Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 1 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
PRIVACYREGLEMENT Vivium Zorggroep In het kader van Wet Bescherming Persoonsgegevens (WBP) Wet Geneeskundige Behandelingsovereenkomst(WGBO) Wet Beroepen Individuele Gezondheidszorg (BIG)
INHOUDSOPGAVE
1 2 3 4 5 6 7 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Begripsomschrijvingen Reikwijdte Doel van de verwerking van persoonsgegevens Vertegenwoordiging Verwerking persoonsgegevens in de persoonsregistratie Bescherming van de persoonlijke levenssfeer Verstrekken van persoonsgegevens Beveiliging van de persoonsgegevens Kwaliteit gegevensverwerking Informatie over verwerking van persoonsgegevens Inzage Correctieverzoek Mondeling bericht Vaststelling identiteit Kennisgeving verbetering aan derden Verzet Onkostenvergoeding Melding bij College Bescherming Persoonsgegevens Bewaren van gegevens Klachten Wijzigingen, inwerkingtreding en inzage van dit reglement
Bijlage I: 1. 2. 3.
Algemene bewaartermijnen Bewaartermijnen zorg- en dienstverlening Kaders bewaartermijnen cliëntgegevens na afsluiting van de zorg
Bijlage II: -
Bewaartermijnen
Handleiding bij Privacyreglement Vivium Zorggroep
Beveiliging van persoonsgegevens Inzage in de eigen persoonlijke gegevens Het verstrekken van gegevens aan derden Gedragsregels om zorgvuldig om te gaan met persoonsgegevens
Toets/evaluatiedatum: maart 2014
1
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 2 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
Dit reglement is gebaseerd op: de Wet Bescherming Persoonsgegevens (WBP), september 2001, de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO), april 1995 en de Wet op de beroepen in de Individuele Gezondheidszorg (Wet BIG), januari 1998. 1 Begripsomschrijvingen In dit reglement wordt verstaan onder: a.
persoonsgegeven Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Persoonsgegevens zijn alle gegevens die iets over een persoon zeggen en van invloed kunnen zijn op de manier waarop een persoon wordt beoordeeld of behandeld.
b.
verwerking van persoonsgegevens Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.
c.
bestand Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
d.
verantwoordelijke De raad van bestuur die uit naam van de rechtspersoon Vivium Zorggroep alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
e.
beheerder Degene, die onder verantwoordelijkheid van Vivium Zorggroep, is belast met de dagelijkse zorg voor de verwerking van persoonsgegevens of een gedeelte daarvan.
f.
gebruiker Degene, in dienst van Vivium Zorggroep, die geautoriseerd is gegevens in te voeren dan wel te wijzigen in de persoonsregistratie en/of van de gegevens uit de persoonsregistratie gebruik te maken.
g.
bewerker Degene, die ten behoeve van Vivium Zorggroep persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Bijvoorbeeld een extern bureau dat een bepaalde taak voor Vivium Zorggroep uitvoert.
h.
cliënt De natuurlijke persoon die zorg afneemt van Vivium Zorggroep.
i.
betrokkene Degene op wie een persoonsgegeven betrekking heeft. Bij Vivium Zorggroep is de betrokkene over het algemeen een cliënt of een medewerker.
Toets/evaluatiedatum: maart 2014
2
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 3 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
j.
derde Ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van Vivium Zorggroep of de bewerker gemachtigd is om persoonsgegevens te verwerken.
k.
ontvanger Degene aan wie de persoonsgegevens worden verstrekt.
l.
toestemming van de betrokkene Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
m.
College Bescherming Persoonsgegevens (CBP) Het CBP heeft tot taak toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde.
n.
verstrekken van persoonsgegevens Het bekend maken of ter beschikking stellen van persoonsgegevens.
o.
verzamelen van persoonsgegevens Het verkrijgen van persoonsgegevens.
