PRIVACYREGLEMENT REGISTRATIE PERSOONSGEGEVENS CLIËNTEN
Samenstelling en bronverantwoording Samensteller : Johan Rumahloine, kwaliteitsfunctionaris Bronvermelding : Reglement Wet Bescherming Persoonsgegevens BTN (01-04-03 versie 1) Wet Bescherming Persoonsgegevens Steenwijk, 24 januari 2006 Update 15 oktober 2008 versie 2 Update 21 februari 2011 versie 3 Vastgesteld directie: 15102008
PRIVACYREGLEMENT Registratie persoonsgegevens cliënten TDC/CP
Begripsomschrijving In dit reglement wordt verstaan onder: Persoonsgegeven Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon. Verzamelen van persoonsgegevens Het verkrijgen van persoonsgegevens. Persoonsregistratie Een samenhangende verzameling (geautomatiseerd dan wel niet geautomatiseerd) van op verschillende personen betrekking hebbende gegevens, voor zover deze in het kader van de zorg- of dienstverlening van belang zijn. Zorgverleninggegevens, waaronder medische of psychologische gegevens Persoonsgegevens, direct of indirect betrekking hebbend op het lichamelijke of geestelijk functioneren van betrokkene, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn of haar beroepsuitoefening. Verstrekken van gegevens uit de persoonsregistratie Het bekend maken of ter beschikking stellen van persoonsgegevens die in de persoonsregistratie zijn opgenomen of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen. Verwerking van persoonsgegevens Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van ter beschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Verantwoordelijke van de persoonsregistratie Het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Beheerder van de persoonsregistratie Degene die onder verantwoordelijkheid van de verantwoordelijke is belast met de dagelijkse zorg voor een persoonsregistratie of een gedeelte daarvan. Bewerker van de persoonsregistratie Degene, die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen. Gebruiker van de persoonsregistratie Degene die ten behoeve van uit te voeren werkzaamheden in het kader van zijn/haar taak geautoriseerd is gegevens in de persoonsregistratie (of een gedeelte daarvan) in te voeren en/of te muteren, dan wel van enigerlei uitvoer van de persoonsregistratie kennis te nemen.
Privacyreglement – registratie persoonsgegevens cliënten concept 2122011 versie 3
1
Betrokkene/cliënt/geregistreerde Degene over wie persoonsgegevens in de persoonsregistratie zijn opgenomen en aan wie op grond van een actuele zorg-/hulpbehoefte de noodzakelijke zorg- en dienstverlening wordt of zal worden verleend. Toestemming van de betrokkene Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. Beroepsbeoefenaar Degene, die direct betrokken is bij de zorg- en dienstverlening aan een cliënt. Derde Ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken. Klachtencommissie De door de verantwoordelijke ingestelde commissie die belast is met de behandeling van klachten op het gebied van cliëntenzorg.
Artikel 1 Reikwijdte 1.1 Dit reglement is van toepassing op alle diensten, afdelingen, alle locaties waar Stichting Thuiszorg Diensten Centrale (TDC) op basis van een zorgovereenkomst met de cliënt, geïndiceerde zorg levert alsmede organisatie(s) waarmee Stichting Thuiszorg Diensten Centrale (TDC) een facilitaire (samenwerkings)overeenkomst heeft gesloten. En heeft betrekking op de in de bijlage I genoemde persoonsregistratie. Deze bijlage vormt één geheel met dit reglement. Artikel 2 Doel van de persoonsregistratie 2.1 De doelstellingen zijn nader uitgewerkt in Bijlage I. 2.2 De verantwoordelijke zal geen gegevens in de persoonsregistratie opnemen of bewaren voor andere doeleinden dan in Bijlage I genoemd. Artikel 3 Werking van de persoonsregistratie 3.1 De werking van de persoonsregistraties wordt nader beschreven in Bijlage I. 3.2 Verantwoordelijkheid van verantwoordelijke De verantwoordelijke is verantwoordelijk voor het goed functioneren van de persoonsregistratie. Zijn handelen met betrekking tot de werking van de persoonsregistratie en de verstrekking van gegevens uit die registratie wordt beperkt door dit reglement. De verantwoordelijke is aansprakelijk voor eventuele schade als gevolg van het niet naleven van dit reglement. 3.3 Verantwoordelijkheid van bewerker De verantwoordelijke verplicht de bewerker dit reglement na te leven. De taken, rechten en verplichtingen van de bewerker worden door de verantwoordelijke schriftelijk vastgelegd. De bewerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van onder andere apparatuur, programmatuur en de gegevens waarmee de persoonsregistratie(s) wordt/worden gevoerd. De ter zake getroffen regeling(en) is/zijn bij de bewerker in te zien.
