Kinderpraktijk de Bloem
speel groei leef
INTERN PRIVACYBELEID KINDERPRAKTIJK DE BLOEM mw.drs.C.C. Slootjes
Inleiding
Dit is het privacybeleid van mw. C. Slootjes van Kinderpraktijk de Bloem. Dit privacybeleid heeft betrekking op het verwerken van (bijzondere) persoonsgegevens in het kader van zowel de hulpverlening als de (interne) bedrijfsvoering van mw. C. Slootjes.
Mw. C. Slootjes is als zorgaanbieder verwerkingsverantwoordelijke. Mw. C. Slootjes bepaalt het doel en de middelen voor de verwerking van (bijzondere) persoonsgegevens. Dit document beschrijft de wijze waarop mw. C. Slootjes als verwerkingsverantwoordelijke met (bijzondere) persoonsgegevens omgaat, zodat aan de vereisten van de Algemene verordening gegevensbescherming (‘AVG’) wordt voldaan.
Aan bod komen de volgende onderwerpen:
1. AVG-Wat is dat?
2. Persoonsgegevens en doelen
3. Actualisatie en controle naleving privacy-beleid
4. Organisatorische en technische maatregelen/beveiliging
5. Informatieplicht
6. Verwerkingsregister
7. Bewerkers en ontvangers
8. Bewaartermijnen
9. Beveiligingsincidenten
10. Rechten van betrokkenen
1. AVG-Wat is dat?
Iedereen heeft recht op bescherming van zijn of haar persoonsgegevens (art. 10 lid 1 van de grondwet, art. 8 Handvest van de grondrechten van de EU, en art. 16 lid 1; verdrag betreffende de werking van de Europese Unie (VWEU)). Deze bescherming is vastgelegd in de Richtlijn bescherming persoonsgegevens (95/46/EG). Deze richtlijn is in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). Per 25 mei 2018 is echter de algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum nog maar één privacywet geldt in de hele Europese Unie (EU).1 In het licht van de toenemende digitalisering en de juridische wijzigingen is deze praktijk actief aan de slag geweest om in de hulpverlening de privacy van cliënten te waarborgen middels het AVG-stappenplan. Dit geldt intern maar ook in de samenwerking met gemeente en andere zorgverleners.
2. Persoonsgegevens en doelen
Kinderpraktijk de Bloem verwerkt persoonsgegevens van (potentiele) cliënten ten behoeve van identificatie van de cliënt en de uitvoering van de behandelovereenkomst. Voor identificatie gaat het om naam, contact- en adresgegevens, geboortedatum en kenmerk van het identiteitsbewijs en BSN van de cliënt. Voor de uitvoering van de behandelovereenkomst gaat het ook om andere (bijzondere) persoonsgegevens, zoals medische gegevens.
De opgeslagen gegevens van een cliënt worden in het ICT-systeem van Kinderpraktijd de Bloem opgeslagen. Bijzondere persoonsgegevens mag de praktijk verwerken onder voorwaarden. Eén voorwaarde is dat je daar uitdrukkelijk toestemming voor hebt gekregen van betrokkenen (ouders met gezag, jeugdigen > 16 jaar, voogd).
Privacygevoelige gegevens wordt per post of via versleuteld mailverkeer (zg. ZIVVER) verstuurd.
Kinderpraktijk de Bloem laat gezagsdragers een toestemmingsformulier tekenen voor de verwerking van gegevens aan het begin van het hulpverleningstraject. Het privacy beleid staat op de website vermeld.
Persoonsgegevens worden gevraagd en verwerkt door Kinderpraktijk de Bloem met als doel:
- het kunnen opstarten van een behandeling;
- het kunnen communiceren met gezagsdragers (ouders/voogd) van de minderjarige cliënt;
- het communiceren met de verwijzer (huisarts, kinderarts, jeugdarts);
- het kunnen communiceren via het beveiligde digitale ‘berichtenverkeer’ Vecozo-gemeente-praktijk
ten behoeve van, aanvraag beschikking, start-stop behandeling en declaratie van de hulp
(Gemeenten: Gouda, Waddinxveen, Zuidplas, Krimpenerwaard, Reeuwijk/Bodegraven).
3. Actualisatie en controle naleving privacybeleid
De verwerking van persoonsgegevens binnen Kinderpraktijk de Bloem dient in overeenstemming te blijven met de AVG en met elke verordening en wet- en regelgeving die de AVG aanvult, wijzigt of vervangt. Om die reden zal het privacy beleid worden geëvalueerd en zo nodig worden aangepast.
4. Organisatorische en technische maatregelen/beveiliging
Uitgangspunt voor mw. C. Slootjes is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld, zowel intern als bij inschakeling van derde partijen. Voor beide gevallen heeft mw. C. Slootjes passende technische en organisatorische maatregelen getroffen om persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking.