2 Reikwijdte Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen binnen: Vivium Zorggroep Postbus 406 1270 AK Huizen (035) 6 924 924 3 Doel van de verwerking van persoonsgegevens De hoofddoelstelling van de verwerking van persoonsgegevens is het mogelijk maken van een goede zorgverlening door Vivium Zorggroep. Nevendoelstellingen zijn: - een doelmatig beleid en beheer van de organisatie, - het voeren van een doelmatig personeelsbeleid, - evaluatie en onderzoek van de zorgverlening en - de verantwoording van de instelling aan de ziektekostenverzekeraars en aan de overheid, conform dit reglement, de vigerende voorschriften en wettelijke verplichtingen. Persoonsgegevens mogen slechts verwerkt worden indien aan één van onderstaande voorwaarden is voldaan: de betrokkene heeft voor de verwerking zijn ondubbelzinnige toestemming gegeven, verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor handelingen die op verzoek van de betrokkene worden verricht en die noodzakelijk zijn voor het sluiten van een overeenkomst, verwerking is noodzakelijk om een wettelijke verplichting na te komen.
Toets/evaluatiedatum: maart 2014
3
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 4 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
4 Vertegenwoordiging 4.1
Indien de betrokkene jonger is dan twaalf jaar, treden de ouders, die het ouderlijke gezag uitoefenen, dan wel de voogd, in plaats van de betrokkene.
4.2
Hetzelfde geldt voor de betrokkene die de leeftijd van twaalf tot achttien jaar heeft en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake.
4.3
Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders of voogd op.
4.4
Een betrokkene van 16 jaar en ouder die in staat is tot een redelijke waardering van zijn belangen is geheel handelingsbekwaam en hoeft zich niet te laten vertegenwoordigen.
4.5
Indien de betrokkene ouder is dan achttien jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, treedt in volgorde als hier weergegeven, als vertegenwoordiger voor hem op1: indien de betrokkene onder curatele staat of ten behoeve van hem het mentorschap is ingesteld, de curator of mentor, indien de betrokkene deze schriftelijk heeft gemachtigd, de persoonlijke gemachtigde, indien de persoonlijke gemachtigde ontbreekt of niet optreedt, de echtgenoot of andere levensgezel van de betrokkene, indien deze persoon dat niet wenst of ontbreekt, een kind, broer of zus van de betrokkene.
4.6
De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goede vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.
5 Verwerking van persoonsgegevens in de persoonsregistratie 5.1.
Doel van de verwerking Persoonsgegevens mogen slechts in de persoonsregistratie worden opgenomen voor zover opname van de gegevens noodzakelijk is voor het doel van de persoonsregistratie.
5.2.
Verbod verwerking gevoelige gegevens In de wet worden persoonsgegevens over een aantal onderwerpen betiteld als gevoelige gegevens. Deze gevoelige gegevens mogen niet verwerkt worden. Tenzij er sprake is van een uitzondering (zie lid 3 t/m 9). Het betreft de volgende onderwerpen: gezondheid godsdienst of levensovertuiging etnische achtergrond politieke gezindheid seksuele leven lidmaatschap van een vakvereniging strafrechtelijke persoonsgegevens persoonsgegevens over onrechtmatig of hinderlijk gedrag.
1
De hier genoemde categorieën vertegenwoordigers komen overeen met de in de Wet Geneeskundige Behandelingsovereenkomst (WGBO) genoemde categorieën.
Toets/evaluatiedatum: maart 2014
4
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 5 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
De punten 5.3 t/m 5.9 hebben betrekking op uitzonderingen op het verbod op de verwerking van gevoelige gegevens. 5.3
Opheffing verbod op verwerking gevoelige gegevens in het algemeen Gegevens over de in punt 5.2 genoemde onderwerpen mogen verwerkt worden indien: dit geschiedt met uitdrukkelijk toestemming van betrokkene of wanneer de gegevens door betrokkene duidelijk openbaar zijn gemaakt.
