privacy reglement cliënten

Revisie datum 

Wijziging 

Vastgesteld door  

1-2020 

Eerste versie 

Khadicha Amarti 

Kwaliteitscoördinator 

Evaluatiedatum 

1-2021 

1 

Wettelijk kader 

Algemene Verordening Gegevensbescherming 

Wet op de Geneeskundige Behandelovereenkomst  

Wet Bijzondere Opnemingen in psychiatrische ziekenhuizen 

Europees Verdrag voor de Rechten van de Mens (EVRM) 

Grondwet 

Wet kwaliteit, klachten en geschillen zorg (Wkkgz) 

Meldplicht datalekken  

Besluit elektronische gegevensverwerking door zorgaanbieders 

2 

Richtlijn 

Handreikingen beroepsgeheim  

3 

Overige documenten  

NEN 7510 en opvolgende normen 

1 

Bijbehorende documenten 

REGL-201 Gedragscode privacy 

Privacystatement website  

Disclaimer website 

2 

Formulieren 

FOR-[-] Jaarverslag privacy 

3 

Registraties  

Excel-E11 Verwerkingsregister  

Excel-E12 Incidentenoverzicht privacy  

Excel-E13 Overzicht bedrijfsmiddelen privacy 

Excel-E14 Verzoekregister 

Bestand 

Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen 

Betrokkene 

Degene op wie een persoonsgegeven betrekking heeft 

Bewerker 

Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen 

Derde 

Ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken 

Persoonsgegeven  

Elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon 

Ontvanger 

degene aan wie de persoonsgegevens worden verstrekt 

Toestemming van de betrokkene 

Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt 

Verstrekken van persoonsgegevens 

Het bekend maken of ter beschikking stellen van persoonsgegevens 

Verwerker  

Degene die persoonsgegevens verzamelt of verwerkt (namens) BG wonen 

Verantwoordelijke 

De natuurlijke persoon, rechtspersoon of ieder ander die,  alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt 

Verwerking van persoonsgegevens 

Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens 

Verzamelen van persoonsgegevens 

Het verkrijgen van persoonsgegevens 

1.1 

Via de website kunnen de volgende gegevens worden verzameld:  

• Contactgegevens via een formulier (dient te worden beveiligd met Recaptcha en op de website moet een SSL-certificaat opgenomen zijn) 

• Cookies 

• Deze worden in Zilliz opgeslagen en na 20 jaar vernietigd. 

1.2 

Persoonlijke en medische gegevens worden verzameld in het kader van goede zorgverlening. De volgende gegevens worden verzameld:  

• Persoonsgegevens, adresgegevens en medische dossier als dit beschikbaar is.  

• Opgeslagen in Zilliz 

• Dossierdocumenten worden tot 20 jaar na de laatste wijziging in het dossier bewaard (Wgbo).  

• Gegevens worde na na 20 jaar vernietigd. 

• Gegevens worden verstrekt aan medewerkers die client begeleiden of behandelen en andere zorginstellingen die ook zorg dragen voor client.  

1.3 

Verlies van persoonsgegevens of inzage door onbevoegden wordt geregistreerd op het overzicht Excel-12 Incidentenoverzicht privacy. Verlies van gegevens of het lekken van gegevens wordt gemeld bij: 

• Degene wie het betreft 

• Bij de Autoriteit Persoonsgegevens volgens de wet Datalekken 

1.4 

BG wonen is aansprakelijk voor schade of het nadeel indien (zorgverleners van) BG wonen de regels uit dit privacyreglement of wettelijke kaders niet naleven.  

1.5 

Als er herhaalde verzoeken door een betrokkene komen of een ongegrond of buitensporig verzoek wordt gedaan kan de organisatie beslissen een redelijke administratieve vergoeding te vragen of het verzoek weigeren.  

1.6 

BG wonen werkt met een [online] softwareprogramma. Met de leverancier hiervan is een serviceovereenkomst gesloten. De leverancier is in het kader van de AVG  bewerker van persoonsgegevens en in dat kader ook verantwoordelijk en aansprakelijk voor schade of het nadeel wanneer privacyregels niet worden nageleefd zoals overeengekomen.  

