Voorwoord
Eenieder heeft recht op bescherming van zijn persoonlijke levenssfeer. Om die bescherming te waarborgen geeft de Algemene verordening gegevens bescherming (hierna: AVG) aan hoe we moeten omgaan met persoonsgegevens, wat de rechten zijn van degene van wie persoonsgegevens worden verwerkt en wat de plichten zijn van degene die met de gegevens werkt.
Binnen MiCare Werkt werken we met persoonsgegevens van patiënten, medewerkers, stagiaires, vrijwilligers en sollicitanten. Met dit reglement willen we inzicht geven in de manier waarop wij met gegevensverwerking omgaan. Waar het gaat om de cliënten kunnen, naast de privacywetgeving, onder meer de Wet op de geneeskundige behandelingovereenkomst (WGBO) en de Zorgverzekeringswet (Zvw) van toepassing zijn. Deze wetten geven uitwerking aan de positie van de cliënt bij uitwisseling van gegevens en aan het met de privacy samenhangende beroepsgeheim.
In dit reglement zijn de algemene privacybepalingen in het kader van gegevensverwerking opgenomen en de rechten en plichten van partijen.
1. Begripsbepalingen
- Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
- Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkene, verzameld door een behandelaar (beroepsbeoefenaar) op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening;
- Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
- Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens;
- Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;
- Identificeerbare gegevens: gegevens die zonder onevenredige tijd en moeite aan de betrokkene zijn te koppelen;
- Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
- Verantwoordelijke: het bestuur van MiCare Werkt;
- Verwerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
- Betrokkene: diegene op wie een persoonsgegeven betrekking heeft;
- Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de verwerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de verwerker gemachtigd is om persoonsgegevens te verwerken;
- Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
- Toestemming van de betrokkene: elke vrije, specifieke, expliciete en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;
- Datalek: een inbreuk op de beveiliging van persoonsgegevens waardoor die gegevens verloren gaan of onrechtmatig worden verwerkt;
- De Autoriteit Persoonsgegevens: de organisatie die tot taak heeft toe te zien op de verwerking van persoonlijke gegevens krachtens de privacywetgeving;
- Klachtenregeling: de regeling binnen MiCare Werkt voor behandeling van klachten overeenkomstig de Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
- De Functionaris Gegevensbescherming (FG): de functionaris binnen MiCare Werkt die toe ziet op rechten van betrokkenen en verplichtingen van de instelling als het gaat om verwerkingen/registraties van persoonsgegevens.
2. Toepassingsgebied
Dit reglement is van toepassing binnen MiCare Werkt en heeft betrekking op alle door of vanwege MiCare Werkt geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
3. Doel van de verwerking van persoonsgegevens
- Persoonsgegevens worden in overeenstemming met de wet en dit reglement op behoorlijke en zorgvuldige wijze verwerkt.
- Persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar is met doeleinden waarvoor ze zijn verkregen.
- Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.
- De kaders waarbinnen de doelstelling van de verwerking van persoonsgegevens dient te blijven zijn:
i. zorgverlening en ondersteuning van cliëntenzorg;
ii. behandeling en afhandeling van klachten en incidenten;
iii. ondersteuning van de bedrijfsvoering.
De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking van persoonsgegevens. Zijn handelwijze met betrekking tot de verwerking van de persoonsgegevens en de verstrekking van gegevens wordt bepaald door dit reglement. - De verantwoordelijke zal niet meer persoonsgegevens verwerken dan voor het doel van de verwerking noodzakelijk is.
- De verantwoordelijke is aansprakelijk voor de eventuele schade als gevolg van het niet naleven van dit reglement.
4. Wijze waarop de verwerking van persoonsgegevens plaatsvindt
- De verantwoordelijke is verplicht de wijze waarop de verwerking van persoonsgegevens, zoals bedoeld in artikel 2, plaatsvindt vast te leggen.
- Bij de beoordeling of een verwerking onverenigbaar is als bedoeld in artikel 3 lid 2, houdt de verantwoordelijke in ieder geval rekening met:
i. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen;
ii. de aard van de betreffende gegevens;
iii. de gevolgen van de beoogde verwerking voor de betrokkene;
iv. de wijze waarop de gegevens zijn verkregen; en
v. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. - In geval er sprake is van een verwerker draagt de verantwoordelijke er zorg voor dat de verwerker zich houdt aan de bepalingen vastgelegd in de privacywetgeving. De verantwoordelijke sluit een overeenkomst met verwerkers, waarin de verplichtingen van de verwerker nader worden ingevuld.