Privacyreglement – registratie persoonsgegevens cliënten concept 2122011 versie 3
2
3.4 Voorzieningen De verantwoordelijke treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens en draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsregistratie(s) tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Gelijke plicht rust op de bewerker voor het geheel of het gedeelte van de faciliteiten, die hij onder zich heeft. Artikel 4 Opname van persoonsgegevens in de persoonsregistratie 4.1 Persoonsgegevens kunnen worden opgenomen in de persoonsregistratie voorzover: - opname noodzakelijk is voor het doel van de persoonsregistratie (zie bijlage I); - de persoonsgegevens vallen binnen de in de bijlage I omschreven soorten persoonsgegevens; - het personen betreft die zorg- en/of dienstverlening van en door (naam CP) ontvangen of hebben aangevraagd. 4.2 De persoonsregistratie(s) kan/kunnen ten hoogste de volgende gegevenscategorieën bevatten: - personalia/identificatiegegevens; - financieel/administratieve gegevens; - zorgverleninggegevens, waaronder medische en psychologische gegevens. 4.3 Persoonsgegevens mogen slechts worden verwerkt indien de betrokkene voor de verwerking zijn/haar ondubbelzinnige toestemming heeft verleend. Artikel 5 Verstrekken van persoonsgegevens 5.1 Toestemming voor verstrekking van gegevens Tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift of het een geval betreft als genoemd in de leden 2, 3, 4 of 5 is voor verstrekking van persoonsgegevens aan derden de gerichte toestemming van de betrokkene vereist. Indien verstrekking buiten de doelstelling van de registratie valt, dient de toestemming schriftelijk verleend te worden. 5.2 Verstrekking van gegevens binnen de organisatie Binnen de organisatie van de verantwoordelijke van de persoonsregistratie kunnen zonder toestemming van de betrokkene gegevens worden verstrekt aan diegenen die t.b.v. de uitoefening van hun taak over persoonsgegevens dienen te beschikken en aan personen en instanties, wier taak het is de verleende zorg te controleren en te toetsen. De persoonsgegevens worden binnen de organisatie verstrekt voorzover noodzakelijk en relevant en op voorwaarde dat de geheimhouding, de beveiliging en overige privacybescherming afdoende zijn geregeld. 5.3 Verstrekken van gegevens buiten de organisatie Buiten de organisatie van de verantwoordelijke van de persoonsregistratie kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk, aan: - instanties c.q. rechtspersonen die over gegevens dienen te beschikken voor zover noodzakelijk voor hun wettelijke taakuitoefening, zoals bijv. ziektekostenverzekeraars; - op verzoek aan personen die direct betrokken zijn bij de zorg- of hulpverlening aan de cliënt, voorzover noodzakelijk voor hun taakuitoefening, tenzij de cliënt kenbaar heeft gemaakt daartegen bezwaar te hebben; - aan organisaties waarmee de organisatie een samenwerkingsovereenkomst heeft gesloten voor zorg-/hulpverlening aan cliënten van de organisatie en de door deze organisaties ingeschakelde beroepsbeoefenaren, voorzover noodzakelijk voor hun taakuitoefening.