1.7 

Als de betrokkene minderjarig is en de leeftijd van 16 jaar nog niet heeft bereikt, of onder curatele is gesteld dan wel ten behoeve van de betrokkene een mentorschap is ingesteld, is in de plaats van de toestemming van de betrokkene die van zijn wettelijk vertegenwoordiger vereist. Dit zijn meestal de ouders/verzorgers, een gemachtigde of een mentor.  

1.8 

Bij aanvang van de zorg wordt de identiteit van de cliënt gecontroleerd en wordt de volgende informatie opgenomen in het dossier van de cliënt:  

1. Datum controle 

2. Type document 

3. Documentnummer 

4. Datum geldig tot 

1.9 

Bijzondere persoonsgegevens, zoals beschreven in artikel 1.10, mogen niet worden verwerkt tenzij dit nodig is met het oog op iemands gezondheid of in het kader van goede zorgverlening van de betrokkene.  

Dit is ook niet verboden wanneer wordt vastgesteld onder welke voorwaarden en met welk doel dit wel mag worden verzameld.   

De organisatie neemt in het verwerkingsregister op welke bijzondere gegevens verwerkt worden en neemt de benodigde technische en organisatorische maatregelen. De Functionaris Gegevensbescherming houdt hier intern toezicht op.   

1.10 

Het is in beginsel verboden onder andere de volgende bijzondere persoonsgegevens te verwerken. Dit zijn onder andere: 

• godsdienst of levensovertuiging 

• ras 

• politieke gezindheid 

• gezondheid 

• seksueel leven 

• lidmaatschap vakvereniging 

• strafrechtelijke persoonsgegevens. 

1.11 

Wanneer BG wonen gegevens buiten de cliënt of diens wettelijk vertegenwoordiger om krijgt wordt aan betrokkene zijn/haar identiteit gecommuniceerd en het doel van de verwerking op het moment van registratie door de verwerker.  

1.12 

Wanneer BG wonen informatie deelt met als doel om een derde te informeren wordt dit gemeld op het moment van de eerste verstrekking aan de betrokkene als wordt voldaan aan de gronden voor het delen voor informatie. 

Wanneer dit onevenredige inspanning kost of het op grond van de wet is voorgeschreven is dit niet van toepassing en wordt de herkomst van gegevens vastgelegd door BG wonen.  

2.1 

Aan de cliënt wordt medegedeeld aan wie zijn /haar persoonsgegevens kunnen worden verstrekt. 

2.2 

Binnen de organisatie en onder verantwoordelijkheid van de organisatie kunnen persoonsgegevens worden verstrekt aan zorgverleners, die direct betrokken zijn bij de zorgverlening aan de cliënt voor zover noodzakelijk voor de uitoefening van hun taak. 

2.3 

Buiten de organisatie kunnen onder verantwoordelijkheid van de directie persoonsgegevens worden verstrekt aan: 

• Op verzoek aan personen die direct betrokken zijn bij de zorgverlening aan de cliënt, voor zover noodzakelijk voor de uitoefening van hun taak. Dit uitsluitend met toestemming van de cliënt en/of diens wettelijk vertegenwoordiger.  

• Aan organen genoemd in de WMO dan wel de Wlz, ZvW, Jeugdwet ten behoeve van de financiering van de hulpverlening mogen de volgende gegevens worden verstrekt:  

• Hoofdaannemer: wat er contractueel is vastgelegd. 

• Gemeente: de verwerking geschiedt op verzoek van een verzekeraar voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeraar te verzekeren risico, dan wel voor zover dat noodzakelijk is voor de uitvoering van een verzekeringsovereenkomst. 

• Vanwege wettelijke voorschriften.  

2.4 

Voor het koppelen van gegevens uit afzonderlijke persoonsregistratie is steeds schriftelijke toestemming van de betrokkene vereist. Deze toestemming kan te allen tijde worden ingetrokken door de betrokkene. De betrokkene mag een schriftelijke machtiging afgeven voor verstrekking van persoonsgegevens door BG wonen  

2.5 

Indien verantwoordelijke zonder toestemming van betrokkene of diens wettelijk 

vertegenwoordiger persoonsgegevens aan derden verstrekt, wordt de cliënt of diens wettelijk vertegenwoordiger daarvan onverwijld in kennis gesteld, tenzij dit gevaar oplevert voor personen en of zaken.   

