Privacywetgeving

Beschrijving groep persoonsgegevens

• Persoonsgegevens: elk gegeven, betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
• Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkene, verzameld door een behandelaar (beroepsbeoefenaar) op het gebied van gezondheidszorg in het kader van zijn beroepsuitoefening;
• Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
• Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens;
• Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;
• Identificeerbare gegevens: gegevens die zonder onevenredige tijd en moeite aan de betrokkene zijn te koppelen;
• Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
• Verwerken: Het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, maar ook afschermen of vernietigen van gegevens.
• Verantwoordelijke: Fysio Zuyd B.V. (bestaande uit: Fysiotherapie Ergotherapie, Lifestyle en Osteo Zuyd)
• Beheerder: degene die onder verantwoordelijkheid van de verantwoordelijke van de persoonsgegevens is belast met de dagelijkse zorg voor de persoonsregistratie of een gedeelte daarvan;
• Bewerker: degene die, vaak op basis van een overeenkomst, t.b.v. de verantwoordelijke gegevens verwerkt, zonder rechtstreeks onder zijn/haar gezag te vallen en die geen zeggenschap heeft over het doel en middelen voor verwerking;
• Gebruiker: in de zin van artikel 7 WBP: diegene die gerechtigd is kennis te nemen van bepaalde gegevens in persoonsregistraties en deze verwerkt;
• Betrokkene: diegene op wie een persoonsgegeven betrekking heeft;
• Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, de beheerder of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;
• Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
• Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt, dat hem betreffende persoonsgegevens, worden verwerkt;
• De Autoriteit Persoonsgegevens: het college dat tot taak heeft toe te zien op de verwerking van persoonsgegevens krachtens de WBP en de Wet meldplicht datalekken;
• Klachtencommissie(s): de commissie(s) die door Fysio Zuyd B.V. in het kader van de klachtenregeling(en) is/zijn ingesteld. Fysio Zuyd B.V. heeft een klachtenregeling en klachtencommissie voor medewerkers en een klachtenregeling en klachtencommissie voor patiënten.
• NAW gegevens: Informatie betreffende naam, adres en woonplaats.
• Behandelaar: Iemand die voor zijn beroep patiënten behandelt of verzorgt in de zorgsector. Hierbij kan bijvoorbeeld gedacht worden aan een behandelaar of administratief medewerker.
• Patiëntgegevens: Alle gegevens die noodzakelijk zijn voor diagnose of behandeling van een patiënt.
• Wanneer een betrokkene in acuut gevaar verkeert (bewusteloos of mentaal niet in staat is om toestemming te geven), is het van vitaal belang, dat er adequaat en snel gereageerd kan worden op de situatie, en dat medische noodzakelijke gegevens over gedragen kunnen worden aan derden zonder dat er eerst toestemming of betrokken personen geïnformeerd worden.

Doel van de Persoonsregistratie

• Fysio Zuyd B.V. registreert Persoonsgegevens onder de voorwaarden van de verschillende wettelijke regelingen. Dit gebeurt op behoorlijke en zorgvuldige wijze met als doel kwalitatief verantwoorde paramedische zorg aan patiënten aan te bieden en in stand te houden.
• Daarnaast is de registratie van persoonsgegevens nodig voor de ondersteuning van doelmatig beleid en beheer van de zorgorganisatie, de bedrijfsvoering, wetenschappelijk onderzoek, scholing en opleiding en voor intercollegiale toetsing.
• NAW gegevens worden opgenomen om op persoonsniveau toegang te krijgen tot het bestand van betrokkene en de zakelijke afwikkeling van de relatie mogelijk te maken.
• Er worden geen persoonsgegevens in de registratie opgenomen voor andere doeleinden dan in de voorgaande passages is aangegeven.

Geheimhoudingsplicht

• Alle medewerkers van Fysio Zuyd B.V., die beroepshalve op enige wijze bekend zijn met persoonsgegevens van patiënt of medewerker, hebben een geheimhoudingsplicht. Dit geldt ook voor administratieve medewerkers en stagiaires. Gegevens kunnen slechts met toestemming van betrokkene worden overgedragen aan anderen, wanneer die in een (medisch) professionele verhouding staan tot de patiënt/ medewerker/ stagiaire. In alle andere gevallen kan dit slechts op uitdrukkelijk verzoek van betrokkene zelf.

De aard van de persoonsgegevens

De persoonsgegevens betreffen:

• de persoon die binnen Fysio Zuyd B.V. behandeld wordt of behandeld is,
• of de persoon die zich voor onderzoek aanmeldt of heeft aangemeld,
• of de persoon die een beroep doet of heeft gedaan op voorzieningen van Fysio Zuyd B.V.
• of een persoon die werkzaam is bij Fysio Zuyd B.V.,

en laten zich onderscheiden in NAW gegevens, patiëntgegevens, gegevens betreffende medewerkers en algemene gegevens.

Fysio Zuyd B.V. hanteert in het kader van de bescherming van de privacy een bevoegdhedenschema, waardoor belanghebbenden weten wie toegang hebben tot de gegevens en welke handelingen zij mogen vervullen. Dit wordt in het EPD geregistreerd middels een formulier.