Privacyreglement – registratie persoonsgegevens cliënten concept 2122011 versie 3
3
5.4 Anonieme gegevens Indien de persoonsgegevens zodanig zijn geanonimiseerd, dat zij redelijkerwijs niet tot de individuele persoon herleidbaar zijn, kan de verantwoordelijke beslissen deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de registratie. 5.5 Koppeling van gegevens Voor het koppelen van gegevens uit afzonderlijke interne persoonsregistratie is géén schriftelijke toestemming van de geregistreerde vereist. Dit is wél vereist als er sprake is van een koppeling van gegevens aan externe persoonsregistratie. 5.6 Verstrekking gegevens ten behoeve van wetenschappelijk onderzoek Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek op het gebied van de volksgezondheid worden verstrekt, indien aan ten minste één van de volgende voorwaarden is voldaan: - het vragen van de gerichte toestemming in redelijkheid niet mogelijk is en voorzien is in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; - het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de verantwoordelijke zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen. Voorts is dit slechts mogelijk indien: - het onderzoek een algemeen belang dient; - het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd; - de betrokken cliënt tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt, en - het onderzoek wordt verricht conform de gedragscode gezondheidsonderzoek van de Raad voor Gezondheidsonderzoek en de Stichting Federatie van Medisch Wetenschappelijke Verenigingen; - het onderzoek wordt verricht door Centraal Bureau voor Statistiek. Bij een verstrekking overeenkomstig dit lid wordt daarvan aantekening gehouden in het dossier. 5.7 Registratie verstrekking persoonsgegevens buiten de organisatie Van de gegevensverstrekking aan derden ander dan op grond van lid 2, 3, en 4 wordt door de verantwoordelijke een registratie bijgehouden. De in de registratie vermelde gegevens worden gedurende twee kalenderjaren bewaard, tenzij de gegevens in het kader van een gerechtelijke procedure langer bewaard moeten blijven. De verantwoordelijke deelt de cliënt op diens verzoek schriftelijk binnen vier weken mede of en aan wie zijn/haar persoonsgegevens in het jaar voorafgaand aan het verzoek persoonsregistratie aan derden zijn verstrekt. Artikel 6 Toegang tot persoonsgegevens 6.1 Onverminderd eventuele wettelijke voorschriften hebben alleen toegang tot persoonsgegevens: - de beheerder, voorzover noodzakelijk in het kader van het beheer; - de bewerker, voorzover nodig in het kader van de bewerking; - de gebruiker, voorzover noodzakelijk voor de uitoefening van zijn/haar taak; - de beroepsbeoefenaar, die de gegevens heeft verzameld en/of voorzover noodzakelijk voor de uitoefening van zijn/haar taak. 6.2 De verantwoordelijke heeft als zodanig geen toegang tot de betrokken persoonsgegevens, tenzij dit noodzakelijk is in verband met zijn algemene verantwoordelijkheid als verantwoordelijke.
Privacyreglement – registratie persoonsgegevens cliënten concept 2122011 versie 3
4
Artikel 7 Kennisgeving cliënten over overname en gebruik van persoonsgegevens 7.1 Algemene kennisgeving De verantwoordelijke zal door middel van een algemene kennisgeving het bestaan van de registratie(s) en van dit reglement vermelden, alsmede daarin aangeven op welke wijze het reglement kan worden ingezien en verkregen en nadere informatie ter zake kan worden ingewonnen. 