2.6 

Een cliënt, die meent dat richting hem is of zal worden gehandeld in strijd met dit privacyreglement, heeft BG wonen een klachtenregeling, welke op de website is gepubliceerd. Het staat de cliënt ook vrij om gebruik te maken van de in de AVG genoemde mogelijkheden (waaronder het indienen van een klacht bij de Autoriteit Persoonsgegevens).  

In afwijking van het ter zake in dat reglement gestelde, valt het einde van de termijn waarbinnen men een klacht kan indienen samen met het einde van de bewaartermijn zoals die genoemd in onderhavig reglement. 

2.7 

In het kader van interne -en externe audits wordt nadrukkelijk om schriftelijke toestemming gevraagd van de cliënt of diens vertegenwoordiger tot inzage in het dossier op de dag van de audit.  

2.8 

Nabestaanden hebben in beginsel geen inzagerecht in persoonsgegevens. Inzage in het dossier van een persoon die overleden is, mag alleen als de cliënt dit voor zijn of haar overlijden heeft vastgelegd, tenzij er een zwaarwegend belang is voor de nabestaande(n) en/of voormalig wettelijk vertegenwoordiger. Het inzagerecht wordt uitgebreid als er sprake is van een medische fout. 

3.1 

Onverminderd eventuele wettelijke voorschriften hebben alleen toegang tot persoonsgegevens:  

• De directie, voor zover noodzakelijk in het kader van beheer;  

• De administratie, voor zover noodzakelijk in het kader van beheer;  

• de zorgverleners, voor zover noodzakelijk voor de uitoefening van zijn taak. 

3.2 

BG wonen draagt zorg voor de nodige voorzieningen van technische en organisatorisch aard ter beveiliging van een persoonsregistratie tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.  

3.3 

Medewerkers van BG wonen , die op grond van hun functie kennis hebben van persoonsgegevens zijn verplicht tot geheimhouding ten opzichte van ieder ander, voor zover deze vanwege hun functie geen kennis behoeven te dragen van de betreffende gegevens. In de arbeidsovereenkomst is vastgelegd dat de geheimhoudingsplicht zowel tijdens als na het dienstverband van kracht is en er wordt verwezen naar sanctiebeleid.  

3.4 

De bewaartermijn van het medisch dossier is 20 jaar en dat gaat in op het moment dat de laatste wijziging in het dossier is aangebracht. 

3.5 

Vernietiging vindt plaats binnen een termijn van een jaar na afloop van de bewaartermijn, tenzij er een klacht is ingediend waarbij de gegevens betrokken zijn of een gerechtelijke procedure een langere bewaarplicht oplegt of tenzij specifieke wetten anders vermelden. 

3.6 

De bewaartermijn kan door BG wonen worden verlengd na toestemming van de cliënt. 

3.7 

De bewaar- en vernietigingstermijn zijn niet van toepassing in geval van overdracht van de gehele persoonsregistratie aan een andere organisatie in het kader van de continuïteit van de hulpverlening. In geval van overdracht of overgang dienen de cliënten van dit feit in kennis te worden gesteld, opdat hiertegen door de cliënt bezwaar kan worden gemaakt. 

3.8 

Als de bewaartermijn van de persoonsgegevens is verstreken of de betrokkene een verzoek doet tot verwijdering vóór het verstrijken van de bewaartermijn, worden de desbetreffende medische gegevens binnen een termijn van drie maanden verwijderd. 

3.9 

Bij overdracht van gegevens aan een andere organisatie, wanneer de zorg volledig overgedragen wordt, wordt de nieuwe organisatie verantwoordelijk voor het dossier. BG wonen vraagt om schriftelijke toestemming van de cliënt. Na overdracht wist de organisatie alle gegevens en informeert de nieuwe organisatie hierover.  

4.1 

De betrokkene heeft het recht bezwaar te maken tegen opname en vastlegging van op hem/haar betrekking hebbende persoonsgegevens. De medewerker aan wie dit bezwaar kenbaar wordt gemaakt, gaat slechts over tot het opnemen van de bedoelde gegevens als en voor zover dit voor het verlenen van de zorg en de bedrijfsvoering noodzakelijk is of op grond van een wettelijk voorschrift vereist is.  

4.2 

Als de organisatie aan het verzoek van de betrokkene niet of slechts gedeeltelijk gehoor kan geven, wordt dit schriftelijk binnen dertig dagen, en gemotiveerd door de directie medegedeeld. 