5. Verwerking van persoonsgegevens
Persoonsgegevens, mogen slechts worden verwerkt indien:
i. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
ii. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor handelingen die op verzoek van de betrokkene worden verricht;
iii. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
iv. de gegevensverwerking noodzakelijk is ter bestrijding van ernstig gevaar voor de gezondheid van betrokkene of ter vrijwaring van een vitaal belang van de betrokkene;
v. de gegevensverwerking noodzakelijk is voor de vervulling van een publiekrechtelijke taak;
vi. de gegevensverwerking noodzakelijk is met het oog op het belang van de verantwoordelijke of van een derde én het belang van degene van wie de gegevens worden verwerkt niet prevaleert.
6. Verwerking van bijzondere persoonsgegevens
- Voor verwerking van bijzondere persoonsgegevens is uitdrukkelijke toestemming van de betrokkene vereist, tenzij het een geval betreft als genoemd in de leden 2 of 6 of indien verwerking noodzakelijk is ter uitvoering van een wettelijk voorschrift.
- Zonder toestemming van de betrokkene kunnen – met inachtneming van het derde lid – door de verantwoordelijke persoonsgegevens betreffende de gezondheid worden verstrekt aan:
i. (verwijzend) specialisten voor zover dat voor de door hen in het kader van de behandelovereenkomst te verrichten werkzaamheden noodzakelijk is;
ii. verzekeraars voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico met uitsluiting van lid 4 en de betrokkene geen bezwaar heeft gemaakt, dan wel voor zover dat noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst; - De persoonsgegevens worden alleen verstrekt aan personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.
- Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de gegevensverwerking: de beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer of opvolger en de medebehandelaars voor zover dit nodig is voor de multidisciplinaire behandeling van de betrokkene.
Voorts hebben toegang tot de gegevensverwerking de beheerder en de verwerker, voor zover dit in het kader van beheer en verwerking noodzakelijk is.
De verantwoordelijke heeft als zodanig geen toegang tot de persoonsgegevens tenzij dit noodzakelijk is in verband met zijn algemene verantwoordelijkheid als verantwoordelijke voor de verwerking van de persoonsgegevens. - De personen en of groepen van personen die toegang hebben tot de persoonsgegevens zijn opgenomen in een bevoegdheidsschema.
- Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek worden verwerkt indien:
i. het onderzoek een algemeen belang dient; en
ii. de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is; en
iii. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; en
iv. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; en
v. de betrokkene niet (eerder) uitdrukkelijk (schriftelijk) bezwaar heeft gemaakt tegen de verstrekking. Van een verstrekking als hier bedoeld, wordt een aantekening in het dossier van de betrokkene gemaakt.
7. Vertegenwoordiging
- Indien de betrokkene jonger is dan twaalf jaar treden de ouders die het ouderlijk gezag uitoefenen dan wel de voogd in plaats van de betrokkene.
- Hetzelfde geldt voor de betrokkene die de leeftijd van twaalf jaar heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake.
- Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien jaar valt en in staat is tot een redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders op.
- Indien de betrokkene ouder is dan zestien jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake of indien de betrokkene is overleden, dan treedt, in volgorde als hier weergegeven, als vertegenwoordiger voor hem op:
i. de curator of mentor indien de betrokkene onder curatele staat of ten behoeve van hem het mentorschap is ingesteld;
ii. de persoonlijk gemachtigde indien de betrokkene deze schriftelijk heeft gemachtigd, tenzij deze persoon niet optreedt;
iii. de echtgenoot of andere levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt;
iv. een kind, broer of zus van de betrokkene, tenzij deze persoon dat niet wenst. - Echter ook indien de betrokkene de leeftijd van zestien jaar heeft en wel in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een andere persoon schriftelijk te machtigen in diens plaats als vertegenwoordiger op te treden.
- De toestemming kan door de betrokkene of zijn vertegenwoordiger te allen tijde worden ingetrokken.
- De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.
- Indien een vertegenwoordiger optreedt namens de betrokkene, komt de verantwoordelijke zijn verplichtingen die voortvloeien uit de wet en dit reglement na jegens deze vertegenwoordiger, tenzij de nakoming niet verenigbaar is met de zorg van een goed verantwoordelijke.
8. Kennisgeving en informatieverstrekking
- De verantwoordelijke zal het reglement intern opnemen in het privacy dossier, extern publiceren op de website, verwijzingen opnemen in informatiebrochures en op aanvraag schriftelijk ter beschikking stellen.
- Indien de te verwerken gegevens bij betrokkene zelf worden verkregen, dan dient deze op de hoogte te worden gesteld op het moment van het verzamelen van de gegevens. Indien de gegevens buiten de betrokkene om verkregen worden, dan dient betrokkene geïnformeerd te worden op het moment van vastlegging of van eerste verstrekking aan derden.