7.2 Specifieke kennisgeving Indien andere doelen dan zorgverlening en zorgondersteuning een doelstelling vormen van de registratie(s), heeft de verantwoordelijke de plicht de betrokkene vooraf gericht te informeren omtrent de aard van de gegevens die over zijn persoon in de registratie worden opgenomen, alsmede omtrent de doeleinden die daarmee worden nagestreefd, een en ander met inachtneming van het in artikel 2 bepaalde. Artikel 8 Recht van bezwaar tegen opname van persoonsgegevens 8.1 Recht van bezwaar cliënt De cliënt heeft het recht bezwaar te maken tegen opname van op hem/haar betrekking hebbende persoonsgegevens. De beroepsbeoefenaar of (medewerker) verantwoordelijke aan wie dit bezwaar kenbaar wordt gemaakt, gaat slechts over tot het opnemen van de betreffende gegevens indien en voorzover zulks voor het verlenen van de zorg en de bedrijfsvoering onvermijdelijk is of op grond van een wettelijk voorschrift vereist is. 8.2 Gemotiveerd meedelen aan cliënt Indien de beroepsbeoefenaar resp. verantwoordelijke aan het verzoek van de geregistreerde niet of slechts gedeeltelijk gehoor kan geven, deelt hij/zij dit mondeling resp. schriftelijk en gemotiveerd aan cliënt mee. Daarbij dient te worden gewezen op mogelijke consequenties van inwilliging ten aanzien van de behandeling en/of betaling daarvan. De beroepsbeoefenaar dient zich ten aanzien van zijn/haar beslissing te vergewissen van de mening van de verantwoordelijke. Artikel 9 Inzage en afschrift van opgenomen persoonsgegevens 9.1 Inzage in persoonsgegevens De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende gegevens. 9.2 Procedure inzage en/of afschrift De hiervoor te volgen procedure is als volgt: - Een schriftelijk verzoek tot inzage wordt door de cliënt kenbaar gemaakt aan de verantwoordelijke. De verantwoordelijke informeert de beheerder; - De beheerder draagt zorg voor de behandeling van dit verzoek; - De beheerder verleent inzage binnen vier weken na ontvangst van het verzoek; - De beheerder informeert vooraf een eventueel betrokken gebruiker aangaande het verzoek en geeft de mogelijkheid om de inzage plaats te laten vinden onder begeleiding van een gebruiker; - De cliënt heeft het recht zich te doen vergezellen van een vertrouwenspersoon; - Voor inzage plaats kan hebben dient de verzoeker zich te legitimeren. 9.3 Beperkingen voor inzage en afschrift Een mogelijke beperkinggrond voor inzage en afschift kunnen zijn gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen. Indien door de verantwoordelijke inzage wordt geweigerd, wordt deze weigering met redenen omkleed schriftelijk binnen vier weken meegedeeld aan de verzoeker.
Privacyreglement – registratie persoonsgegevens cliënten concept 2122011 versie 3
5
9.4 Kosten van afschrift Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening gebracht worden. 9.5 Uitzondering Indien inzage niet kan worden verleend, zonder dat daarbij inzage wordt gegeven in de gegevens van andere cliënten, dienen die andere cliënten eerst toestemming te verlenen. Artikel 10 Recht op verbetering, aanvulling of verwijdering van opgenomen persoonsgegevens 10.1 Onjuiste, onvolledige en wijziging van gegevens De cliënt kan de verantwoordelijke schriftelijk verzoeken de hem/haar betreffende persoonsgegevens te verbeteren, aan te vullen of te verwijderen, indien deze feitelijk onjuist, voor het doel van de registratie onvolledig of niet terzake doende zijn, dan wel in strijd met een wettelijk voorschrift in de registratie voorkomen. Het verzoek bevat de aan te brengen wijziging. 10.2 Beslissing verantwoordelijke De verantwoordelijke geeft het verzoek als bedoeld in lid 1 door aan de beheerder van de betreffende persoonsregistratie. Deze beheerder bericht de cliënt binnen vier weken na ontvangst van het verzoek schriftelijk of, dan wel in hoeverre, hij/zij daaraan voldoet. Een weigering is met redenen omkleed. 10.3 Beslissing tot correctie De verantwoordelijke draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd. 10.4 Vernietiging van gegevens De verantwoordelijke vernietigt de gegevens binnen dertien weken na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is. 10.5 Identiteit De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. 