4.3 

De betrokkene heeft het recht op inzage van zijn persoonsgegevens. Hij zal zich hierbij dienen te legitimeren.  

4.4 

De volgende procedure wordt hierbij gevolgd:  

• Een verzoek tot inzage wordt door de cliënt schriftelijk kenbaar gemaakt aan de directie, de directie informeert de beheerder.  

• De beheerder verleent inzage binnen vier weken na ontvangst van het verzoek.   

• De beheerder informeert vooraf een eventueel betrokken zorgverlener over het verzoek.  

4.5 

Inzage kan slechts geweigerd worden op grond van artikel 41 van de Algemene Verordening Gegevensbescherming als: 

• het verzoek de openbare veiligheid in het geding brengt; 

• ter voorkoming van strafbare feiten of de opsporing daarvan;  

• ter bescherming van rechten van vrijheid van anderen. 

Deze weigering dient binnen vier weken met motivatie schriftelijk door de directie aan de cliënt te worden medegedeeld.  

4.6 

De betrokkene heeft recht op een afschrift van de cliënt persoonsgegevens. De directie kan voor het afschrift een vergoeding vragen. Het verzoek tot een afschrift wordt ingediend bij de directie. De beheerder verstrekt het afschrift binnen vier weken na ontvangst van het verzoek. Bij afgifte dient de cliënt zich te legitimeren. 

4.7 

De betrokkene kan de directie schriftelijk verzoeken de hem betreffende persoonsgegevens te verbeteren, aan te vullen of te verwijderen, als deze feitelijk onjuist zijn, voor het doel van de registratie onvolledig of niet ter zake dienend zijn.  

De directie bericht de cliënt binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan kan voldoen. 

De directie draagt zorg voor een deugdelijke vaststelling van de identiteit van de cliënt. 

De directie is gehouden de beslissing tot verbetering, aanvulling of verwijdering zo spoedig mogelijk, echter binnen 30 dagen te laten uitvoeren. 

4.8 

Op schriftelijk verzoek van een betrokkene gaat de verantwoordelijke over tot verbetering, aanvulling, verwijdering en/of afscherming van de over de verzoeker verwerkte persoonsgegevens, als en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend zijn of meer omvatten dan voor het doel van de registratie nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek van betrokkene bevat de aan te brengen wijzigingen. 

• De verantwoordelijke deelt de verzoeker zo spoedig mogelijk, maar uiterlijk 

binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Als hij daaraan niet of niet geheel wil voldoen, motiveert hij dat. Verzoeker heeft in dit verband de mogelijkheid zich te wenden tot partijen zoals beschreven in artikel 4.9. 

• De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming binnen 14 werkdagen, en wanneer dit redelijkerwijs niet mogelijk blijkt anders zo spoedig mogelijk nadien, wordt uitgevoerd. 

4.9 

Als de betrokkene van mening is dat de bepalingen van dit reglement niet 

worden nageleefd, kan hij zich richten tot: 

• Directie van BG wonen 

• Klachtenfunctionaris 

• Klachtencommissie 

• Rechtbank 

• Autoriteit Persoonsgegevens  

5.1 

Voor het gebruik van beeld en geluid (zoals foto’s van betrokkene(n), wordt vooraf schriftelijke toestemming gevraagd aan de betrokkene.  

5.2 

 BG wonen legt nadere regels vast over het gebruik van social media en apps die gebruikt worden voor communicatie, zoals WhatsApp. De organisatie houdt hierbij rekening met het feit dat deze bedrijven gebruikers onvolledig informeren over het gebruik van persoonsgegevens en daarmee in strijd kunnen handelen met de Nederlandse privacywetgeving, terwijl deze onverkort voor hen van toepassing is.  

6.1 

BG wonen stelt nadere regels vast over het e-mailgebruik waarin medische gegevens of persoonsgegevens van cliënten staan.  

7.1 

Cameratoezicht wordt volgens de privacyregels vastgelegd in een cameraprotocol.  

8.1 

Dit reglement is vastgesteld op 01-01-2020 door K. Amarti 

8.2 

BG wonen stelt jaarlijks het Jaarverslag privacy vast.  

8.3 

In alle gevallen waarin dit reglement niet voorziet gelden de bepalingen van de Algemene Verordening Gegevensbescherming.