5.4
Verwerking persoonsgegevens met betrekking tot gezondheid Gegevens over iemands gezondheid mogen verwerkt worden door o.a.: de hulpverlener, instelling of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. werkgevers, bestuursorganen, pensioenfondsen of instellingen: - voor een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomst die voorzien in aanspraken die afhankelijke zijn van de gezondheidstoestand van de betrokkene, - voor de reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.
Vivium Zorggroep verwerkt gegevens m.b.t. gezondheid op grond van bovenstaande bepalingen in de rol van gezondheidszorginstelling en in de rol van de werkgever (hoofdstuk 7 handreiking, artikel 16, 21, 23 WBP). 5.5
Verwerking persoonsgegevens betreffende erfelijke eigenschappen Persoonsgegevens betreffende erfelijke eigenschappen mogen slechts worden verwerkt indien er: een zwaarwegend geneeskundig belang prevaleert of de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek of statistiek. In dat geval gelden de bepalingen zoals genoemd in 5.6.
5.6
Verwerking persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek Telkens als Vivium Zorggroep betrokkene wil betrekken bij wetenschappelijk onderzoek, moet daarvoor toestemming gevraagd worden aan betrokkene. Vivium Zorggroep informeert betrokkene over het doel van het wetenschappelijk onderzoek en de risico’s van medewerking eraan. Verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek zonder toestemming van betrokkene is toegestaan indien: het onderzoek een algemeen belang dient, de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is, het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
5.7
Verwerking persoonsgegevens met betrekking tot godsdienst of levensovertuiging Het verbod om persoonsgegevens betreffende iemands godsdienst of levensovertuiging te verwerken is niet van toepassing indien de verwerking geschiedt door instellingen voor
Toets/evaluatiedatum: maart 2014
5
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 6 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
zover dit noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt. 5.8
Verwerking persoonsgegevens met betrekking tot etnische achtergrond Persoonsgegevens betreffende iemands etniciteit mogen verwerkt worden indien de verwerking geschiedt met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen teneinde feitelijke ongelijkheden op te heffen. De volgende voorwaarden moeten in acht worden genomen: de verwerking mag alleen plaatsvinden met bovenstaand doel, de gegevens hebben slechts betrekking op het geboorteland van de betrokkene, van diens ouders of grootouders, dan wel op andere, bij de wet vastgestelde criteria, op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een minderheidsgroep als bedoeld in de aanhef behoort en de betrokkene geen schriftelijk bezwaar heeft gemaakt tegen de verwerking van deze gegevens.
5.9
Verwerking persoonsgegevens met betrekking tot lidmaatschap vakbond Lidmaatschap van een vakbond mag alleen verwerkt worden door een vakbond voor zover dat gelet op de doelstelling van de vakbond noodzakelijk is.
Toelichting: Vivium Zorggroep is dus niet zonder meer gerechtigd om lidmaatschap van een vakbond te registreren. Behalve als de betrokkene hier toestemming voor heeft gegeven. 6 Bescherming van de persoonlijke levenssfeer 6.1
Vivium Zorggroep moet toestemming krijgen van de cliënt: a. als er verrichtingen worden uitgevoerd waarvan redelijkerwijs kan worden verwacht dat die door betrokkene als inbreuk op zijn privacy kunnen worden ervaren en deze kunnen worden geobserveerd door anderen dan de betrokkene, b. als er foto’s of audiovisuele opnamen worden gemaakt ten behoeve van publicatie.
6.2
Onder anderen zoals bedoeld in 6.1.a wordt niet verstaan: a. degene van wie de medewerking bij de uitvoering van de verrichting noodzakelijk is, b. de vertegenwoordiger.
6.3
Indien Vivium Zorggroep bij geneeskundige handelingen of bij een gesprek een zorgverlener in opleiding of stagiaire aanwezig wil laten zijn, moet hij daarvoor toestemming krijgen van de cliënt.