- Indien andere doelen dan omschreven in artikel 3 lid 4 een doelstelling vormen van de verwerking van persoonsgegevens, heeft de verantwoordelijke de plicht de betrokkene gericht vooraf te informeren omtrent de aard van de gegevens, die over de betrokkene verwerkt worden, alsmede omtrent de doeleinden die daarmee worden nagestreefd.
- Indien de persoonsgegevens voor een dergelijk ander doel verwerkt worden en identificeerbaar zijn, is toestemming voor de verwerking van de persoonsgegevens door de betrokkene vereist. Indien de persoonsgegevens niet identificeerbaar verwerkt worden, is geen toestemming van de betrokkene vereist.
9. Inzage, afschrift en dataportabiliteit van verwerkte gegevens
- De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verzamelde en verwerkte gegevens. Hij dient daartoe een (schriftelijk) verzoek om inzage danwel afschrift in bij de betreffende Beroepsbeoefenaar. Vervolgens wordt het verzoek afgestemd met de eindverantwoordelijke beroepsbeoefenaar volgens de procedure inzage/afschrift (elektronisch) dossier. Gevraagde inzage danwel afschrift dient zo spoedig mogelijk doch uiterlijk binnen vier weken plaats te vinden respectievelijk worden verstrekt.
- Een verzoek om inzage danwel afschrift dient gehonoreerd te worden en mag alleen geweigerd worden indien dit noodzakelijk is in het belang van de bescherming van de persoonlijke levenssfeer van anderen, de verantwoordelijke daaronder begrepen. Slechts in uitzonderingsgevallen zal het belang van een ander dan de betrokkene prevaleren.
- In geval van een verzoek om een afschrift van de persoonsgegevens van betrokkene heeft de betrokkene in verband met dataportabiliteit het recht een afschrift van de persoonsgegevens te ontvangen in een vorm die het voor betrokkene makkelijk maakt om zijn gegevens te hergebruiken en door te geven.
- De betrokkene heeft tevens recht op inzage in danwel afschrift van welke personen toegang hebben tot welke van betrokkene vastgelegde persoonsgegevens. Dit is vastgelegd in het bevoegdheidsschema.
- De betrokkene heeft bovendien recht op inzage in respectievelijk afschrift van de logginggevens waarin opgenomen is welke personen welke gegevens van betrokkene hebben verwerkt.
- Een verzoek om inzage danwel afschrift van het bevoegdheidsschema en/of logging kan ingediend worden bij de functionaris gegevensbescherming via info@micarewerkt.nl.
10. Correctie/verbetering, aanvulling, verwijdering of afscherming van gegevens
- De betrokkene kan verzoeken om verbetering, aanvulling, verwijdering, gedeeltelijke verwijdering of afscherming van op hem betrekking hebbende gegevens, indien deze feitelijk onjuist voor het doel van de verwerking, onvolledig of niet ter zake dienend zijn dan wel in strijd met een wettelijk voorschrift verwerkt zijn/worden.
- De (eindverantwoordelijke) beroepsbeoefenaar, bericht de verzoeker zo spoedig mogelijk doch uiterlijk binnen vier weken na ontvangst van het verzoek schriftelijk of, en dan wel in hoeverre, hij daaraan voldoet. Een weigering is met redenen omkleed.
- De (eindverantwoordelijke) beroepsbeoefenaar die op verzoek persoonsgegevens heeft verbeterd, aangevuld, verwijderd of afgeschermd, is verplicht aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbetering, aanvulling, verwijdering of afscherming, tenzij dit onmogelijk blijkt of een onevenredige inspanning vraagt.
11. Vernietiging van gegevens
- De betrokkene heeft het recht te verzoeken om vernietiging van tot zijn persoon identificeerbare gegevens. Daartoe dient hij een schriftelijk gemotiveerd verzoek in te dienen bij de desbetreffende beroepsbeoefenaar. Vervolgens wordt het verzoek afgestemd met de functionaris gegevensbescherming.
- Het verzoek tot vernietiging kan slechts geweigerd worden indien bewaring op grond van een wettelijk voorschrift vereist is, dan wel redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene.
- De betreffende gegevens worden uiterlijk binnen drie maanden na daartoe strekkend verzoek vernietigd. De functionaris gegevensbescherming deelt zijn beslissing schriftelijk aan de betrokkene mede.
12. Bewaartermijnen
- Persoonsgegevens worden bewaard conform het bepaalde in de wet die op de betreffende persoonsgegevens van toepassing is.