De invoer van gegevens

In de NAW gegevens zijn opgenomen naam, adres, geboortedatum, geslacht, burgerlijke staat, BSN en nummer identiteitsbewijs, huisarts en verzekeringsgegevens, emailadres¹, mogelijk aangevuld met het telefoonnummer waarop betrokkene bereikbaar is of andere voor diens bereikbaarheid belangrijke gegevens. Deze gegevens worden gebruikt ter identificatie van betrokkene en ter afwikkeling van de behandelingsovereenkomst.

(¹administratiemedewerkster of de behandelaar voert deze gegevens in).

De patiëntgegevens zijn medische gegevens, die tot stand komen door onderzoek en behandeling en die nodig zijn voor een goede zorgverlening. Het betreft voor dat doel relevante gegevens over de lichamelijke en geestelijke gesteldheid van de betrokkene en alle daaraan gerelateerde relevante aanvullende informatie uit onderzoeken en behandelingen (door desbetreffende behandelaar ingevoerd).

De gegevens betreffende medewerkers.

Doel van het vastleggen van persoonsgegevens van medewerkers: verwerking van persoonsgegevens van werknemers van Fysio Zuyd B.V. in de meest brede zin van het woord, bijvoorbeeld voor:

- identificatie,

- uitbetaling van salaris en vergoedingen,

- vastleggen van contractuele afspraken en wederzijdse rechten en plichten,

- begeleiding gedurende de loopbaan (bv ziekte, loopbaanontwikkeling),

- verlofadministratie,

- noodzakelijke informatie-uitwisseling met derden.

Algemene gegevens hebben betrekking op de machtiging van de zorgverzekeraar, de data van start en einde behandeling, aantal behandelingen, praktijk of “aan huis” behandeling, de doorlopen termijnen, wachttijden, facturatie en andere voor de statistiek belangrijke informatie.

Het raadplegen en muteren van gegevens

Tot de NAW gegevens hebben administratieve medewerker, behandelaars en debiteurenadministratie toegang. Zij kunnen de gegevens raadplegen en muteren.

Tot de patiëntgegevens hebben uitsluitend de behandelaars toegang. Zij mogen de gegevens raadplegen voor zover dat noodzakelijk is voor de goede uitoefening van hun aandeel in het behandelplan. Het patiëntendossier/ zorgplan per patiënt, wordt door de behandelaar beheerd. Voor iedere behandelaar geldt, dat zij als gebruiker, als enige hun eigen dossier mogen muteren.

Tot de gegevens betreffende medewerkers heeft alleen Dhr. A.M.M. Jaspars en dhr. W.J.C.H. Strik toegang.

De genoemde gegevensverzameling is in eigen beheer van Fysio Zuyd B.V..

De verwerking van Persoonsgegevens

• De gegevens die verwerkt worden zijn noodzakelijk voor het doel waarvoor zij worden verzameld.
• De gegevens worden verwerkt door en voor Fysio Zuyd B.V.. Fysio Zuyd B.V. is verantwoordelijk voor een goede gang van zaken en de instandhouding van de gegevensverzameling. Er zijn maatregelen getroffen met betrekking tot de apparatuur en programmatuur, waarmee de verwerking van persoonsgegevens wordt uitgevoerd, ter beveiliging van bestanden tegen verlies of aantasting van de persoonsgegevens en tegen onbevoegde kennisname.
• De persoonsgegevens worden opgenomen namens Fysio Zuyd B.V. optredende natuurlijke personen, te weten administratief medewerker en behandelaars, die in dienst zijn van Fysio Zuyd B.V.

Bewaartermijn

• De bewaartermijn voor patiëntendossiers is in overeenstemming met het wettelijk voorschrift uit de WGBO. Bij de vaststelling van dit reglement bedroeg die termijn 15 jaar. Bij wijziging van deze termijn volgt Fysio Zuyd B.V. de wet.
• Personeelsdossiers van werknemers die uit dienst zijn worden 7 jaar door Fysio Zuyd B.V. bewaard.

Toestemming

• Voor de verwerking van persoonsgegevens is de uitdrukkelijke toestemming van betrokkene vereist.
• In bepaalde gevallen kan sprake zijn van stilzwijgende toestemming van betrokkene.

Hiervan is sprake wanneer:

• Betrokkene door zijn vraagstelling aan de zorgverlener kenbaar maakt een beroep te willen doen op de zorgverlening door Fysio Zuyd B.V..

• Het een algemeen aanvaard gegeven is dat de persoonsgegevens noodzakelijk zijn voor de goede dienstverlening.

• De gegevens noodzakelijk zijn voor de goede bereikbaarheid van betrokkene.

• In al die gevallen waarin dat niet vanzelfsprekend is, wordt betrokkene geïnformeerd dat gegevens worden verzameld en met welk doel dat gebeurt, zodat betrokkene in de gelegenheid is de opslag van gegevens te weigeren.
  Alle revalidatiegeneeskundige gegevens vallen onder het beroepsgeheim van de medewerker.