7 Verstrekken van persoonsgegevens en verlening inzage aan derden Alle medewerkers van Vivium Zorggroep dienen zich te houden aan hun geheimhoudingsplicht. Dit houdt in dat zij verplicht zijn geheimhouding in acht te nemen ten opzichte van al datgene wat hen bij het uitoefenen van hun beroep aan persoonsgegevens is toevertrouwd. Voor artsen en verpleegkundigen is het beroepsgeheim geregeld in artikel 88 van de Wet op de Beroepen in de Individuele Gezondheidszorg (Wet BIG). 7.1
7.2
Vivium Zorggroep verstrekt zonder de schriftelijke toestemming van betrokkene geen (inzage in) gegevens over betrokkene aan derden, behalve ter voldoening aan een wettelijke verplichting. Onder derden als bedoeld in 7.1 wordt niet verstaan: a. degenen die rechtstreeks zijn betrokken bij de uitvoering van de overeenkomst voor zover
Toets/evaluatiedatum: maart 2014
6
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 7 van 14
7.3
7.4
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
de verstrekking van gegevens en inzage noodzakelijk is voor de door hen te verrichten werkzaamheden, b. de vertegenwoordiger voor zover de verstrekking van gegevens noodzakelijk is voor de uitoefening van zijn taken. Na overlijden geeft Vivium Zorggroep gegevens aan de nabestaanden voor zover de betrokkene daarvoor schriftelijk toestemming heeft gegeven of toestemming mag worden verondersteld. Vivium Zorggroep instrueert individuele zorg verleners over hun geheimhoudingsplicht en stelt de betrokkene hiervan op de hoogte.
8 Beveiliging van de persoonsgegevens van cliënten en medewerkers 8.1
Vivium Zorggroep legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
8.2
Indien Vivium Zorggroep persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt Vivium Zorggroep er zorg voor dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. Vivium Zorggroep ziet toe op de naleving van die maatregelen.
8 Kwaliteit gegevensverwerking Vivium Zorggroep draagt zorg voor de kwaliteit van de gegevensverwerking. De gegevensverwerking dient: niet bovenmatig, toereikend en ter zake dienend te zijn.
9 Informatie over verwerking van persoonsgegevens 9.1
Vivium Zorggroep informeert betrokkene vóór verkrijging van de persoonsgegevens over het doel van de gegevensverzameling en verwerking.
9.2
Indien persoonsgegevens niet rechtstreeks via de betrokkene worden verkregen informeert Vivium Zorggroep betrokkene over de verwerking van deze gegevens.
9.3
Indien de gegevens uitsluitend verzameld worden om aan een derde te verstrekken, wordt betrokkene hiervan op de hoogte gesteld, uiterlijk op het moment van de eerste verstrekking aan die derde.
Toets/evaluatiedatum: maart 2014
7
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 8 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
10 Inzage 10.1 De betrokkene heeft het recht zich tot Vivium Zorggroep te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verstrekt. Vivium Zorggroep deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verstrekt. 10.2 Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens. 11 Correctieverzoek 11.1 Degene aan wie overeenkomstig het voorgaande kennis is gegeven van hem betreffende persoonsgegevens, kan Vivium Zorggroep verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen. 11.2 Vivium Zorggroep bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of, dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed. 11.3 Vivium Zorggroep draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd. 11.4 De verantwoordelijke verwijdert2 de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is. 11.5 Indien de persoonsgegevens zijn vastgelegd op een gegevensdrager waarin geen wijziging en kunnen worden aangebracht (bijvoorbeeld een CD-ROM), dan treft Vivium Zorggroep de voorzieningen die nodig zijn om de gebruiker van de gegevens te informeren over de onmogelijkheid van verbetering, aanvulling, verwijdering of afscherming ondanks het feit dat er grond is voor aanpassing van de gegevens op grond van dit artikel. 12 Mondeling bericht Indien een gewichtig belang van de verzoeker dit eist, voldoet Vivium Zorggroep aan een verzoek in een andere dan schriftelijke vorm die aan dat belang is aangepast. Dit kan bijvoorbeeld van toepassing zijn bij mensen met een visuele beperking. 13 Vaststelling identiteit Vivium Zorggroep draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. Een verzoeker wordt gevraagd zich te legitimeren om te voorkomen dat er onrechtmatig inzage wordt gegeven. 2
Onder verwijdering dient men tevens vernietiging te verstaan.
