter ondertekening ontvangen.

Ten behoeve van loonadministratie worden persoonsgegevens van werknemers verwerkt waaronder BSN en rekeningnummer/rekeninghouder. Deze informatie wordt verwerkt door een extern administratiekantoor Keesmekers. Dit kantoor kan aansluiten bij de ontwikkelingen van CBBS. Zij zijn druk bezig ons voor te bereiden op de AVG. Onderdeel van deze voorbereidingen is het opstellen van een verwerkersovereenkomst, een privacy statement en een data-lek procedure.

Met deze verwerker wordt nog een verwerkingsovereenkomst afgesloten.

Ten behoeve van bedrijfsvoering wordt de boekhouding gedaan op basis van geleverde diensten (met inzage in facturatie rond cliënten) en betaalde lonen aan werknemers. Deze informatie betreffende de werknemer wordt verwerkt door een extern boekhoudkantoor. Met deze verwerker wordt een verwerkingsovereenkomst afgesloten.

Ten behoeve van onderlinge communicatie zijn persoonsgegevens van werknemers verstrekt aan de Theta-Comm automatisering die zorgdraagt voor mailverkeer en de website van de zorginstelling. Zij hebben dus informatie aangaande, emailadressen (van werknemers) en beheren updates en back-up. Theta-Comm is echter geen verwerker aangezien data van Eigen-Wijs in Zorg ‘On Premise’ draait, hetgeen betekent dat de automatisering op eigen locatie plaats vindt, met ondersteuning van dit ICT bedrijf. Een verwerkingsovereenkomst is derhalve niet vereist.

Directie onderzoekt in samenwerking met hen optimale bescherming van data bij diefstal van apparatuur of uitdiensttreding van een medewerker. Denk hierbij inzet van een cloudservice als nomadesk aan encryptie op gegevens en remote een gebruiker kunnen blokkeren en mogelijkheid om van afstand gegevens definitief te kunnen verwijderen.

 

V – Bewaartermijnen

Eigen-Wijs in Zorg houdt zich aan de conform de eisen van WMO en Jeugdwet (en tevens de WGBO) gestelde wettelijke termijn van minimaal 15 jaar (na afsluiting van de verleende zorg).

Het personeelsdossier wordt gedurende 5 jaar (na vertrek) bewaard.

Fiscale gegevens voortkomend uit boekhoudplicht en financiële administratie worden bewaard gedurende 7 jaar (na opheffing van bestaan van de zorginstelling).

Indien de betrokkene vóór het verstrijken van de bewaartermijn verzoekt tot verwijdering van het dossier zal daaraan gehoor gegeven worden, mits dit niet strijdig is met andere belangen welke een grond vormen dit verzoek te weigeren.

 

VI – Beveiligingsmaatregelen

De verwerkingsverantwoordelijke van Eigen-Wijs in Zorg draagt er zorg voor dat gegevensverwerking adequaat beveiligd worden en neemt passende organisatorische en technische beveiligings-maatregelen (‘privacy by design’ genoemd) die ervoor zorgen dat persoonsgegevens niet verloren gaan of onrechtmatig worden verwerkt. Wat passend is, is afhankelijk van gebruikelijke technieken en de gevoeligheid van persoonsgegevens.

Gegevensbescherming

Eigen-Wijs in Zorg heeft onder meer de volgende beveiligingsmaatregelen genomen:

  • Niet meer dan nodig voor het beoogde doel vragen van gegevens van cliënten en werknemers.
  • Niet meer gegevens tonen / toegankelijk maken voor beroepskrachten c.q. medewerkers dan nodig voor uitvoering van hun taak.
  • Persoonsgegevens uitsluitend verwerken passend binnen het doel waarvoor ze bestemd zijn.
  • Betrokkene informeren over doel en reikwijdte van verwerking van persoonsgegevens, omgang met privacy en gegevensbescherming.
  • Betrokkene informeren over diens recht tot inzage, correctie, aanvulling, beperking, bezwaar, verwijdering of klagen.
  • Eigen-Wijs in Zorg werkt met een schriftelijke toestemmingsverklaring daar waar deze toestemming vereist of gewenst is. Dat zelfde geldt voor de intrekking van toestemming.
  • Persoonsgegevens in het kader van cliënttevredenheidsonderzoek, nieuwsbrief of beleidsplan worden geanonimiseerd (tenzij de betrokkene daar bij eerstgenoemde van afziet vanwege de wens over bevindingen te communiceren met de directie, tevens verwerkingsverantwoordelijke.
  • Gegevens worden zo goed mogelijk beschermd middels omgang en technische mogelijkheden aansluitend bij de normen van de AVG – voor zover mogelijk in de praktijk.
  • Apparatuur (laptops) zijn beveiligd met een wachtwoord en virusscanner. Toegang tot Outlook (mail), Qurentis (registratie) en Website zijn eveneens beveiligd met een wachtwoord.
  • Er is geen sprake van profilering van gegevens of geautomatiseerde besluitvorming.
  • Persoonsgegevens van het cliëntdossier worden geregistreerd en transport van data vindt encrypted (versleuteld) plaats binnen Qurentis.
  • In mailverkeer naar derden volgt Eigen-Wijs in Zorg de huidige standaard en praktijk en verstuurt informatie daar waar dat mogelijk is middels beveiligd berichtenverkeer.
  • Medewerkers worden geïnformeerd met betrekking tot (ontwikkelingen op het gebied van) het omgaan met vertrouwelijke informatie en persoonsgegevens.
  • Medewerkers zijn gehouden aan geheimhoudingsplicht. Evenals verwerkers bij uitbestede diensten (loonadministratie, automatisering en cliëntregistratie).
  • Toegang voor medewerkers tot bepaalde delen van het elektronisch cliëntdossier en documentmappen, zijn geregeld via rechten.
  • In de facturatie en administratie rond betrokkene wordt (waar mogelijk) gewerkt middels beveiligd berichtenverkeer en beveiligde toegang van ondersteunende systemen middels inloggegevens (zoals beveiligingssoftware van VECOZO).
  • Bescherming van verwerking van persoonsgegevens – dit privacyreglement en de manier waarop Eigen-Wijs in Zorg hier mee omgaat wordt jaarlijks geëvalueerd in de procesevaluatie binnen de jaarbespreking.
  • Eigen-Wijs in Zorg stelt zich tot doel om zo snel als mogelijk, daar waar een wettelijk voorschrift dit vereist, verwerkingsovereenkomsten op te stellen met derden die betrokken zijn als verwerker bij uitbestede diensten (loonadministratie, automatisering en cliëntregistratie).

Functionaris voor de gegevensbescherming

De AVG introduceert nieuwe eisen met betrekking tot de functionaris voor de gegevensbescherming (FG ofwel Data Protection Officer, hierna: DPO).

Op basis van de AVG worden sommige verwerkingsverantwoordelijken en sommige verwerkers verplicht een DPO aanstellen – met name bij het vanuit de kernactiviteit (core-business) op grote schaal volgen van personen en verwerken van persoonsgegevens. Voor Eigen-Wijs in Zorg, die gegevens verwerkt op zeer kleine schaal, geldt ons inziens deze verplichting derhalve niet.

Data Privacy Impact Assessment (DPIA)

Het DPIA is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen. Deze is op grond van de AVG verplicht bij een verwacht hoog risico door gegevens-verwerking op grote schaal.

Op basis van de check* gedaan aan de hand van de criteria voor ‘verhoogd risico’ kan gesteld worden dat Eigen-Wijs in Zorg aan één daarvan voldoet, namelijk het verwerken van bijzondere persoons-gegevens (en daarvan uitsluitend de gegevens betreffende de gezondheid en de BSN).

Deze verwerking vindt plaats op kleine schaal (betreffende minder dan 50 cliënten); uitsluitend gericht op het kerndoel van de zorginstelling (te weten begeleiding binnen een maatwerkvoor-ziening, de jeugdwet of een zorgvoorziening); noodzakelijk voor adequate bedrijfsvoering of door wettelijke plicht; en daar waar die noodzaak er niet is – met toestemming van de cliënt.

Op basis hiervan meent Eigen-Wijs in Zorg te kunnen concluderen dat een DPIA niet vereist is voor onze organisatie.

* We hebben ons hierbij laten leiden door de informatie gekoppeld aan deze link.

Meldplicht datalekken

Eigen-Wijs in Zorg zal een datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens als er een risico bestaat voor de rechten en vrijheden van de betrokkene. Dit kan bijvoorbeeld worden aangenomen wanneer bijzondere persoonsgegevens zijn gelekt.

Wanneer er sprake is van een hoog privacy risico, bijvoorbeeld wanneer deze bijzondere persoonsgegevens niet versleuteld waren, zal dit volgens AVG worden gemeld aan betrokkene.

Eigen-Wijs in Zorg zal alle datalekken documenteren – met daarbij de onderbouwing van de verwerkingsverantwoordelijke waarom melding aan de AP en/of de betrokkene wel of niet noodzakelijk is.

