PRIVACYREGLEMENT Reglement voor de bescherming van de privacy van personen in verband met de verwerking van persoonsgegevens bij de Stichting Maatschappelijk en Juridische dienstverlening, een organisatie op het brede terrein van welzijn en zorg in de gemeente Groningen, aangesloten bij de MO-groep.
Groningen, december 2005 Geactualiseerd april 2012
INHOUDSOPGAVE
Voorwoord
blz. 3
Art. 1:
Begripsomschrijvingen
blz. 4
Art. 2 t/m 5:
Inleidende bepalingen
blz. 8
Art. 6 t/m 10:
Rechtmatige verwerking van persoonsgegevens
blz. 11
Art. 11 t/m 13:
Rechten van de betrokkene
blz. 17
Art. 14 t/m 15:
Slotbepalingen
blz. 21
Bijlage 1
Overzicht van verwerkingen van persoonsgegevens blz. 22
Bijlage 2
Passende technische en organisatorische beveiligingsmaatregelingen
blz. 23
Verwerking van persoonsgegevens van klanten
blz. 24
Bijlage 3
MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012.
Pagina 1 van 21
VOORWOORD Voor u ligt het Reglement voor de bescherming van de privacy van personen in verband met de verwerking van persoonsgegevens bij de Stichting Maatschappelijke en Juridische Dienstverlening (MJD). Het Reglement is van toepassing op alle huidige en toekomstige werksoorten van de MJD, die als zodanig vallen onder de reikwijdte van de CAO-Welzijn. Het privacyreglement is grotendeels gebaseerd op de ‘Handleiding bij het invoeren van de Wet Bescherming Persoonsgegevens (WBP)’ en het er bij horende model privacyreglement, een gezamenlijke uitgave uit 2001 van Arcares, GGZ Nederland, Nederlandse Vereniging van Ziekenhuizen, VGN en de Maatschappelijke Ondernemersgroep (MO-groep). Daarnaast is ten aanzien van de outreachende werksoorten binnen de MJD (bemoeizorg) dankbaar gebruik gemaakt van de ‘Handreiking Gegevensuitwisseling in het kader van bemoeizorg’ een gezamenlijke uitgave uit 2005 van GGD Nederland, GGZ Nederland en KNMG. Voorts is voor jeugdige klanten gekeken naar het ‘Privacyreglement Bureau Jeugdzorg. Tekst en toelichting’ uit 2004 van de MO-groep. De directeur van de Stichting MJD heeft bij besluit in juli 2005 de tekst van dit Reglement aanvaard en heeft daarmee te kennen gegeven dat de organisatie zich als verantwoordelijke in de zin van artikel 1 van de Wet Bescherming Persoonsgegevens (WBP) gebonden acht aan de bepalingen van het Reglement. Het Reglement alsmede de wijziging en intrekking daarvan worden door de organisatie bekend gemaakt en voor een ieder ter inzage gelegd. De directeur heeft melding gedaan van de verwerking van persoonsgegevens bij het College Bescherming Persoonsgegevens (CBP). Nieuwe verwerkingen of wijzigingen in bestaande verwerkingen van persoonsgegevens worden vooraf gemeld bij het CBP.
MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012.
Pagina 2 van 21
BEGRIPSOMSCHRIJVINGEN In dit Reglement wordt verstaan onder: Art. 1.0
1
De Wet Bescherming Persoonsgegevens (WBP): De wet van 1 september 2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
1.1
Privacy: Het recht van natuurlijke personen op bescherming van de persoonlijke levenssfeer in verband met het verwerken van persoonsgegevens.
1.2
Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
1.3
Hulp-, zorg- en dienstverleningsgegevens1: Persoonsgegevens van een betrokkene c.q. klant die direct of indirect betrekking hebben op de lichamelijke of geestelijke gesteldheid van een betrokkene, verzameld door een beroepsbeoefenaar in het kader van zijn beroepsuitoefening.
1.4
Functiegegevens2: Persoonsgegevens van een betrokkene c.q. een medewerker die direct of indirect betrekking hebben op het uitoefenen van een functie bij de verantwoordelijke.