Toets/evaluatiedatum: maart 2014
8
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 9 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
14 Kennisgeving verbetering aan derden 14.1 Vivium Zorggroep is verplicht om een wijziging van persoonsgegevens, naar aanleiding van een verzoek zoals voorgaand benoemd, zo spoedig mogelijk aan derden door te geven.
Deze verplichting vervalt als het doorgeven onmogelijk blijkt of een onevenredige inspanning kost. 14.2 Vivium Zorggroep doet aan de verzoeker, desgevraagd opgave van degenen aan wie hij de mededeling heeft gedaan. 15 Verzet De betrokkene kan tegen een verwerking van zijn persoonsgegevens verzet aantekenen in verband met zijn persoonlijke omstandigheden. Vivium Zorggroep beoordeelt binnen vier weken na ontvangst of het verzet terecht is. Indien het verzet terecht is wordt de verwerking onmiddellijk beëindigd. 16 Onkostenvergoeding 16.1 Verzoek informatieverstrekking Vivium Zorggroep kan voor een bericht naar aanleiding van een verzoek tot informatieverstrekking over verwerking van persoonsgegevens een vergoeding verlangen van ten hoogste € 4,50. 16.2 In behandeling nemen verzet Vivium Zorggroep kan voor het in behandeling nemen van het verzet een vergoeding vragen van ten hoogste € 4,50. 16.3 Uitzondering Vivium Zorggroep mag meer vragen dan € 4,50 tot ten hoogste € 22,50 in het geval dat: het afschrift bestaat uit meer dan honderd pagina’s of, het bericht bestaat uit een afschrift van een, vanwege de aard van de verwerking, moeilijk toegankelijke gegevensverwerking. 16.4 Teruggave Vivium Zorggroep geeft deze vergoeding terug aan betrokkene in het geval dat: het verzoek tot verbetering, aanvulling, verwijdering of afscherming daadwerkelijk wordt ingewilligd. het verzet gegrond is. 17 Melding bij College Bescherming Persoonsgegevens Vivium Zorggroep is grotendeels vrijgesteld van melding bij het CBP op grond van artikel 17 van het Vrijstellingenbesluit waarin wordt aangegeven dat instellingen in de zin van artikel 1 onderdelen van de AWBZ, zijn vrijgesteld van melding. Alleen het geautomatiseerde cliënt/zorgsysteem moet worden gemeld. 18 Bewaren van gegevens 18.1 Als Vivium Zorggroep zorginhoudelijke gegevens over de cliënt vastlegt, blijven deze gegevens te allen tijde ter beschikking van zowel Vivium Zorggroep als de cliënt. Toets/evaluatiedatum: maart 2014
9
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 10 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
18.2 Bij beëindiging van de overeenkomst bewaart Vivium Zorggroep de gegevens en krijgt de cliënt een kopie als hij dat wil. Voor de gegevens bedoeld in artikel 7:454 van het Burgerlijk Wetboek gelden de daar bepaalde bewaartermijn en de rechten van cliënten ten aanzien van
correctie. Voor de gegevens die bewaard worden op grond van de Wet Bijzondere opnemingen in psychiatrische ziekenhuizen (artikel 56 lid 3 Wet Bopz) en Besluit patiëntendossier geldt de daarin bepaalde bewaartermijn. Voor andere gegevens geldt de norm genoemd in de Wet Bescherming Persoonsgegevens. 18.3 Vivium Zorggroep vernietigt de gegevens binnen drie maanden na een daartoe strekkend verzoek van de cliënt. Dit geldt niet voor zover het verzoek gegevens betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de cliënt en voor zover het bepaalde bij of krachtens de wet zich daartegen verzet. 19 Klachten Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij zich wenden tot: de verantwoordelijke, de binnen de instelling functionerende regeling voor onafhankelijke klachtenbehandeling, het College Bescherming Persoonsgegevens en conform de WBP verzoeken een onderzoek in te stellen of de wijze van gegevensverwerking door de verantwoordelijke in overeenstemming is met de Weg bescherming persoonsgegevens, dan wel gebruik maken van de in hoofdstuk 8 van de WBP neergelegde beroepsmogelijkheden.