Eigen-Wijs in Zorg zal zo spoedig mogelijk vorm geven aan de verplichte ‘roadmap voor datalekken’ met een schema van te nemen maatregelen ter voorkoming en afhandeling van datalekken. Het bevat eveneens informatie over hoe dit proces geëvalueerd en gedocumenteerd wordt.

In de basis is deze wegwijzer al toegevoegd aan het aanhangsel.

 

Wegwijzer voor datalekken

In januari 2016 heeft de Autoriteit Persoonsgegevens (AP) een meldplicht voor datalekken ingevoerd. Een wettelijke verplichting die bepaalt dat bedrijven en overheden onverwijld melding moeten maken van een ernstige datalek.

Maar over welke incidenten hebben we het dan?

Een datalek wordt door de Autoriteit Persoonsgegevens gedefinieerd als toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling was. Het is daarmee niet beperkt tot het naar buiten komen van informatie, een concrete lek, maar ondervangt ook de onrechtmatige verwerking van gegevens, waarbij bescherming van deze data niet conform de wetgeving is.

Vijf concrete voorbeelden waarbij altijd aan de bel moet worden getrokken, ook als het maar een onschuldige fout is.

  1. ‘Offline’ datalekken: de papierbak

Wie bij een datalek direct aan digitale gegevens denkt, vergeet dat het vaak zo kan zijn dat er überhaupt geen elektronica aan te pas komt. Denk bijvoorbeeld aan de dossiers in de schoudertas, de documenten die open en bloot op het bureau liggen of de printjes die niet zomaar in de papierpak verdwijnen. Want stonden daar geen gegevens op die niet voor derden bedoeld waren? 

  1. Verlies van een usb-stick of laptop

Wat meer herkenbaar als het over datalekken gaat. Een usb-stickje verloren in de trein, of een laptop gestolen van de achterbank van de auto. Pijnlijk als daar bedrijfsdocumenten op te vinden zijn, bijvoorbeeld met persoonsgegevens van cliënten of privacygevoelige informatie van betrokkenen.

  1. Diefstal van een telefoon

In het verlengde van nummer 2 is verlies en diefstal van een telefoon dus ook een reden voor alarm. De moderne smartphone is een primaire bron voor datalekken. De tijden van slechts een handjevol telefoonnummers en wat potentieel privacygevoelige sms’jes op dat toestel zijn voorbij.

De smartphone geeft toegang geeft tot heel veel informatie en biedt dus veel mogelijkheden als het apparaat in de verkeerde handen belandt? E-mail, notities, automatische inlog voor bedrijfswebsites en –systemen, noem maar op.

  1. Phishing en ransomware

Hackers die via phishing en social engineering toegang weten te krijgen tot een netwerk, kunnen zich ook entree verschaffen tot allerlei belangrijke data. En ermee aan de haal gaan, of deze data ‘simpelweg’ manipuleren om er op een andere wijze voordeel mee te behalen. En wie bekend is met ransomware, weet dat virussen en malware een stevige grip kunnen hebben op je computer of complete systemen, waarbij de integriteit van de gegevensbescherming eveneens in gevaar is geraakt. Reden genoeg om dat bij de juiste persoon te rapporteren.

Over ransomware en de afweging of het wel of geen datalek is, krijgt de AP overigens geregeld vragen, die op deze pagina beantwoord worden. Het komt erop neer dat organisaties een geval van ransomware moeten melden als dat ‘leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als er een aanzienlijke kans bestaat dat dit gebeurt.’

  1. De Menselijke Fout

De mens tot slot is in verreweg de meeste gevallen de zwakste schakel in de beveiligingsketen. Dat moet niet gezien worden als een beschuldiging of een negatief oordeel, maar als belangrijk aandachtspunt. Hackers vertrouwen er namelijk op dat de mensen zich onvoldoende bewust zijn van de informatie die ze in bezit hebben, of niet veilig genoeg met technologie omgaan. Denk ook aan een mailtje waarbij per abuis de verkeerde mensen op CC staan, of een bestand dat zonder de juiste voorzorgsmaatregelen en versleuteling verstuurd wordt. En natuurlijk kan het een keer gebeuren dat je ergens wat hebt laten liggen, toch op dat verkeerde linkje hebt geklikt, of een dubieus bestand hebt geopend. Maar maak er wel altijd melding van. De gevolgen kunnen vele malen groter zijn dan dat onschuldige foutje rechtvaardigt.

Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.

(Bron: Autoriteit Persoonsgegevens, Beleidsregels meldplicht datalekken, pag. 4-5).

 

Melding van een datalek aan de Autoriteit Persoonsgegevens:

Organisaties kunnen zich voor de melding van een lek wenden tot het Meldloket. Daar staan ook de beleidsregels – het hoe en wanneer van een melding – en informatie over hoe de AP met de gegevens omgaat.