1.5
Verwerking van persoonsgegevens: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
1.6
Verstrekken van persoonsgegevens: Het bekend maken of ter beschikking stellen van gegevens.
Voorbeelden van hulp-, zorg- en dienstverleninggegevens zijn: probleem, hulpvraag, doelstelling, behandelplan, evaluatie van de hulp-, zorg- en dienstverlening, etc. Zie ook bijlage 3 behorend bij dit reglement. 2 Voorbeelden van functiegegevens zijn: sollicitatiebescheiden, arbeidscontract, functieomschrijving, rapportage Arbodienst, kopie salarisstrook, verslag functioneringsgesprek, kopie identificatiebewijs, etc. Zie ook protocol Verwerken persoonsgegevens van medewerkers binnen de MJD. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 3 van 21
3
1.7
Verzamelen van persoonsgegevens: Het verkrijgen van persoonsgegevens.
1.8
Bestand: Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
1.9.
Dossier: Een systematisch gebundelde verzameling van alle persoons, functie-, hulp-, zorg- en dienstverleningsgegevens van een betrokkene.
1.10
Personeelsdossier: Dossier waarin persoons- en functiegegevens van betrokkene, cq. medewerker is gebundeld.
1.11
Klantdossier: Dossier waarin persoons-, hulp-, zorg- en dienstverleningsgegevens van betrokkene c.q. klant is gebundeld.
1.12
Verantwoordelijke: Stichting Maatschappelijke en Juridische dienstverlening, een organisatie op het brede terrein van welzijn en zorg in de gemeente Groningen.
1.13
Beheerder: De natuurlijke persoon die onder rechtstreeks gezag van de verantwoordelijke belast is met de dagelijkse zorg voor de verwerking van persoons-, functie-, hulp-, zorg- en dienstverleningsgegevens.
1.14
Bewerker: Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen (bijvoorbeeld een salarisadministratiekantoor).
1.15
Gebruiker: De natuurlijke persoon die onder rechtstreeks gezag van de verantwoordelijke bevoegd is persoonsgegevens in te voeren, te muteren of in te zien.
1.16
Betrokkene3: Degene op wie een persoonsgegeven betrekking heeft of zijn vertegenwoordiger.
1.17
Ontvanger: Degene aan wie de persoonsgegevens worden verstrekt.
1.18
Derde:
Betrokkene kan zijn: medewerker, klant, andere klanten (zoals ketenpartners ), leveranciers, andere belanghebbenden, media, etc. Zie ook bijlage 1 behorend bij dit reglement. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 4 van 21
Alle personen die niet zijnde de betrokkene, de verantwoordelijke, de bewerker, de beheerder, gebruiker, of enig persoon die onder rechstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken (bijvoorbeeld arts of hulpverlener werkzaam bij een andere organisatie dan MJD).
4
1.19
Klant: Degene die gebruik wil maken, gebruik maakt of gebruik heeft gemaakt van het de hulp- en of dienstverlening van de verantwoordelijke.
1.20
Medewerker: De natuurlijke persoon die onder rechtstreeks gezag van de verantwoordelijke en op basis van een arbeids- of stageovereenkomst werkzaamheden voor de verantwoordelijke verricht.
1.21
Hulp-, zorg- en dienstverlening: Alle activiteiten die gericht zijn op het verbeteren van het sociaal, psychisch en/of financieel/materieel functioneren van klanten of van de wisselwerking tussen klanten en hun sociale omgeving.
1.22
Bemoeizorg4: Bemoeizorg is het bieden van (ongevraagde) hulp5 aan (zorgwekkende) zorgmijders met een (vaak) complexe problematiek, waarbij verbetering van de kwaliteit van leven en reductie van overlast als uitgangspunten dienen. Deze ‘zorg op maat’ hulpverlening maakt gebruik van verschillende, op elkaar afgestemde methodieken en strategieën. De hulpverlening heeft een actief, outreachend en laagdrempelig karakter. De samenwerking tussen verschillende personen en organisaties (kern– of schilpartners) is van wezenlijk belang om deze groep klanten met de hulpverlening in contact te brengen.
