1.8: PRIVACYREGLEMENT MET BETREKKING TOT PERSOONSGEGEVENS, DIE TOT DE PERSOON KUNNEN WORDEN HERLEID Inleiding Het lezen van een privacyreglement is voor velen taaie kost. De boodschap is vaak minder ingewikkeld. Zo ook in dit geval: pvp’en leggen dossiers aan met daarin alleen de noodzakelijke gegevens voor het verrichten van hun taak. Niemand mag de dossiers inzien behalve de pvp en de cliënt. Alleen met toestemming van de cliënt kan iemand anders een dossier inzien. Dossiers zijn digitaal en soms gedeeltelijk op papier; ze worden vijf jaar bewaard. Cliënten hebben de mogelijkheid om bezwaar te maken tegen het registreren van hun gegevens, om hun gegevens anoniem vast te leggen of om het dossier te verwijderen. Gegevens worden anoniem verwerkt voor onderzoek en managementinformatie. 1. Begripsbepalingen 1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; 1.2 verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; 1.3 verstrekken van persoonsgegevens: het bekendmaken of ter beschikking stellen van persoonsgegevens; 1.4 verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens; 1.5 bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen; 1.6 verantwoordelijke: de Stichting PVP vertrouwenspersonen in de zorg, hierna ook te noemen de Stichting PVP, in de hoedanigheid van de rechtspersoon die het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt; 1.7 betrokkene: degene op wie een persoonsgegeven betrekking heeft, zijnde de cliënt van de pvp, pvp-vervanger dan wel de helpdesk; 1.8 ontvanger: degene aan wie de persoonsgegevens worden verstrekt; 1.9 toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt; 1.10 het College bescherming persoonsgegevens: het College dat tot taak heeft toe te zien op de verwerking van persoonsgegevens; 1.11 klachtencommissie: de binnen de Stichting PVP functionerende commissie voor onafhankelijke klachtenbehandeling; 1.12 pvp: de in dienst van de Stichting PVP in instellingen voor geestelijke gezondheidszorg; verslavingszorg; verstandelijk gehandicaptenzorg en psychogeriatrie tewerkgestelde functionarissen, belast met het informeren van de cliënten van die instellingen over hun rechten en het adviseren en bijstaan van die cliënten bij het indienen en afhandelen van klachten; 1.13 cliënt: de cliënt(en) als bedoeld in 1.12, aan wie de pvp uit hoofde van zijn functie advies en bijstand verleent; 1.14 directeur: de directeur van de Stichting PVP; 1.15 manager: de in dienst van de Stichting PVP direct leidinggevende van de pvp, belast met het ondersteunen van de pvp en het houden van toezicht op de kwaliteit van diens werk; 1.16 medewerker onderzoek en registratie: de medewerker, in dienst van de Stichting PVP, belast met het verwerken en interpreteren van de via het registratiesysteem Rapp verkregen geaggregeerde (niet tot cliënten herleidbare) gegevens; Privacyreglement versie 2.0 Vastgesteld: MT 18 december 2014
1
1.17 pvp-vervanger: de pvp als bedoeld in 1.12, die vervangt of waarneemt voor de vaste pvp bij diens afwezigheid; 1.18 koppelgenoot: de collega pvp aan wie de pvp vast is gekoppeld en vice versa, teneinde tijdens voorziene vakanties en andersoortige afwezigheid over en weer voor elkaar waar te nemen; 1.19 mentor: een ervaren pvp als bedoeld in 1.12, die is aangewezen om een pvp in opleiding (pio) gedurende de opleidingsfase te ondersteunen, te adviseren en anderszins met raad en daad bij te staan en mede toe te zien op de kwaliteit van het functioneren van de betreffende pvp in opleiding; 1.20 helpdesk: de telefonische helpdesk van de Stichting PVP, volgens rooster bemand door pvp’en als bedoeld in 1.12, waartoe cliënten zich kunnen wenden voor korte informatie- en adviesvragen en eenvoudige telefonische klachtenbemiddeling; 1.21 Rapp: afkorting van ‘Registratie activiteiten primair proces’, het door de Stichting PVP ingestelde en beheerde digitale cliëntregistratiesysteem; 1.22 cliëntprofiel: een aantal persoonskenmerken van een cliënt, vastgelegd in Rapp; 1.23 dossier: de stukken en gegevens, die horen bij een vraag of klacht van een cliënt. Een dossier is gekoppeld aan een cliëntprofiel. 2. De organisatie van de verwerking van persoonsgegevens 2.1 In het kader van de uitvoering van haar (wettelijke) taken verwerkt de Stichting PVP persoonsgegevens van de cliënten van de pvp in het hiertoe speciaal ontwikkelde automatiseringssysteem ‘Registratie activiteiten primair proces’ (Rapp). 