- Persoonsgegevens dienen in elk geval langer dan de vastgestelde bewaartermijnen bewaard te worden indien:
i. de betrokkene hierom verzoekt;
ii. dit voortvloeit uit de zorg van een goed hulpverlener;
iii. bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, waaronder de verantwoordelijke (bijvoorbeeld t.a.v. risicodossiers).
13. Verstrekking van gegevens, geheimhoudingsplicht
- De beroepsbeoefenaar, behandelaar, medebehandelaars, de beheerder, de bewerker en de verantwoordelijke zijn verplicht te zwijgen tegen anderen over alle informatie die zij over betrokkene hebben. Na overlijden van de betrokkene blijft deze zwijgplicht bestaan. De zwijgplicht kan slechts worden doorbroken:
i. op grond van een wettelijk voorschrift;
ii. indien de betrokkene toestemming heeft gegeven. - Behandelteams hebben een gedeeld beroepsgeheim. Voor de zorgverlening relevante informatie, moet altijd aan de eindverantwoordelijke beroepsbeoefenaar gemeld worden. Deze beslist of het gehele team hiervan op de hoogte gesteld moet worden.
- De toestemming van de betrokkene is vereist voor verstrekking van persoonsgegevens aan derden, tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift of op grond van redenen genoemd in artikel 6. Van alle verstrekkingen van persoonsgegevens aan derden wordt, inclusief de toestemming van de betrokkene, aantekening gemaakt in het dossier.
- Buiten de instelling kunnen persoonsgegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk, aan:
i. degenen die rechtstreeks betrokken zijn bij de actuele zorg- of hulpverlening aan de betrokkene, tenzij laatstgenoemde kenbaar heeft gemaakt daartegen bezwaar te hebben;
ii. instanties voor statistiek en beleid; gegevens worden in dat geval slechts in zodanige vorm verstrekt, dat zij redelijkerwijs niet door de ontvanger tot individuele personen identificeerbaar zijn en nadat ter zake over het gebruik van die gegevens afspraken zijn gemaakt;
iii. aan zorgverzekeraars binnen de kaders genoemd in artikel 6.
14. Archivering
De verantwoordelijke treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens en draagt zorg voor maatregelen van technische en organisatorische aard ter beveiliging van de verwerking van persoonsgegevens.
15. Meldplicht datalekken
- In geval van een datalek, dat leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, zal de verantwoordelijke onverwijld de Autoriteit Persoonsgegevens in kennis stellen van het datalek.
- De verantwoordelijke stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
- De kennisgeving aan de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
De melding aan de Autoriteit Persoonsgegevens omvat naast het voorgaande een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.
16. Functionaris Gegevensbescherming
MiCare Werkt heeft een Functionaris Gegevensbescherming (FG). Deze FG is als zodanig aangemeld bij de Autoriteit Persoonsgegevens. De FG ziet toe op rechten van betrokkenen en verplichtingen van de instelling als het gaat om verwerkingen/registraties van persoonsgegevens en heeft tot taak:
i. het adviseren van de raad van bestuur;
ii. toezicht houden op verwerkingen en registraties;
iii. overzicht houden op/ inventarisaties maken van gegevensverwerkingen;
iv. bijhouden van meldingen van gegevensverwerkingen;
v. het melden van datalekken bij de Autoriteit Persoonsgegevens;
vi. communicatie, voorlichting en het stimuleren van het beveiligingsbewustzijn bij management, medewerkers en andere betrokkenen;
vii. het afhandelen van vragen en adviseren bij klachten van mensen binnen en buiten de organisatie;
viii. het ontwikkelen en beheren van regelingen en procedures;
ix. het adviseren over technologie en beveiliging (privacy by design);
x. input leveren bij het opstellen of aanpassen van gedragscodes.
xi. de uitvoering van een Privacy Impact Assessment (PIA).
17. Sancties
Bij overtreding van de voorgeschreven toegangsbevoegdheden en wanneer sprake is van onbevoegde toegang, raadpleging en wijziging van persoonsgegevens kan de verantwoordelijke de daarvoor geëigende maatregelen nemen.
18. Klachten
- Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere redenen heeft tot klagen met betrekking tot de verwerking van persoonsgegevens, kan hij een klacht indienen door een e-mail te sturen naar: info@micarewerkt.nl.
- De betrokkene kan ook de Autoriteit Persoonsgegevens verzoeken een onderzoek in te stellen of de wijze van gegevensverwerking door de verantwoordelijke in overeenstemming is met de privacywetgeving, danwel gebruik maken van de in de privacywetgeving neergelegde beroepsmogelijkheden.