• Indien de behandelaart of een andere medewerker van Fysio Zuyd B.V. twijfelt aan de toestemming van betrokkene, dan zal hij nadrukkelijk zodanig doorvragen, zodat alle twijfel hieromtrent is weggenomen.

• Eenmaal gegeven toestemming voor de opslag en verwerking van persoonsgegevens kan worden ingetrokken. Reeds opgeslagen persoonsgegevens kunnen op vraag van betrokkene worden vernietigd. Weigering van opslag en/of vernietiging van opgeslagen persoonsgegevens kan gevolgen hebben voor de zakelijke relatie tussen betrokkene en de zorgaanbieder, wanneer dientengevolge geen kwalitatief verantwoorde zorg meer mogelijk is.

• Indien persoonsgegevens nodig zijn voor het algemeen nut, zoals zorgverzekeraars, of verbetering van dienstverlening. In die gevallen waarin dat niet mogelijk zou zijn worden de gegevens niet gebruikt of uitsluitend met uitdrukkelijke en op schrift gestelde toestemming van betrokkene.

Inzage, rechten van de patiënt 

• Vanuit verschillende wettelijke regelingen heeft betrokkene recht op inzicht/inzage in het eigen gegevensbestand. Soms kan dit recht worden ingeperkt. Dit kan het geval zijn in het kader van de bescherming van de persoonlijke levenssfeer van een ander.

• Indien het naar de mening van gebruiker aannemelijk is, dat rechtstreekse inzage kan leiden tot schade aan de gezondheid van betrokkene, of tot onjuiste interpretatie van de opgenomen gegevens, kan hij aanraden, dat inzage slechts plaats vindt onder begeleiding, hetzij van hemzelf, hetzij van een ander voldoende deskundige persoon.
   
• De betrokkene heeft het recht om onjuiste persoonsgegevens te laten wijzigen. Of om hun eigen persoonsgegevens aan te vullen.
   
• De betrokkene heeft het recht op vergetelheid. Dit houdt in dat Fysio Zuyd B.V.  persoonsgegevens moet wissen als een betrokkene erom vraagt. Dit geldt niet altijd, maar alleen in de volgende situaties is het van toepassing: ₁ Niet meer NAW gegevens nodig voor de doeleinden die de organisatie zelf heeft verzameld/verwerkt.  ₂ Intrekken toestemming die de betrokkene eerder heeft gegeven aan Fysio Zuyd B.V. . ₃ Bezwaar. ₄ Onrechtmachtige verwerking. ₅ Wettelijke bepaalde bewaartermijn is 15 jaar, daarna is Fysio Zuyd B.V. verplicht de gegevens van de betrokkene te wissen. ₆ Kinderen.
   
• Betrokkene heeft het recht om de NAW gegevens, die Fysio Zuyd B.V. van hen heeft, te ontvangen (dataportabiliteit). Dit gaat alleen om digitale gegevens, NAW gegevens die door toestemming van betrokkenen verwerkt of om een overeenkomst met de betrokkene.
   
• Fysio Zuyd B.V. heeft de verplichting om betrokkene duidelijk te informeren over wat er met hun NAW gegevens gedaan wordt. De betrokkene wordt middels de Praktijk Folder, website, informatiebord praktijk en de privacyverklaring formulier geïnformeerd.
  
  Toegang tot persoonsgegevens

• Onverminderd eventuele wettelijke voorschriften ter zake, hebben slechts toegang tot de persoonsgegevens, de fysiotherapeut die deze gegevens heeft verzameld of diens waarnemer. Voorts hebben toegang tot persoonsgegevens de beheerder en bewerker, voor zover dit in het kader van beheer en bewerking noodzakelijk is.

Gegevensverstrekking aan derden

Binnen Fysio Zuyd B.V. kunnen persoonsgegevens worden verstrekt:

• aan diegenen, die rechtstreeks betrokken zijn bij de actuele zorgverlening aan de patiënt en voor zover dat voor hun taakuitoefening noodzakelijk is;
• aan personen en instanties, wier wettelijke taak het is de verleende zorg te controleren en te toetsen, voor zover nodig voor de uitoefening van hun taak.

Buiten de instelling kunnen persoonsgegevens verstrekt worden

• aan diegenen, die rechtstreeks betrokken zijn bij de actuele dienstverlening aan de patiënt en voor zover dat voor hun taakuitoefening noodzakelijk is;
• aan zorgverzekeraars, voor zover nodig voor de uitoefening van hun wettelijke taak;
• voor zover nodig aan instanties voor statistiek en beleid;
   

E-mail en andere digitale manieren van communiceren

Medewerkers van Fysio Zuyd B.V. mailen alleen met andere zorgverleners of patiënten als er sprake is van een beveiligde verbinding, ook wel secure mail/encrypted mail genoemd (zorgmail).

Door het mailen via secure mail/ encrypted mail zijn deze berichten niet te lezen door mensen of bedrijven, die geen inzage in deze gegevens mogen hebben.