2.2 De verantwoordelijke voor de verwerking van persoonsgegevens is de Stichting PVP. 2.3 De Stichting PVP is vrijgesteld van de meldingsplicht bij het College Bescherming Persoonsgegevens (CBP) op grond van het feit dat de verwerking van persoonsgegevens valt onder de categorie van rechtshulpverleners. De Stichting PVP heeft een vrijwillige melding gedaan bij het CBP. 2.4 Het bepaalde in art. 2.2 laat onverlet, dat op de individuele pvp een eigen verantwoordelijkheid rust voor de verwerking van de persoonsgegevens van zijn cliënten. 2.5 Het adres van de Stichting PVP is: Maliebaan 87, 3581 CG Utrecht. 3. Doel 3.1 De verwerking heeft tot doel het systematisch verzamelen van gegevens betreffende klachten en vragen van cliënten ten behoeve van: - de ondersteuning van cliënten bij de handhaving van hun patiëntenrechten door de pvp - managementinformatie voor de ggz-instelling en haar cliëntenraad (niet herleidbaar naar personen); - managementinformatie voor de Stichting PVP (niet herleidbaar naar personen of instellingen); - managementinformatie voor de subsidieverstrekker van de Stichting PVP (niet herleidbaar naar personen of instellingen); - afhandeling van klachten van cliënten over de dienstverlening van de Stichting PVP; - (wetenschappelijk) onderzoek naar klachtonderwerpen en/of trends (niet herleidbaar naar personen of instellingen); - verantwoording afleggen aan derden, onder andere door middel van het uitbrengen van een jaarverslag (niet herleidbaar naar personen en/of instellingen). 3.2 In het bestand worden geen persoonsgegevens opgenomen voor andere doeleinden dan hierboven genoemd. Persoonsgegevens worden slechts verwerkt voor zover deze, gelet op de doeleinden waarvoor zij worden verzameld, toereikend, ter zake dienend en niet bovenmatig zijn, en overeenkomstig de bepalingen van dit reglement.
Privacyreglement versie 2.0 Vastgesteld: MT 18 december 2014
2
4. Verwerking 4.1 De verwerking van persoonsgegevens van cliënten wordt uitgevoerd door de pvp. 4.2 De in het bestand opgenomen persoonsgegevens zijn afkomstig van de cliënten zelf en worden vastgelegd door de pvp. Gegevens kunnen ook afkomstig zijn van de behandelaar of ontleend worden aan het patiëntendossier van de instelling. In die situaties heeft de cliënt toestemming gegeven aan de pvp om te overleggen met de behandelaar en/of het dossier in te zien en afschriften daaruit te bewaren. De pvp houdt gegevens bij naar aanleiding van elke klacht of vraag die een cliënt aan de pvp voorlegt. De gegevens worden primair vastgelegd in het digitale systeem Rapp; aanvullend kan er tevens een papieren dossier zijn. 4.3 De Stichting PVP is verantwoordelijk voor het goed functioneren van de verwerking van de persoonsgegevens door haar medewerkers. Haar zeggenschap over de verwerking en de verstrekking van gegevens wordt geregeld door de hoedanigheid van de Stichting PVP als werkgever van de pvp’en en door dit reglement. 4.4 De Stichting PVP draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van het bestand tegen verlies of enige vorm van onrechtmatige inzage en/of verwerking. Deze maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. 4.5 De systeembeheerder van Rapp (Itelligence) is niet bevoegd tot het verwerken en/of inzien van persoonsgegevens. Ook de ICT-beheerder van de Stichting PVP (IT-innovators) is niet bevoegd tot het verwerken en/of inzien van persoonsgegevens zonder hiervoor expliciet opdracht te hebben gekregen van de Stichting PVP en dan uitsluitend overeenkomstig de reikwijdte en het doel van die opdracht. De afspraken hierover zijn vastgelegd in afzonderlijke geheimhoudingsverklaringen. 4.6 Het papieren dossier wordt bewaard conform het bepaalde in artikel 6.1.4. 5. Opgenomen gegevens 5.1 Het bestand bevat ten hoogste de persoonsgegevens van cliënten als vermeld onder 5.2. 5.2 De volgende persoonsgegevens worden door de pvp vastgelegd: - het in Rapp aangelegde, tot de persoon van de cliënt herleidbare (met vermelding van een aantal persoonsgegevens), digitale cliëntprofiel en digitale dossiers van vragen en klachten. In die dossiers zijn opgenomen relevante bijlagen als: e-mails en digitaal toegevoegde schriftelijke stukken, die relevant zijn voor de ondersteuning bij de geuite vragen of klachten. - de in Rapp ingevulde registratieformulieren met betrekking tot de geuite vragen of klachten. - de relevante gegevens die niet in Rapp zijn ondergebracht, zoals klachtencommissie-uitspraken, gespreksformulieren, brieven, e-mails, dossierstukken, enzovoorts. 