10.6 Minderjarigen en onder curatele gestelden Het verzoek als bedoeld in lid 1 wordt ten aanzien van de minderjarige die de leeftijd van zestien jaar nog niet heeft bereikt en ten aanzien van degene die onder curatele is gesteld dan wel degene ten behoeve van wie het mentorschap is ingesteld gedaan door hun wettelijke vertegenwoordiger. De betrokken mededeling geschiedt eveneens aan de wettelijke vertegenwoordiger. 10.7 Mededelingsplicht De verantwoordelijke zal aan diegenen aan wie hij/zij naar zijn/haar weten in het jaar voorafgaand aan het verzoek en de sinds dat verzoek verstreken periode de betrokken gegevens heeft verstrekt, mededeling doen van de verbetering, aanvulling of verwijdering. Voorts doet de verantwoordelijke aan de verzoeker desgevraagd opgave van diegene aan wie hij/zij de mededeling heeft gedaan. Artikel 11 Bewaartermijnen en de daarop volgende vernietiging van persoonsgegevens 11.1 Bewaartermijn Behoudens wettelijke voorschriften stelt de verantwoordelijke vast hoe lang de in de registratie opgenomen persoonsgegevens bewaard blijven (zie bijlage I). De bewaartermijn, die voor te onderscheiden persoonsregistraties kan afhankelijk van het doel van de registratie verschillen. 11.2 Vernietiging Vernietiging vindt plaats binnen een termijn van 1 jaar na afloop van de bewaartermijn, tenzij er een klacht is ingediend waarbij persoonsgegevens betrokken zijn. Hetzelfde geldt voor een gerechtelijke procedure. Na afhandeling van de klacht dan wel na afloop van de gerechtelijke procedure vindt vernietiging plaats door een extern bedrijf. 11.3 Verlenging bewaartermijn
Privacyreglement – registratie persoonsgegevens cliënten concept 2122011 versie 3
6
De bewaartermijn kan door de verantwoordelijke worden verlengd na toestemming van de cliënt. De verlenging kan maximaal 1 jaar zijn. Een verzoek om verlenging kan worden herhaald. Artikel 12 Klachten 12.1 Klacht inzake naleven reglement Indien de betrokkene van mening is dat jegens hem/haar is gehandeld of zal worden gehandeld in strijd met dit reglement, dient hij/zij zich te wenden tot de verantwoordelijke van de persoonsregistratie. 12.2 Klachtenbehandeling Indien dit voor de betrokkene niet leidt tot een voor hem acceptabel resultaat, heeft de betrokkene de volgende mogelijkheden. Deze kan gebruik maken van een binnen de instelling functionerende regeling voor onafhankelijke klachtenbehandeling. De betrokkene kan zich ook tot het College Bescherming Persoonsgegevens wenden met het verzoek te bemiddelen of te adviseren in zijn geschil met de verantwoordelijke. Dit dient te geschieden binnen een termijn van acht weken na ontvangst van het antwoord van de verantwoordelijke of, indien de verantwoordelijke niet binnen de gestelde termijn heeft geantwoord, binnen acht weken na afloop van die termijn. Een en ander laat onverlet de mogelijkheid een beroep te doen op de rechter waarvoor dezelfde termijn geldt als voor het inschakelen van het College Bescherming Persoonsgegevens. Artikel 13 Slotbepalingen 13.1 Looptijd van de persoonsregistratie Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende de gehele looptijd van de registratie. 13.2 Overdracht In geval van overdracht aan of overgang van de registratie naar een andere verantwoordelijke, dienen de betrokkenen van dit feit in kennis te worden gesteld, opdat tegen overdracht of overgang, van de op hun persoon betrekking hebbende gegevens, bezwaar kan worden aangetekend. De betrokkene heeft het recht op hem betrekking hebbende gegevens te doen overdragen aan een andere, door hem aan te wijzen verantwoordelijke. Daartoe dient hij een schriftelijk verzoek in bij de verantwoordelijke. De inwilliging van dit verzoek kan slechts worden geweigerd op grond van een wettelijk voorschrift dan wel worden opgeschort voor zover de verantwoordelijke jegens de financier van de verleende zorg tot bewaring gehouden is of indien ter zake van die zorg een geschil aanhangig is gemaakt of dreigt te worden gemaakt. 13.3 Wijziging van het reglement Wijziging van dit reglement geschiedt door de verantwoordelijke.