1.23
Toestemming van betrokkene: Elke vrije, specifieke en op informatie berustende wilsuiting, waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
1.24
Het College Bescherming Persoonsgegevens: Het College dat tot taak heeft toe te zien op de verwerking van persoonsgegevens.
1.25
Klachtencommissie Maatschappelijke Denstverlening De klachtencommissie ingesteld conform de Wet Klachtrecht cliënten zorgsector.
1.26
Vertegenwoordiger: De ouder(s) die het ouderlijk gezag uitoefenen, dan wel de voogd van betrokkene.
Definitie volgens ‘Handreiking bemoeizorg van GGZ Nederland, september 2004. Afwachten tot de klant zelf om hulp vraagt is bij de betreffende doelgroep geen optie. Het weigeren of geen beroep (meer) doen op hulpverlening is veelal geen weloverwogen keuze, maar een gevolg van onmacht, onvermogen en/of wilsonbekwaamheid. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 5 van 21 5
INLEIDENDE BEPALINGEN Art. 2.
Art. 3. 3.1
3.2
Art. 4. 4.1 4.2
4.3
6
Reikwijdte Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen van de verantwoordelijke of die bestemd zijn om daarin te worden opgenomen.
Doel reglement Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet Bescherming Persoonsgegevens, verder te noemen WBP. Dit reglement is van toepassing binnen de Stichting Maatschappelijk en Juridische dienstverlening, een organisatie op het brede terrein van welzijn en zorg in de gemeente Groningen, te Groningen en heeft betrekking op het in bijlage 1 gegeven overzicht van verwerkingen van persoonsgegevens. Dit overzicht vormt één geheel met dit reglement.
Doel verwerking persoonsgegevens Persoonsgegevens van klanten worden verwerkt met het oog op de hulp-, zorg- en dienstverlening aan een klant. Hulp-, zorg- en dienstverleningsgegevens van klanten worden verwerkt met het oog op: a. Het verwezenlijken van de hulp-, zorg- en dienstverlening in overeenstemming met de doelstelling van de verantwoordelijke. b. De beleidsvoering van de verantwoordelijke. c. De organisatie- en beheerstaken van de verantwoordelijke. d. De verantwoording van het beleid en de uitvoering ervan aan de financiers. e. De samenwerking, coördinatie en afstemming van de hulp-, zorg- en dienstverlening tussen de gebruikers onderling. f. Het verrichten van (wetenschappelijk) onderzoek ten behoeve van de hulp-, zorg- en dienstverlening op het brede terrein van welzijn en zorg. Persoonsgegevens in het kader van bemoeizorg worden verwerkt met het volgende doel voor ogen. Om problemen van een (zorgwekkende) zorgmijder en/of overlast voor anderen zo vroeg mogelijk te signaleren en/of toename van problemen en overlast te voorkomen, moeten activiteiten van betrokken instanties zo goed mogelijk op elkaar worden afgestemd en moeten afspraken worden gemaakt over de aanpak van de betrokkene. Het uitwisselen van (bepaalde) persoonsgegevens is daarbij onvermijdelijk cq. noodzakelijk6.
Samenwerking in de vorm van gegevensuitwisseling tussen hulpverleningsinstanties en andere instanties in de context van bemoeizorg vergt een zorgvuldige afweging. Het beroepsgeheim van hulpverleners staat er niet aan in de weg om in het kader van (een voornemen tot) bemoeizorg, mede in het belang van de klant, bepaalde relevante informatie over hulpverleningscontacten of mogelijkheden daartoe met andere partijen uit te wisselen. De concrete afweging ligt in die gevallen bij de hulpverlener zelf. De ideale werkwijze is dat dit gebeurt met toestemming van betrokkene. Niet uit te sluiten MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 6 van 21
4.4
4.5
Art. 5. 5.1
5.2
5.3
5.4
5.5
5.6
Persoons- en functiegegevens van medewerkers worden verwerkt met het oog op: a. het (uit)voeren van een adequaat personeelsbeleid, personeels-, salaris- en financiële administratie. b. een adequate uitvoering van de arbeidsovereenkomst. c. het functioneren en de beoordeling van de medewerker. Persoonsgegevens van contactpersonen externe organisaties worden verwerkt conform de in artikel 4 lid 2 t/m 4 vermelde doelstellingen.