5.3 De pvp voegt geen stukken van of gegevens over personen of instanties buiten de Stichting PVP toe aan het dossier van een cliënt, waarbij de privacy van anderen in het geding kan zijn. 6. Verstrekking van persoonsgegevens 6.1 Toegang tot en gebruik van persoonsgegevens binnen de Stichting PVP 6.1.1 Binnen de organisatie van de Stichting PVP hebben de volgende personen toegang tot de persoonsgegevens: - de pvp tot de dossiers die hij zelf heeft aangemaakt; - een collega-pvp (vervanger, koppelgenoot of helpdeskmedewerker) tot het digitale dossier, voor zover noodzakelijk voor een goede taakvervulling, mits de cliënt hiervoor expliciet toestemming heeft verleend (er heeft altijd slechts één pvp tegelijk toegang tot het digitale dossier en voor elke overdracht moet de pvp de toestemming van de cliënt vastleggen in het dossier); - de mentor van een pvp in opleiding voor zover noodzakelijk voor het adviseren en ondersteunen van de pvp in opleiding, mits de cliënt hiervoor expliciet toestemming heeft gegeven;
Privacyreglement versie 2.0 Vastgesteld: MT 18 december 2014
3
- de managers patiëntenvertrouwenspersoon indien hiervoor een concrete aanleiding bestaat (bijvoorbeeld een klacht jegens de pvp), mits de cliënt hiervoor expliciet toestemming heeft verleend; - de managers patiëntenvertrouwenspersoon tot de contactgegevens van de cliënt in de situatie waarin een pvp onverwacht uitvalt en niet in staat is de cliënt expliciet toestemming te vragen voor het ter beschikking stellen van gegevens aan diens vervanger en/of koppelgenoot (noodprocedure). 6.1.2 Behoudens het in het vorige lid gestelde, heeft de pvp slechts toegang tot de digitale cliëntprofielen en de digitale dossiers van de eigen cliënten. 6.1.3 Het gestelde onder 6.1.1 t/m 6.1.2 is van overeenkomstige toepassing op het papieren dossier, zoals bedoeld in 5.2. 6.1.4 Het papieren dossier zoals bedoeld in 5.2 en 6.1.3, dient door de pvp te worden bewaard in een afsluitbare kast binnen de instelling. 6.1.5 Uitsluitend in de gevallen als genoemd in 6.1.1, kan door anderen dan de pvp binnen de Stichting PVP kennis worden genomen van tot de cliënt herleidbare persoonsgegevens. 6.2 Aan personen of instanties buiten de Stichting PVP worden nimmer tot de cliënt herleidbare gegevens verstrekt. Controle van het dossier in het kader van externe auditing is alleen mogelijk als de cliënt daarvoor vooraf toestemming heeft gegeven. 7. Kennisgeving en toestemming 7.1 Cliënten worden bij gelegenheid van contacten met de pvp en met de Stichting PVP op de hoogte gesteld van het bestaan van de verwerking van persoonsgegevens, de doeleinden daarvan en van dit reglement. Daarbij zal ook worden aangegeven op welke wijze het reglement kan worden ingezien c.q. verkregen en waar nadere informatie ter zake kan worden ingewonnen. De cliënt wordt daarbij om toestemming gevraagd zijn persoonsgegevens te verwerken. De cliënt heeft te allen tijde nadrukkelijk het recht om de verwerking van zijn persoonsgegevens te weigeren of te vragen de gegevens anoniem vast te leggen. 8. Inzage van de geregistreerde gegevens 8.1 De cliënt heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende persoonsgegevens in het bestand. Hij kan daartoe een verzoek indienen bij de pvp of de Stichting PVP (Maliebaan 87, 3581 CG Utrecht). 8.2 Aan de cliënt worden een gebruikersnaam en een inlogcode verstrekt, waarmee hij gedurende een periode (de cliënt kan met de pvp bespreken voor welke periode hij dit wenst) de gegevens kan inzien die over hem zijn vastgelegd in zijn cliëntprofiel en zijn dossiers. Indien de cliënt dit wenst, kan ook een geprinte versie van de gegevens worden verstrekt. 8.3 De gevraagde inzage dient binnen twee weken te kunnen plaatsvinden. Door de strikte privacybescherming kan een pvp alleen inzage geven aan de eigen cliënten. Wanneer de pvp langere tijd afwezig is, kan de cliënt de manager toestemming geven om de inzage te regelen. 8.4 Inzage in het digitale dossier houdt in dat de cliënt een gebruikersnaam en wachtwoord krijgt en zelf kan inloggen in het dossier. De cliënt kan hiervan een print maken of het digitaal opslaan. Indien de cliënt dit wenst, kan de pvp een print maken voor hem. Inzage in het papieren dossier houdt tevens in het recht op afschrift. Inzage en afschriften zijn kosteloos. Rechten en vrijheden van anderen dan de verzoeker kunnen een mogelijke beperkingsgrond zijn voor inzage en afschrift.