20 Wijzigingen, inwerkingtreding en inzage van dit reglement 20.1 Wijzigingen van dit reglement worden aangebracht door de verantwoordelijke. 20.2 De wijzigingen in het reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan betrokkenen. 20.3 Dit reglement is per 1 maart 2004 in werking getreden, gewijzigd in 2009 en in 2010 is bij de verantwoordelijke in te zien. 20.4 Desgewenst kan tegen kostprijs een afschrift van dit reglement worden verkregen.
Toets/evaluatiedatum: maart 2014
10
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 11 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
BIJLAGE 1 – BEWAARTERMIJNEN
1. Algemene bewaartermijnen Personeelszaken Personeelsdossiers
7 jaar na uitdiensttreding
Financiën en Beheer Salarisadministratie Boekhouding
7 jaar 7 jaar
Archief Stukken met betrekking tot: Jaarrekeningen/begrotingen Beleid (notities, procedures, reglementen) Eigen instelling Beleid andere instellingen Bedrijfshistorische stukken Overige Klachten (na behandeling Klachtenprocedure) Correspondentie Notulen bestuursvergaderingen Notulen afdelingsvergaderingen/memo’s en achtergrondinformatie
7 jaar 7 jaar (of na eigen inzicht langer) aantal jaren (in overleg) permanent op een en dezelfde plaats
1,5 jaar 5 jaar 5 jaar 2 jaar
In het algemeen geldt dat stukken die op het hoofdkantoor zijn geproduceerd, ook daar bewaard blijven. Datzelfde principe wordt door bovenstaande afspraken ook voor de regiokantoren gehanteerd.
2.
Bewaartermijnen zorg- en dienstverlening
Administratieve stukken met betrekking tot zorg/cliëntdossiers
4 jaar
Zorgdossiers met verpleegkundige inhoud
15 jaar na afsluiting zorg
Zorgdossiers met niet verpleegkundige inhoud
5 jaar na afsluiting zorg
3. Kaders bewaartermijnen cliëntgegevens na afsluiting van de zorg 2.1
Wet Bescherming Persoonsgegevens Deze wet stelt geen minimale of maximale bewaartermijnen van gegevens van cliënten nadat de zorg is afgesloten. De regel is dat de gegevens bewaard mogen blijven zolang daar een goede reden voor is. Het doel moet dus duidelijk zijn, bijvoorbeeld onderzoek,
Toets/evaluatiedatum: maart 2014
11
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 12 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
klachtenafhandeling, historische of statistische doelen. Een specifieke reden om te bewaren kan gesteld worden door een andere wet, zoals WGBO. 2.2
Wet Geneeskundige Behandel Overeenkomst (WGBO) De hulpverlener (i.c. instelling) is verplicht een dossier aan te leggen waarin de hulpverlener aantekening houdt van de gegevens omtrent de gezondheid van de patiënt en de uitgevoerde verrichtingen (E.M. Hoorenman in Verpleegkundig Consult, december 1998). Het document dient, behalve als hulpmiddel voor de zorg, ook als document voor het verantwoorden van de zorg. De wettelijke vastgestelde minimale bewaartermijn van het dossier (in ieder geval van gegevens die vallen onder de WGBO) is minimaal 15 jaar. De cliënt heeft recht op inzage en op afschrift. Ook kan de cliënt verzoeken om vernietiging van de gegevens.