Privacyreglement – registratie persoonsgegevens cliënten concept 2122011 versie 3
7
BIJLAGE 1
Algemene registratie en zorgregistratie cliënten
Doel van de persoonsregistratie Het verkrijgen van en beschikken over persoonsgegevens van cliënten, met name in het kader van de zorg- en dienstverlening en de verplichtingen van de organisatie ten opzichte van Stichting Thuiszorg Diensten Centrale (TDC), e.e.a. binnen het kader van de (AWBZ/WMO-gerelateerde) wet- en regelgeving. - het registreren van gegevens van cliënten ten behoeve van: een goede uitvoering van de zorg- en dienstverlening die door contractpartner (onder regie van Stichting Thuiszorg Diensten Centrale (TDC) wordt verleend; - het vastleggen en beschikbaar stellen van gegevens, (mede) verkregen op grond van de in de persoonregistratie opgeslagen gegevens, ten behoeve van een doelmatig beleid en beheer van de instelling; - het stimuleren van een permanente vorm van kwaliteitscontrole; - het financieel afhandelen van de geboden zorg aan de cliënt met de cliënt dan wel met de ziektekostenverzekeraar; - het verantwoorden van contractpartner aan Stichting Thuiszorg Diensten Centrale (TDC) en aan de overheid conform dit reglement, de vigerende voorschriften en wettelijke verplichtingen; - het evalueren en eventueel onderzoeken van de zorg- en dienstverlening. Soort gegevens die in de persoonsregistratie kunnen worden opgenomen Personalia/identificatiegegevens - naam, adres, postcode en woonplaats; - identificatienummer: cliëntnummer/registratienummer, Burger Service Nummer (BSN); - geboortedatum en geboorteplaats; - geslacht; - kopie identiteitskaart - leefeenheid; - telefoonnummer; - verzekeringsgegevens. Financieel/administratieve gegevens - administratieve gegevens betreffende de betaling van de noodzakelijke eigen bijdrage in de thuiszorg; slechts wanneer cliënt bij CAK afwijkingen meldt over de geleverde uren. - uren verleende zorg. Zorgverleninggegevens, waaronder medische en psychologische gegevens - gevraagde, geïndiceerde en toegewezen soort en hoeveelheid zorg, en tevens de verleende zorg; - gegevens betreffende de actuele zorg/hulpbehoefte en de tekorten in zelfzorgvermogen van de cliënt voor zover noodzakelijk voor de zorgverlening; - medische gegevens (uit voorafgaande ziekte- en zorggeschiedenis) voor zover noodzakelijk voor de goede uitvoering van de zorgverlening. De gegevens worden verstrekt door de betrokkene zelf (evt. via overig betrokkenen na verkregen toestemming) en opgenomen in het daarvoor speciaal bestemde zorgregistratiesysteem. Specifieke documentatie (kopie aanvraagformulieren, indicatierapporten etc.) wordt opgeborgen in een cliëntgebonden papieren dossier.
Privacyreglement – registratie persoonsgegevens cliënten concept 2122011 versie 3
8
Werking van de persoonsregistratie Verantwoordelijke Verantwoordelijke van de persoonsregistratie is de raad van bestuur van Stichting Thuiszorg Diensten Centrale (TDC) Beheerder De persoonregistratie wordt beheerd door de directie van Stichting Thuiszorg Diensten Centrale De persoonregistratie wordt op de zorglocatie beheerd door de directie van de contractpartner. Bewerker Voor het geautomatiseerde deel van de persoonsregistratie treedt op als externe bewerker: Manager Zorgadministratie. De volgende taken zijn door de verantwoordelijke aan de bewerker gedelegeerd: - Onderhouden en verwerken van de juiste persoonsgegevens van cliënten. - Zorgdragen voor maatregelen in het kader van beveiliging van de persoonsgegevens van cliënten. Gebruikers - Daartoe bevoegde medewerkers in dienst van Stichting Thuiszorg Diensten Centrale (TDC) of werkzame personen met wie de instelling als zodanig een overeenkomst heeft gesloten, die betrokken zijn bij de zorg/dienstverlening voor/aan de cliënt. Toegang wordt verleend op basis van de toegangsregels.
Bevoegdheden Functionaris
Verantwoordelijk e
Beheerder
TDC
Contractpartner
Vaststellen doel, doeleinden en
Raad van Bestuur Thuiszorg Diensten Centrale (TDC)
Directie Thuiszorg Diensten Centrale (TDC)
Bevoegdheden
middelen voor verwerking van persoonsgegevens Melden van verwerkingen van persoonsgegevens bij CBP Toestemmen in vernietiging van persoonsgegevens Directie van de contractpartner
Zorg voor persoonsgegevens
cliënten Raadplegen algemene registratie en
zorgregistratie cliënten Afhandelen inzagerecht cliënt
Bewerker
Gebruikers
Manager Zorgadministratie.