Binnen Fysio Zuyd B.V. wordt door de medewerkers middels de Siilo Web app gecommuniceerd.

Het gebruik van chatprogramma’s zoals WhatsApp, of gegevens uitwisselingsprogramma’s zoals Dropbox, WeTransfer, of hierop lijkende programma’s zijn niet toegestaan, omdat deze programma’s niet voldoen aan de norm in de gezondheidszorg met betrekking tot gegevensuitwisseling van medische gegevens (NEN7510 en NEN7512).

Autoriteit Persoonsgegevens en Meldplicht datalekken

• De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Onder meer kan het AP onderzoek doen naar mogelijke overtredingen van de Wet bescherming persoonsgegevens. Heeft de AP tijdens het onderzoek overtredingen geconstateerd die voortduren, dan kan het AP handhavend optreden.
• Op 1 januari 2016 is de meldplicht datalekken in gegaan. Bij een datalek gaat het om toegang tot, of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
• De Meldplicht datalekken houdt in dat organisaties direct een melding moeten doen bij het de AP, zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). De melding bij de AP wordt gedaan door de Functionaris gegevensbescherming (FG) te weten D. Janssen, V.M.M. Janssen en/of R.Kessels.
• Medewerkers moeten een melding van een (mogelijk) datalek maken bij D. Janssen, V.M.M. Janssen, D.G.J. Crooijmans en/of R.Kessels.. Deze is verantwoordelijk voor het afhandelen van de melding. D. Janssen, V.M.M. Janssen en/of R.Kessels. beoordeelt of er sprake is van een datalek. En maakt als er sprake is van een datalek, uiterlijk op de tweede werkdag na de ontdekking van het incident, een melding bij de AP.
• In het geval er sprake is van een (mogelijk) datalek door een derde waar de instelling een contract mee heeft: Bureau van der Heijden B.V, Qualizorg. dan maakt deze derde zelf de melding bij de AP, maar informeert Fysio Zuyd B.V. binnen 1 werkdag.

Functionaris Gegevensbescherming

Fysio Zuyd B.V. heeft een Functionaris Gegevensverwerking aangewezen die fungeert als de interne toezichthouder voor de veiligheid rond de verwerking van persoonsgegevens. De medewerker is ook aangemeld bij het de Autoriteit Persoonsgegevens (AP) als Functionaris Gegevensbescherming.

Functionaris Gegevensverwerking binnen Fysio Zuyd B.V. is D. Janssen, V.M.M. Janssen en/of R.Kessels.
Taken van deze functionaris zijn o.a.:

• controleert structureel of de afspraken inzake gegevensbescherming in Fysio Zuyd B.V. worden nagekomen;
• inventariseert jaarlijks met leidinggevenden en cliëntenraad de (geanonimiseerde) incidenten en inbreuken op de afspraken en de genomen (corrigerende) maatregelen;
• actualiseert in overleg met leidinggevenden zo nodig de verantwoordelijkheden, bevoegdheden en taken van de betrokken medewerkers betreffende het patiëntendossier;
• rapporteert jaarlijks in het Management review over de stand van zaken betreffende bescherming persoonsgegevens.
• meldt datalekken bij de Autoriteit Persoonsgegevens.

Sancties

• Indien inbreuk wordt gemaakt op de privacy en bescherming van de persoonsgegevens van betrokkenen, kan door de werkgever disciplinaire maatregelen nemen.

Klachten Patiënten

• Indien een patiënt of zijn wettelijke vertegenwoordiger(s) van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere redenen heeft tot klagen, kan de patiënt of de medewerker zich in zich in eerste instantie wenden tot de behandelaar, hierna A.M.M. Jaspars of W.J.C.H. Strik of de klachtenregeling van het KNGF voor fysiotherapie of NRO voor osteopathie.
   

Medewerkers

• Fysio Zuyd B.V. kent ook een klachtenregeling voor medewerkers.

Beveiliging

Fysio Zuyd B.V. heeft een continue proces in het beveiligen van haar gegevens. Dit proces wordt continu gemonitord.

• De website van Fysio Zuyd B.V. is beveiligd door HTTPS.
• De computers worden middels verbinding met een RDP, die beveiligd is met een gebruikersnaam en een wachtwoord beveiligd. Een test wordt elke week op de computers uitgevoerd.
• Wachtwoorden om in te loggen op de computers worden elke zes weken veranderd.
• Elke week wordt er een Back-up gemaakt.
• Middels zorgmail worden gegevens versleuteld verstuurd.

Reglement AVG- Privacy beleid Osteo Zuyd B.V.  

Op 25 mei 2018 zal de nieuwe Privacywetgeving in werking treden. Het gaat dan om Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische communicatie (2002/58/EG), de nationale wetten ter uitvoering van deze richtlijnen en/of, in voorkomend geval, de verordening (EU) 2016/679 (de "Algemene Verordening Gegevensbescherming"). Een en ander samengevat als de AVG. Deze wetgeving zal de wet Bescherming persoonsgegevens vervangen. De AVG verwacht een meer proactieve rol van iedere organisatie die persoonsgegevens verwerkt. De meest relevante wijzigingen waar rekening mee dienen te worden gehouden zijn: 

 - Versterking en uitbreiding van privacy rechten;  

- Meer verantwoordelijkheden voor organisaties;  

- Dezelfde, stevige bevoegdheden voor alle Europese privacy toezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.  