2.3
Wet Beroepen Individuele Gezondheidszorg Ten behoeve van behandeling van zaken (betreffende individuele artsen of verpleegkundigen) voor het tuchtcollege kan een instelling gevraagd worden cliëntengegevens aan te leveren. Gedetailleerde rapportages van zowel huisarts als wijkverpleegkundigen kunnen daarvoor van belang zijn.
2.4
Klachtrecht Cliënten Zorgsector en reglement Klachtenbehandeling De cliënt heeft het recht om tot een jaar na plaatsvinden van een feit of gebeurtenis, in bijzondere gevallen langer, een klacht in te dienen bij de klachtencommissie. Het is dus vanzelfsprekend dat er op dat moment voldoende gegevens voorhanden moeten zijn om de klacht te kunnen beoordelen. Een veilige marge zou zijn: tot 2 jaar na afsluiting van de zorg.
2.5
Eisen Actiz Actiz stelt voor haar leden de volgende eisen in haar toetsingskader 2000. 9.3.1. De instelling bewerkstelligt een adequate bewaring van de dossiers van de zorgverlening aan individuele cliënten bij de cliënt thuis en waarborgt deze in de instelling zelf (conform WGBO artikel 454). Hierbij hanteert zij de geldende bepalingen met betrekking tot de geheimhouding, bewaartermijnen en vernietiging van gegevens.
Samengevat: - gegevens van de cliënt, ongeacht producttype, na afsluiting van de zorg minimaal 2 jaar beschikbaar houden i.v.m. klachtrecht, - bewaartermijn van gegevens van cliënten die onder WGBO en BIG vallen, respecteren. Deze is 15 jaar. Beroepen die handelingen in het kader van de wet BIG verrichten zijn: artsen, verpleegkundigen, diëtisten, ziekenverzorgenden, verzorgenden IG.
Toets/evaluatiedatum: maart 2014
12
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 13 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
BIJLAGE II - HANDLEIDING BIJ PRIVACYREGLEMENT VIVIUM ZORGGROEP
Beveiliging van persoonsgegevens Persoonsgegevens worden: zodanig bewaard dat kennisname ervan door onbevoegden niet mogelijk is; op kantoor in een afgesloten la/kast bewaard; de sleutel van de laden/kasten zijn op een vaste plaats opgeborgen; in de computer beveiligd; bij vervoer in een afgesloten tas opgeborgen.
Inzage in de eigen persoonlijke gegevens Nadat een cliënt of medewerker daartoe een schriftelijk verzoek heeft ingediend, heeft deze het recht kennis te nemen van de gegevens die op haar of hem betrekking hebben. Dit betekent dat iedere medewerker die persoonlijke gegevens noteert in een cliënten- of werknemersdossier rekening dient te houden met de mogelijkheid dat deze notities op enig moment door de betrokkene worden gelezen. Een uitzondering op het inzagerecht kan spelen als de privacy van derden in het geding is. Het inzagerecht kan geweigerd worden in dit geval.