Inhoud van de melding aan de toezichthouder

Een melding van een datalek aan de toezichthouder Autoriteit Persoonsgegevens bevat minimaal de volgende informatie:

  • de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de

categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal

betrokkenen en persoonsgegevensregisters in kwestie;

  • de naam en de contactgegevens van de FG of verwerkingsverantwoordelijke waar meer informatie kan worden verkregen;
  • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

De melding kan gedaan worden via deze link.

 

Melding aan de betrokkenen

Wanneer er sprake is van een hoog privacy risico, bijvoorbeeld wanneer deze bijzondere persoonsgegevens niet versleuteld waren, zal dit volgens AVG worden gemeld aan betrokkene.

 Inhoud van de melding aan de betrokkene

De mededeling van het datalek (indien relevant) aan de betrokkene bevat ten minste:

  • een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met

persoonsgegevens;

  • de naam en de contactgegevens van de FG of verwerkingsverantwoordelijke waar meer informatie kan worden verkregen;
  • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

Klik hier voor een document met uitgebreide informatie en de beleidsregels rond meldplicht van de Autoriteit Persoonsgegevens.

 

Intern overzicht en kwaliteitsverbetering

De zorginstelling maakt een overzicht van alle beveiligingsincidenten – onafhankelijk van óf en waar ze gemeld zijn.

Met daarin de melder, de betrokkenen, de aard en omvang van het incident, welke gegevens het betreft, ingeschatte risico’s, of directie op de hoogte is en de voorgenomen maatregelen (en door wie deze genomen worden).

Deze registratie wordt opgevolgd (welke maatregelen wanneer genomen zijn) en geëvalueerd (wat het effect daarvan is en welke verbetervoorstellen en acties gedaan zijn).

Tijdens de jaarbespreking wordt het proces van gegevensverwerking en beveiliging geëvalueerd en worden op basis van zwaktes en knelpunten verbetermaatregelen geformuleerd. Welke binnen het kwaliteitssysteem worden omgezet tot concrete aanpak en veranderingen.

 

Samengevat:

1. Beoordeel of er sprake is van een beveiligingsincident Er is sprake van een beveiligingsincident op het moment dat er op welke manier dan ook iets mis gaat op het gebied van beveiliging waarbij gegevens betrokken kunnen zijn. Dit wordt onverwijld gemeld bij de directie / verwerkings-verantwoordelijke van de zorginstelling.

De directie neemt contact op met betrokkenen voor nadere helderheid.

Documentatie wordt intern gestart.

 

2. Beoordeel of er echt sprake is van een datalek Er is sprake van een datalek als door een inbreuk op de beveiliging, vertrouwelijke gegevens verloren zijn gegaan. Of als niet uitgesloten is dat deze door onbevoegden zijn verwerkt, binnen of buiten de beschermde omgeving van de zorginstelling of van de service provider. Voorbeelden: een USB-stick of pc op straat, een gehackte computer, diefstal van dossiers of smartphone, fout van een medewerker.

Ook kan een andere (zorg-) partij of gegevensverwerker melden dat uw gegevens zijn gelekt.

Documenteer afwegingen en bevindingen.

 

3. Beoordeel of u het lek moet melden bij de Autoriteit Persoonsgegevens (AP) Als er cliënt of werknemers-gegevens zijn gelekt, moet u dat binnen 72 uur na het bekend worden ervan melden bij de AP.

Bij twijfel meldt u ook; u kunt een melding later altijd weer intrekken. Ten onrechte niet melden kan leiden tot hoge boete.

Directie meldt een datalek via het Meldloket Datalekken van de AP

Zorg dat u vooraf informatie heeft over de inhoud die gevraagd zal worden.

Documenteer wat gemeld is, aan wie en door wie.

 

4. Beoordeel of u uw cliënten of werknemers moet informeren over het lek Bij het lekken van gevoelige cliënt- of werknemersgegevens (herleidbaar naar de persoon) moet u uw betrokkenen direct informeren.

Zij moeten maatregelen kunnen nemen om zich te beschermen tegen de gevolgen van het datalek.

Directie informeert (zoveel mogelijk individueel) de betrokkenen over de aard van het datalek, mogelijke gevol-gen, maatregelen die genomen zijn, contactgegevens van de verwerkingsverantwoordelijke, eventuele instanties die meer informatie kunnen geven en de maatregelen die u aanbeveelt om de negatieve gevolgen te beperken, zoals veranderen van gebruikersnaam en wacht-woord. Biedt mogelijkheid tot vragen stellen.

Documenteer.