De Autoriteit Persoonsgegevens (hierna AP) blijft net als voorheen onder de wet Bescherming persoonsgegevens de autoriteit die controleert of organisaties zich aan de wetgeving houden. Ter voorbereiding op de nieuwe regelgeving heeft de AP een stappenplan opgesteld: Het AVG-10 stappenplan:  

1 Bewustwording  

2 Rechten van betrokkenen  

3 Overzicht verwerkingen  

4 Data protection impact assessment (DPIA)  

5 Privacy by design & privacy by default  

6 Functionaris voor de gegevensbescherming  

7 Meldplicht datalekken  

8 Verwerkersovereenkomsten  

9 Leidende toezichthouder  

10 Toestemming  

Een nadere uitwerking van dit stappenplan en naleving in de praktijk daarvan dient ervoor zorg te dragen dat de praktijk Osteo Zuyd B.V. zich zoveel mogelijk aan de nieuwe wetgeving AVG kan houden. Hieronder zullen de verschillende stappen worden besproken. Daarbij wordt nagegaan in hoeverre deze punten binnen de praktijk Osteo Zuyd B.V. gelden, waar de praktijk Osteo Zuyd B.V. tegen aan loopt en op welke wijze de praktijk Osteo Zuyd B.V. op een verantwoorde manier aan de ‘nieuwe’ verplichtingen kan voldoen.  

1 Bewustwording  

1.1 Osteo Zuyd B.V. is een praktijk waarbinnen Coy van Meegen D.O. MRO, Jens Telgenkamp D.O.-(M).R.O, Valery Janssen D.O. MRO en eventuele freelancemedewerkers (D.O. MRO) osteopathie als dienstverlening aanbiedt. Om dat doel te kunnen uitvoeren dient Osteo Zuyd B.V. persoonsgegevens van patiënten te verwerken en gebruiken binnen de dagelijkse bedrijfsvoering.  

1.2 De gegevens die worden gedocumenteerd zijn privacygevoelig. Het gaat om persoonsgegevens, aan de hand waarvan de betrokkene zowel direct als indirect geïdentificeerd kan worden. Ten einde er zeker van te zijn dat met die gegevens wordt omgegaan op een wijze die verantwoord is en voldoet aan de privacywetgeving zoals per 25 mei 2018 van kracht zal worden heeft Osteo Zuyd B.V ervoor gekozen met het onderhavige protocol in kaart te brengen, aan de hand van het AVG-stappenplan (zoals hiervoor opgesomd), op welke wijze invulling gegeven dient te worden aan de AVG.  

1.3 Het betreft hier registratie van persoonsgegevens met een gerechtvaardigd belang. Immers de patiënten melden zichzelf aan bij Osteo Zuyd B.V.. Zij willen graag geholpen worden door de osteopaat voor hun klachten.  

2 Rechten van betrokkenen  

2.1 Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de Verordening diverse rechten aan de betrokkene. De betrokkene kan deze rechten uitoefenen tegen de verwerkingsverantwoordelijke. De betrokkene heeft:  

• het recht op informatie over de verwerkingen;  

• het recht op inzage in zijn gegevens;  

• het recht op correctie van de gegevens als deze niet kloppen;  

• het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;  

• het recht op beperking van de gegevensverwerking;  

• het recht op verzet tegen de gegevensverwerking;  

• het recht op overdracht van zijn gegevens (dataportabiliteit);  

• het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.  

2.2 Een patiënt of voormalig patiënt (de betrokkene) kan om bovenstaande gegevens verzoeken. De betrokkene kan zulks doen per mail naar osteopathie@fysiozuyd.nl. De betrokkene dient zich daarbij te legitimeren, opdat Osteo Zuyd B.V. met voldoende zekerheid kan vaststellen dat degene die het verzoek doet daadwerkelijk de betrokkene is.  

2.3 Osteo Zuyd B.V. zal binnen 1 maand na ontvangst van het verzoek betrokken informeren over de uitvoering van het verzoek. Bij complexe, of een veelvoud aan verzoeken kan deze termijn verlengd worden met maximaal 2 maanden. De betrokkene zal in een dergelijk geval van verlengde termijn van uitvoering van het verzoek daaromtrent geïnformeerd worden. De informatie wordt in principe schriftelijk verstrekt.  