Het verstrekken van gegevens aan derden Voor het verstrekken van gegevens aan derden is altijd de schriftelijke toestemming van de betrokkene vereist. Op deze regel zijn een aantal uitzonderingen: 1. Het verstrekken van gegevens van een cliënt aan hulpverleners die rechtstreeks bij de uitvoering van de zorg zijn betrokken zoals bijvoorbeeld de huisarts, fysiotherapeut en logopedist. 2. Wettelijke plicht tot gegevensverstrekking Bijvoorbeeld de Wet bestrijding infectieziekten en de Arbeidsomstandighedenwet. 3. Verstrekking aan wettelijke vertegenwoordiger of gemachtigde van de patiënt De wettelijke vertegenwoordiger of gemachtigde mag zonder toestemming van cliënt informatie ontvangen. Ook hierop is weer een uitzondering; namelijk het in strijd zijn met goed hulpverlenerschap. Dit kan bijvoorbeeld zijn als een ouder inzage wil in het dossier van een kind met daarin informatie over door het kind gemelde mishandeling door de ouder. 4. Conflict van plichten/noodtoestand Er kunnen zich situaties voordoen waarin een conflict van plichten speelt. De plicht tot respecteren van de privacy tegenover de plicht hulp te bieden. Te gebruiken criteria bij de beoordeling of sprake is van een conflict van plichten (prof.dr. H.J.J. Leenen): alles is in het werk gesteld om eerst toestemming van de betrokkene te krijgen, hulpverlener verkeert in gewetensnood door het handhaven van de geheimhoudingsplicht, er is geen andere weg dan doorbreking van het geheim om het probleem op te lossen en
Toets/evaluatiedatum: maart 2014
13
Versiedatum/nummer 07-03-2011/1 Bladnummer Pagina 14 van 14
Eigenaar: Raad van Bestuur
Privacyreglement
Vivium
het niet-doorbreken van het geheim levert voor een ander ernstige schade op en het moet vrijwel zeker zijn dat door de geheimdoorbreking die schade aan de ander wordt voorkomen of beperkt. Het geheim dient zo min mogelijk geschonden te worden. Doorbreken geheimhoudingsplicht zo mogelijk aan betrokkenen vertellen. Voorbeeld van een situatie waarin conflict van plichten kan spelen is in geval van kindermishandeling of ouderenmishandeling.
Gedragsregels om zorgvuldig om te gaan met persoonsgegevens (zie ook beroepscode). Algemeen De zorgverlener/medewerker: heeft geheimhoudingsplicht, het geheimhouden van persoonsgegevens is onderdeel van het werk; werkt volgens de beroepscode; houdt er rekening mee dat klanten en medewerkers inzagerecht hebben; houdt er rekening mee dat de klant recht heeft op aanvulling, wijziging en verwijdering van gegevens als deze feitelijk onjuist zijn; noteert zoveel mogelijk de feitelijke gegevens; bij voorkeur in aanwezigheid en met instemming van de cliënt; vraagt de klant toestemming voor het verzamelen en overdragen van medisch/verpleegkundige gegevens; houdt de bewaartermijn in acht; bewaart privacygevoelige persoonsgegevens achter ‘slot en grendel’; neemt zo min mogelijk gegevens mee ‘onderweg’; zorgt dat de sleutels van cliënten worden gecodeerd en op een veilige plaats worden opgeborgen; noemt geen namen in notulen/verslagen van cliëntbesprekingen (in casuïstiekbesprekingen zijn cliëntgegevens geanonimiseerd); praat niet met collega’s over cliënten tenzij het relevant is voor de zorgverlening; praat nooit met derden en zeker niet met medecliënten over cliënten; zorgt bij een leersituatie (bijv. casuïstiekbespreking op een opleiding) dat de cliënt is geanonimiseerd; vernietigt privacygevoelige informatie m.b.v. de papierversnipperaar; spreekt haar collega er op aan, wanneer zij vindt dat er niet zorgvuldig genoeg wordt omgegaan met persoonsgegevens. Werken met de computer wees zorgvuldig met je wachtwoord voor de computer en e-mail; zorg dat anderen dit niet weten; zet je computer op de screen-saver als je wegloopt van je werkplek; vertrouwelijke informatie moet worden afgedrukt met behulp van een wachtwoord op de printer; haal een afgedrukt document meteen uit de printer of de fax; laat geen papieren met privacygevoelige gegevens open op je bureau liggen als je even wegloopt.
Toets/evaluatiedatum: maart 2014
14