Interne maatregelen
Mw. C. Slootjes heeft de volgende interne technische en organisatorische maatregelen getroffen:
a. het uitwisselen van vertrouwelijke informatie met andere zorgverleners dient uitsluitend via een beveiligde verbinding (versleuteld mailverkeer, zoals ZIVVER) plaats te vinden. E-mailen met andere hulpverleners is alleen toegestaan voor algemene communicatie. Uitwisseling van vertrouwelijke informatie via e-mailaccounts of via applicaties als Whatsapp, Dropbox of WeTransfer is niet toegestaan;
b. vertrouwelijke informatie dient uitsluitend te worden opgeslagen in het ICT-systeem van de praktijk. Het is niet toegestaan vertrouwelijke informatie naar externe gegevensdragers te kopiëren, tenzij dit noodzakelijk is en deze gegevens zijn versleuteld;
c. laptops en mobiele telefoon worden niet onbeheerd buiten de praktijk achter gelaten. Toegang tot de apparatuur is afgeschermd met een wachtwoord/code;
d. inloggegevens worden vertrouwelijk behandeld en worden niet met derden gedeeld. Uitsluitend in voorkomende gevallen mogen inloggegevens vertrouwelijk met een collega worden gedeeld, zoals in geval van waarneming tijdens verlof;
e. papieren dossiers worden volledig en veilig opgeborgen en na gebruik wordt uitgelogd en de computer volledig gesloten;
f. de computers van de zorgaanbieder zelf of van een medewerker is voorzien van een actieve wachtwoordbeveiliging, firewall en virusscanner. Veiligheidsupdates worden tijdig uitgevoerd. Er mag geen verbinding worden gelegd met openbare wifi-netwerken. Het is niet toegestaan papieren dossiers of externe gegevensdragers (zoals laptop, externe harde schijf) met vertrouwelijke informatie onbeheerd in een auto of elders buiten de praktijk achter te laten;
h. bij vertrek van de praktijk wordt er voor gezorgd dat alle ramen en deuren afgesloten worden en dat het alarm wordt geactiveerd (als er geen andere medewerkers meer in het pand zijn);
i. toegang tot de praktijk is alleen mogelijk door mw. E. Lommers (delen de praktijkruimtes). Sleutels mogen niet aan derden worden afgegeven.
5. Informatieplicht
Mw. C. Slootjes informeert betrokkenen over hoe met persoonsgegevens wordt omgegaan. Voor personen die niet aan mw. C. Slootjes zijn verbonden, is om die reden een extern privacystatement opgesteld. Dit privacystatement is op de website van Kinderpraktijk de Bloem gepubliceerd.
6. Verwerkingsregister
Mw. C. Slootjes houdt een verwerkingsregister bij. Dit register bevat een beschrijving van onder meer de verwerkingsdoeleinden, categorieën betrokkenen en ontvangers, bewaartermijnen en beveiligingsmaatregelen.
7. Bewerkers en ontvangers
Verwerkers
Mw. C. Slootjes kan bij het verwerken van persoonsgegevens gebruikmaken van externe dienstverleners. Deze dienstverleners verwerken uitsluitend persoonsgegevens op instructie van mw. C. Slootjes. Met deze partijen heeft mw. C. Slootjes verwerkersovereenkomsten gesloten. In deze overeenkomsten zijn afspraken vastgelegd over onder meer de aard en doeleinden van de verwerking, het soort persoonsgegevens dat wordt verwerkt, geheimhoudingsplicht, instructies over verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van subverwerkers, privacyrechten van betrokkenen, audits en controle alsook het retourneren en/of verwijderen van persoonsgegevens door de verwerker.
Mw. C. Slootjes maakt gebruik van de volgende verwerkers:
Evry BV Alphen a/d Rijn (EPD en facturatie)
Hogrefe Amsterdam (online tests)
Z-ivver Amsterdam (beveiligd mailverkeer)
Administratiekantoor Gouda (boekhouding en belastingaangift)
8.Bewaartermijnen
Ik vernietig persoonsgegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden. De persoonsgegevens worden in dat geval verwijderd.
Medische gegevens worden ten minste 15 jaar na het einde van de behandelovereenkomst bewaard. Financieel-administratieve gegevens worden 7 jaar na vastlegging van de gegeven bewaard.
9.Beveiligingsincidenten
Ik heb passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zoveel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet.
Kijk voor meer informatie op www.autoriteitpersoonsgegevens.nl én http://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving
10. Rechten van betrokkenen
De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:
- Recht op informatie: betrokkenen hebben het recht om aan Kinderpraktijk de Bloem te vragen of en
hoe zijn/haar persoonsgegevens worden verwerkt.
- Inzagerecht: betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier,
zijn/haar gegevens worden verwerkt.
- Correctierecht: als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek
indienen bij Kinderpraktijk de Bloem om dit te corrigeren.
- Recht van verzet: betrokkenen hebben het recht aan Kinderpraktijk de Bloem te vragen om hun
persoonsgegevens niet meer te gebruiken.
- Recht om vergeten te worden: in gevallen waar de betrokkene toestemming heeft gegeven om
gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten
verwijderen.
- Recht op bezwaar: betrokkenen hebben het recht om bezwaar aan te maken tegen de verwerking
van zijn/haar persoonsgegevens. Kinderpraktijk de Bloem zal hieraan voldoen, tenzij er
gerechtvaardigde gronden zijn voor de verwerking.
Indienen van verzoek
Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als via de e-mail ingediend worden. Verzoeken worden opgeslagen in een map in het ICT-systeem.
Na ontvangst zal eerst de identiteit van de verzoeker vastgesteld worden. Kinderpraktijk de Bloem heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is (mede gelet op het beroepsgeheim en de wettelijke bewaarplicht). Binnen vier weken zal Kinderpraktijk de Bloem laten weten wat er met het verzoek gaat gebeuren. Als blijkt dat het verzoek complex is, kan deze termijn met maximaal twee maanden worden verlengd. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij Kinderpraktijk de Bloem of een klacht in te dienen.
In beginsel worden aan de verzoeker voor de behandeling van het verzoek geen kosten in rekening gebracht. Niettemin kan de verzoeker een redelijke vergoeding op basis van de administratieve kosten in rekening worden gebracht, bijvoorbeeld in geval van herhaalde (ongegronde) verzoeken of als meer dan 1 kopie van een dossier wordt verlangd.