2.4 In sommige gevallen mag Osteo Zuyd B.V. weigeren tot uitvoering van het verzoek om gegevensverstrekking over te gaan, dan wel daarvoor kosten in rekening brengen. Het moet dan gaan om de situatie dat de betrokkene buitensporige of ongegronde verzoeken doet. (Bijvoorbeeld meerdere verzoeken achter elkaar om dezelfde gegevens. Dan wel wanneer sprake is van een van de beschermende noodzakelijkheidscriteria welke de AVG kent zoals bijvoorbeeld in het kader van een (strafrechtelijk) onderzoek naar de betrokkene. Indien Osteo Zuyd B.V. weigert aan het verzoek te voldoen, zal Osteo Zuyd B.V.  zulks motiveren en de betrokkene wijzen op het klachtrecht bij de toezichthouder AVG.  

2.5 Osteo Zuyd B.V.  realiseert zich dat indien zij een schriftelijke beslissing neemt in het kader van de uitoefening van de rechten van de betrokkene, dat dit dan geldt als een besluit in de zin van de Algemene wet bestuursrecht.  

2.6 In sommige gevallen dient Osteo Zuyd B.V. de betrokken patiënt uit zichzelf te informeren. Dit is het geval indien: 

- Gegevens buiten de betrokkene om worden verkregen  

- Gegevens voor een ander doel gebruikt gaan worden dan waar de gegevens oorspronkelijk voor waren afgegeven.  

Osteo Zuyd B.V. zal in die gevallen binnen 1 maand betrokkene informeren.  

2.7 Indien de behandeling van de patiënt eindigt zal Osteo Zuyd B.V. de persoonsgegevens nog enige tijd in haar systeem bewaren. De wet WGBO bepaalt dat medische dossiers 15 jaar moeten worden bewaard. Aan die bewaartermijn zal Osteo Zuyd B.V. zich houden. De dossiers zullen na 15 jaar vernietigd worden. Binnen het dossier bevinden zich tevens gegevens van niet medische aard.  

2.8 Ten einde er zeker van te zijn dat de betrokkene een volledig beeld heeft van de wijze waarop met diens persoonsgegevens wordt omgegaan en met welk doel en onder welke grondslag (gerechtvaardigd belang), zal iedere betrokken bij registratie toegang krijgen tot deze privacy statement en de hierbij behorende documenten. Osteo Zuyd B.V. zal deze gegevens op de website plaatsen en in de patiëntenklapper tevens zal iedere betrokkene op deze vindplaatsen gewezen worden.  

3. Register van verwerkingsactiviteiten  

3.1 Osteo Zuyd B.V. verwerkt persoonsgegevens van patiënten. Ten aanzien van al deze vormen van verwerkingen van persoonsgegevens zal Osteo Zuyd B.V. een register van verwerkingsactitiviteiten bijhouden. Daarin worden alle soorten persoonsgegevens die verwerkt worden opgenoemd.  

3.2 In het geval de patiënt een klacht indient tegen de osteopaat, zullen die gegevens eveneens worden verwerkt door Osteo Zuyd B.V..  

4 DPIA (Data protection impact assessment)  

4.1 DPIA staat voor gegevensbeschermingseffectbeoordeling. Een DPIA is alleen verplicht wanneer sprake is van gegevensverwerking welke waarschijnlijk een hoog privacy risico oplevert. Binnen de AVG worden drie situaties besproken wanneer sprake is van verhoogd risico.:  

- systematisch en uitvoerig persoonlijke aspecten evalueren  

- op grote schaal bijzondere persoonsgegevens verwerken  

- op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied  

4.2 Naast de criteria uit de AVG zelf heeft de werkgroep van Europese privacy toezichthouders een lijst met 9 criteria opgesteld om nader te bezien of een DPIA nodig is. De criteria die op osteopaten van toepassing zouden kunnen zijn:  

- gevoelige gegevens verwerking  

- grootschalige gegevens verwerking  

- gegevensverwerking over kwetsbare personen  

4.3 De privacy toezichthouders zien verwerkingen van bijzondere persoonsgegevens door individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen DPIA uit te voeren. Het ligt voor de hand dat de gegevensverwerking door de individuele osteopaat aldus evenmin de uitvoering van een DPIA behoeft. Osteo Zuyd B.V. zal zodoende geen DPIA uitvoeren.  

4.4 Evenwel is Osteo Zuyd B.V. zich ervan bewust dat sprake is van bijzondere persoonsgegevens. De inhoud van een medisch dossier is gevoelig voor de betrokkene en vergt een grote mate van vertrouwelijkheid. Osteo Zuyd B.V. zal zich zodoende inzetten die gegevens vertrouwelijk te laten blijven. 

 4.5 De gegevens zoals Osteo Zuyd B.V. registreert zijn slechts bedoeld voor intern gebruik. De persoonsgegevens worden gebruikt om te waarborgen dat de osteopaat de patiënt zo goed mogelijk van dienst kan zijn in het verhelpen van de klachten en van dienst zijn door het mogelijk maken dat de ziektekostenverzekering de kosten zoveel mogelijk vergoedt.  

4.6 Op termijn zal de Autoriteit Persoonsgegevens (AP) een lijst van verwerkingen publiceren waar een DPIA voor verplicht is. Zodra die lijst er is, zal Osteo Zuyd B.v. haar verwerking van persoonsgegevens opnieuw tegen het licht houden om te bezien of nog nadere maatregelen nodig zijn. 