Daartoe bevoegde medewerker: - FeZa - Medewerker zorgadministra
Daartoe bevoegde leidinggevende aangesteld door de directie van de contractpartner Daartoe bevoegde medewerker aangesteld door de directie van de contractpartner:
Privacyreglement – registratie persoonsgegevens cliënten concept 2122011 versie 3
Verwerken, onderhouden en
beveiliging van persoonsgegevens in opdracht van de verantwoordelijke Beheer van het systeem Raadplegen, invoeren, muteren, corrigeren, aanvullen algemene registratie en zorgregistratie cliënten -
Raadplegen algemene registratie
9
-
-
tie Coördinatie Zorg Manager Zorgadministratie Incidentele medewerkers onder strikte voorwaarde van geheimhouding s-plicht -
-
-
Medewerkers uit het zorgteam Leidinggevende zorgteams Iincidentele medewerkers; onder strikte voorwaarde van geheimhouding s-plicht
en zorgregistratie cliënten
Werkwijze van de persoonsregistratie Deze persoonsregistratie is (grotendeels) geautomatiseerd. Van de registratie wordt gebruik gemaakt door de hiervoor vermelde gebruikers, die ieder voor zich verantwoordelijk zijn voor een juiste vastlegging en raadpleging, alsmede voor het bewaren van de dossiers die zij in verband met hun taakuitoefening aanleggen. De verantwoordelijke heeft als zodanig geen toegang tot de registratie, tenzij dit noodzakelijk is in het kader van zijn eindverantwoordelijkheid als verantwoordelijke. Dit uitgangspunt geldt ook voor de beheerder, zij het dat deze bij zijn taakuitoefening veel dichter bij de registratie staat. Zo is de beheerder verantwoordelijk voor de dagelijkse zorg voor de registratie, hetgeen onder meer betekent dat hij toeziet op de handhaving van beveiligingsprocedures, als contactpersoon optreedt voor de gebruikers, verzoeken van betrokkenen om inzage of afschrift coördineert en eventueel voor de eerste klachtenopvang zorgdraagt. De vervolgstappen zijn voor de locaties beschreven in het werkproces “Omgaan met de klachten van de cliënt” in het Locatiehandboek TDC en voor de hoofdlocatie in het Kwaliteitshandboek.
Beveiliging van de registratie De volgende maatregelen zijn op de hoofdlocatie in Steenwijk genomen ter beveiliging van de registratie: Wachtwoordbeveiliging Functionarissen worden uit hoofde van hun functie geautoriseerd en ontvangen een persoonsgebonden wachtwoord om toegang te krijgen tot de persoonsgegevens. Back-up van gegevens Dagelijks wordt een back-up gemaakt van het automatiseringssysteem door de geautoriseerde functionaris(sen), zodat gegevens van cliënten niet verloren gaan. Beveiliging papieren dossier De binnen de organisatie aanwezige dossiers met cliëntgegevens worden in een afgesloten ruimte bewaard gedurende de officiële bewaartermijn. Toegang tot de dossiers door anderen dan de gebruikers vindt alleen plaats met toestemming van de Raad van Bestuur van Stichting Thuiszorg Diensten Centrale (TDC) Looptijd van de registratie De persoonsregistratie is voor onbepaalde tijd ingesteld.
Privacyreglement – registratie persoonsgegevens cliënten concept 2122011 versie 3
10
Categorieën van personen/instanties waaraan gegevens uit de registratie worden verstrekt Categorie
Soort gegevens
TDC
Ten behoeve van aanvraag (vervolg)indicatie: - personalia/identificatiegegevens - zorgverleninggegevens
Contractpartner
In kader van uitvoer (in opdracht van TDC) en controle van de geleverde zorg: - werkplannen - totaal overzicht uren Ten behoeve van het verlenen van de zorg: - Zorgverleninggegevens, waaronder medische en psychologische gegevens
Bewaartermijn Alle verzamelde en verwerkte gegevens, zowel betreffende personalia/identificatiegegevens, financieel/administratieve gegevens als medische en psychologische gegevens, binnen de persoonsregistratie cliënten geïndiceerde zorg worden gedurende een periode van 5 jaren na vastlegging bewaard of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit, op de locaties waar de verwerking plaatsvindt. Vernietigen Het vernietigen gebeurt door een bedrijf die een geldig certificaat van vernietiging afgeeft waarin tenminste vermeld staat: - Dat vernietiging gebeurt overeenkomstig de DIN 32757 level 1; - De datum en hoeveelheid papier dat vernietigd is en verwerkt is tot grondstof voor de papier industrie. Het certificaat van vernietiging wordt gearchiveerd.
Privacyreglement – registratie persoonsgegevens cliënten concept 2122011 versie 3
11