Privacyreglement versie 2.0 Vastgesteld: MT 18 december 2014
4
9. Correctie, aanvulling of verwijdering van persoonsgegevens 9.1 De cliënt heeft het recht te verzoeken om correctie of aanvulling van de op hem betrekking hebbende persoonsgegevens indien de gegevens feitelijk onjuist zijn of voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Hij kan dat bespreken met de pvp en wanneer de pvp hiermee akkoord gaat, past deze de gegevens binnen twee weken aan. Wanneer de pvp hier niet mee akkoord gaat, kan de cliënt een schriftelijk en gemotiveerd verzoek indienen bij de Stichting PVP. Het verzoek bevat de aan te brengen wijzigingen. 9.2 De Stichting PVP bericht de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot wijziging schriftelijk of, dan wel in hoeverre, zij daaraan voldoet. Een weigering is met redenen omkleed. 9.3 Een verzoek van de cliënt tot verwijdering van de op hem betrekking hebbende persoonsgegevens, kan de cliënt indienen bij de pvp. Een dergelijk verzoek wordt door de Stichting PVP altijd en zo spoedig mogelijk gehonoreerd. De manager patiëntenvertrouwenspersonen verwijdert de gegevens en heeft daarvoor inzage nodig in de naam van de cliënt en het onderwerp van het dossier. De pvp informeert de cliënt schriftelijk als het dossier verwijderd is. 10. Bewaartermijn en vernietiging 10.1 De tot de persoon herleidbare persoonsgegevens wordem vijf jaar bewaard, gerelateerd aan het bepaalde in art. 3:310 BW. Na het verstrijken van deze termijn, worden de betreffende persoonsgegevens in het papieren dossier verwijderd en vernietigd. In het digitale dossier worden, na het verstrijken van genoemde termijn, de persoonlijke gegevens verwijderd, maar blijven de gegevens over de vraag/klacht bewaard voor managementinformatie en/of onderzoek. Deze gegevens zijn niet meer herleidbaar tot personen. 11. Wijziging, overdracht en overgang van de registratie 11.1 In geval van wijziging van dit reglement, dienen de cliënten hierover geïnformeerd te worden middels een algemene kennisgeving, opdat zij hiertegen bezwaar kunnen maken. Op lopende verwerkingen van persoonsgegevens blijft het huidige reglement in dat geval van toepassing. 11.2 In geval van overdracht of overgang van het bestand naar een andere verantwoordelijke, dienen de cliënten over dit feit geïnformeerd te worden middels een algemene kennisgeving, opdat tegen overdracht of overgang van op hun persoon betrekking hebbende gegevens bezwaar kan worden gemaakt. 12. Klachten 12.1 Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd, kan hij zich wenden tot: - de directeur van de Stichting PVP; - de klachtencommissie, indien het een gedraging van een pvp betreft; - het College bescherming persoonsgegevens, en conform de Wet bescherming Persoonsgegevens (Wbp) verzoeken een onderzoek in te stellen of de wijze van gegevensverwerking door de Stichting PVP in overeenstemming is met de Wbp; - dan wel gebruik maken van de in hoofdstuk 8 van de Wbp neergelegde beroepsmogelijkheden. 13. Inwerkingtreding 13.1 Dit reglement zal per 1 januari 2015 in werking treden en is in te zien via de website van de Stichting PVP. Desgewenst kan een afschrift van dit reglement worden opgevraagd bij het secretariaat van de Stichting PVP:
[email protected] of 030 - 271 83 53.
Privacyreglement versie 2.0 Vastgesteld: MT 18 december 2014
5