5 Privacy by design & privacy by default  

5.1 Privacy door ontwerp en door standaardinstellingen voor producenten. Osteo Zuyd B.V. is producent van een dienst, welke wordt ondersteund door de verwerking van persoonsgegevens. Zodoende houdt Osteo Zuyd B.V. bij de ontwikkeling en uitwerking van die dienst rekening met het recht op bescherming van persoonsgegevens. Met inachtneming van de stand van de techniek ziet Osteo Zuyd B.V. erop toe dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.  

5.2 Osteo Zuyd let daarbij op:  

• het minimaliseren van de verwerking van persoonsgegevens;  

• slechts het BSN nummer noteren, doch geen kopie maken van de het paspoort/ID kaart;  

• transparantie met betrekking tot de functies en de verwerking van persoonsgegevens;  

• het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking; en  

• beveiligingskenmerken creëren en verbeteren.  

6 Functionaris voor de gegevensbescherming  

6.1 Net als voor de DPIA geldt dat de praktijk van een osteopaat door de AP niet wordt gezien als een grootschalige verwerker. Het instellen van een FG is ondanks dat het gaat om bijzondere persoonsgegevens niet noodzakelijk. Daarbij stipt Osteo Zuyd B.V. nogmaals aan dat in deze sprake is van het verwerken van persoonsgegevens op verzoek van de patiënt, nu deze een zo goed mogelijke behandeling wenst. Osteo Zuyd B.V. verwerkt geen persoonsgegevens voor commerciële doeleinden. Patiënten worden niet gevolgd door Osteo Zuyd B.V. aan de hand van de persoonsgegevens.  

6.2 Osteo Zuyd B.V. benadrukt opnieuw zich te realiseren persoonsgegevens te verwerken die een hoge mate van vertrouwelijkheid kennen. Osteo Zuyd B.V. meent echter alle maatregelen te hebben genomen, ten einde erop toe te zien dat de persoonsgegevens van patiënten niet voor andere doeleinden gebruikt worden dan bedoeld is.  

7 Meldplicht Datalekken  

7.1 Een datalek in de zin van de AVG is een inbreuk in verband met persoonsgegevens. Het is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.  

7.2 Het is voor de kwalificatie als ‘inbreuk in verband met persoonsgegevens’ niet relevant dat er boze opzet in het spel is. Naast het ‘hacken’ van persoonsgegevens, kan ook gedacht worden aan gegevens die op een verloren laptop staan of een afgesloten website met persoonsgegevens die per ongeluk openstaat. Een inbreuk op de beveiliging houdt in dat zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Er is niet uitsluitend sprake van een dreiging, of van een tekortkoming in de beveiliging (ook wel aangeduid als een beveiligingslek) die zou kunnen leiden tot een beveiligingsincident. Er heeft zich daadwerkelijk een beveiligingsincident voorgedaan, waarbij de getroffen preventieve maatregelen niet toereikend waren om dit te voorkomen.  

7.3 Osteo Zuyd B.V. zal ieder datalek aan de AP melden, tenzij onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Osteo Zuyd B.V. zal binnen 72 uur na ontdekking de AP in kennis stellen, ook indien nog niet alle informatie voorhanden is.  

7.4 Bovendien zal Osteo Zuyd B.V. het datalek onverwijld melden aan de betrokkenen, indien sprake is van een hoog risico door de inbreuk op de persoonsgegevens. Voor de vraag of sprake is van een hoog risico zal Osteo Zuyd B.V. eerst nader onderzoek daarnaar mogen doen.  

7.5 Het datalek zal door Osteo Zuyd B.V. gedocumenteerd worden in een overzicht van datalekken die zich binnen Osteo Zuyd B.V. hebben voorgedaan. Niet alleen zullen de feiten omtrent de inbreuk en de gevolgen daarvan in dit overzicht worden gedocumenteerd, doch eveneens de genomen corrigerende maatregelen.  

8 Verwerkersovereenkomsten  

8.1 Osteo Zuyd B.V. maakt gebruik van diensten van Spotonmedics voor het verwerken van de persoonsgegevens in een patiëntenbeheerplatform. Dit bedrijf dient zodoende gezien te worden als een verwerker. Ten einde ervan verzekerd te zijn dat Spotonmedics zich aan de vereisten houdt welke nodig zijn om te voldoen aan de AVG heeft Osteo Zuyd B.V. een verwerkersovereenkomst afgesloten met Spotonmedics.  

8.2 Binnen de verwerkersovereenkomst met Spotonmedics zijn in ieder geval de volgende zaken geregeld:  

• Het onderwerp en de duur van de verwerking;  

• De aard en het doel van de verwerking;  

• Het soort persoonsgegevens en de categorieën van betrokkenen;  

• De rechten en verplichtingen van de verwerkingsverantwoordelijke;  

• De persoonsgegevens alleen verwerkt worden onder schriftelijke instructie van Osteo Zuyd B.V., onder andere voor wat betreft de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (tenzij deze daartoe wettelijk is verplicht);  

• Waarborg van de verwerker dat de toegang tot die gegevens is beperkt tot gemachtigde personen. Deze personen moeten gebonden zijn aan geheimhouding op grond van een overeenkomst of een wettelijke verplichting;  

• De verwerker minimaal hetzelfde niveau van beveiliging van de persoonsgegevens hanteert als Osteo Zuyd B.V. doet;  

• De verwerker zal Osteo Zuyd B.V. alle mogelijke ondersteuning bieden bij het nakomen van haar verplichtingen met het oog op beantwoording van verzoeken rondom de rechten van betrokkenen;  

• Verwerker zal Osteo Zuyd B.V. bijstaan bij het nakomen van haar verplichtingen op het gebied van beveiliging van persoonsgegevens en de meldplicht datalekken;  

• Na beëindiging van de overeenkomst tussen Osteo Zuyd B.V. en verwerker, de in uw opdracht verwerkte persoonsgegevens wist of aan Osteo Zuyd B.V. teruggeeft, en bestaande kopieën verwijdert;  

• Osteo Zuyd B.V. alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat de verplichtingen op grond van de Verordening rondom het inzetten van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken;  

• Verwerker maakt inzichtelijk welke afspraken deze met betrekking tot sub- verwerkers maakt;  

• Verwerker vermeldt de goedgekeurde gedragscodes en certificeringsmechanismen waar verwerker bij diens werkzaamheden gebruik van maakt;  

• Verwerker garandeert Osteo Zuyd B.V. aan alle verplichtingen te voldoen zoals de AVG van verwerker verlangt.  

9 Leidende Toezichthouder  

9.1 Osteo Zuyd B.V. dient te bepalen onder welke toezichthouder zij valt. Osteo Zuyd heeft 3 vestigingen te Maastricht. Dit is op Nederlandse bodem. De werkzaamheden van Osteo Zuyd rusten op Nederlands grondgebied. De Leidende toezichthouder voor Osteo Zuyd is dus de Autoriteit Persoonsgegevens te Nederland. 

10 Toestemming  

10.1 Voor de verwerking van bepaalde gegevens is toestemming nodig van de betrokkene. Dat is het geval indien het gaat om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Ook het nationaal identificatienummer (BSN) is een zaak waarbij expliciete toestemming van de betrokkene nodig is, indien dat nummer wordt verwerkt. Osteo Zuyd B.V. verwerkt het BSN-nummer van haar patiënten nu Osteopaten verplicht zijn dit nummer te gebruiken in correspondentie met andere zorgverleners. Het verwerken van gegevens over de gezondheid betreft eveneens een bijzondere categorie gegevens waarvan voor de verwerking toestemming nodig is van de patiënt. Het heeft echter de sterke voorkeur het verwerken van alle persoonsgegevens op voorhand met patiënten te bespreken en bij die verwerking expliciet te vermelden of de patiënt toestemming heeft gegeven voor die verwerking.  

10.2 Osteo Zuyd B.V. zal op de volgende wijze invulling geven aan deze benodigde toestemming. Naast het opstellen van een behandelplan zal bij de intake van een patiënt een overzicht worden gegeven van de afspraken. Deze zullen met de patiënt worden doorgenomen en vervolgens aan de patiënt ter hand worden gesteld dan wel aan de patiënt worden verzonden per mail indien wenselijk. Er zal om een ontvangstbevestiging worden verzocht bij de patiënt. Op deze ‘opdrachtbevestiging’ zullen de belangrijkste gegevens worden benoemd over wat de patiënt kan verwachten van de osteopaat. Het gaat om het volgende:  

- Dat patiënt is gewezen op het feit dat persoonsgegevens verwerkt zullen worden en om welke persoonsgegevens het gaat;  

- Dat patiënt voor die verwerking expliciet toestemming heeft verleend;  

- Dat patiënt rechten heeft ten aanzien van het verwerken van persoonsgegevens en dat patiënt deze en de verdere werkwijze van Osteo Zuyd met betrekking tot die persoonsgegevens kan nalezen in het onderhavige reglement zoals op de website van Osteo Zuyd staat vermeld;  

- Dat patiënt gewezen wordt op de bewaartermijn(en) van de persoonsgegevens;  

- Dat patiënt de mogelijkheid heeft een klacht tegen Osteo Zuyd in te dienen bij het NRO of NOF; 

 - Wat het consulttarief is van Osteo Zuyd B.V.  

11 Slotwoord  

11.1 Osteo Zuyd B.V. gaat ervan uit met dit privacy beleid aan alle vereisten van de nieuwe AVG-regels te voldoen. Osteo Zuyd B.V. is zich ervan bewust dat er sprake is van nieuwe regelgeving en dat zulks inhoudt dat nog niet alle facetten zich even makkelijk laten uiteenzetten. Osteo Zuyd B.V. zal de aanpassingen, beslissingen en verder nieuws vanuit de AP volgen, opdat tijdige maatregelen genomen kunnen worden deze beleidsregels alsnog verder aan te scherpen, of bij te snijden