Vertegenwoordiging Indien de betrokkene jonger is dan twaalf jaar, treden de ouders, die het ouderlijk gezag uitoefenen, dan wel de voogd in plaats van de betrokkene op. Hetzelfde geldt voor de betrokkene die de leeftijd van twaalf tot achttien jaar heeft en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen terzake7. Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een redelijke waardering van zijn belangen, treedt naast de ouders of voogd de betrokkene zelf op. Een betrokkene van zestien jaar en ouder die in staat is tot een redelijke waardering van zijn belangen is geheel handelingsbekwaam en hoeft zich niet te laten vertegenwoordigen. Indien de betrokkene ouder is dan achttien jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen terzake, treedt in volgorde als hier weergegeven, als vertegenwoordiger voor hem op8: a. indien de betrokkene onder curatele staat of ten behoeve van hem het mentorschap is ingesteld; de curator of mentor; b. indien de betrokkene deze schriftelijk heeft gemachtigd, de persoonlijk gemachtigde; c. indien de persoonlijk gemachtigde ontbreekt of niet optreedt; de echtgenoot of andere levensgezel van de betrokkene; d. indien deze persoon dat niet wenst of ontbreekt; een kind, broer of zus van de betrokkene. De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.
valt echter dat het onvermijdelijk is bepaalde hulpverleningsgerelateerde informatie uit te wisselen zonder toestemming, op basis van een afweging van de in het geding zijnde belangen. 7 Of een jeugdige betrokkene in staat is tot een redelijke waardering van zijn belangen is afhankelijk van zijn cognitieve ontwikkelingsniveau, zijn persoonlijkheidsontwikkeling en zijn psychisch functioneren. Daarbij moet in het oog worden gehouden dat het niet gaat om een algehele wils(on)bekwaamheid maar een wils(on)bekwaamheid in relatie met de specifieke rechten en plichten van de betrokkene ten aanzien van de privacy en verwerking van gegevens. 8 De hier genoemde categorieën vertegenwoordigers komen overeen met de in de Wet geneeskundige behandelingsovereenkomst genoemde categorieën. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 7 van 21
Rechtmatige verwerking van persoonsgegevens Art. 6. 6.1 6.2
6.3
6.4
6.5
Art. 7.
7.1
9
Voorwaarden voor rechtmatige verwerking Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt. Zie ook artikel 6 WBP. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Zie ook artikel 9 WBP. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. Zie ook artikel 11 WBP. De verantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelingen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking. Zie ook Artikel 13 WBP en bijlage 2 over maatregelingen behorend bij dit reglement. De verantwoordelijke waarborgt een zorgvuldige en beveiligde verwerking van gegevens door de bewerker. Daartoe stellen de verantwoordelijke en de bewerker een schriftelijke overeenkomst op waarin afspraken over werkwijzen en beveiliging zijn vastgelegd. Verwerking van persoonsgegevens (niet zijnde hulp-, zorg- en dienstverleningsgegevens) Persoonsgegevens mogen slechts worden verwerkt indien aan een van onderstaande voorwaarden is voldaan: a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend9; b. dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor handelingen die op verzoek van de betrokkene worden verricht en die noodzakelijk zijn voor het sluiten van een overeenkomst; c. dit noodzakelijk is om een wettelijke verplichting na te komen10; d. dit noodzakelijk is ter bestrijding van ernstig gevaar voor de gezondheid van betrokkene11; e. dit noodzakelijk is met het oog op belang van de verantwoordelijke of van een derde én het belang van degene van wie de gegevens worden verwerkt niet prevaleert12.
Als de verantwoordelijke de ondubbelzinnige toestemming van de betrokkene moet verkrijgen moet elke twijfel zijn uitgesloten over de vraag of de betrokkene zijn toestemming heeft gegeven en voor welke verwerkingen de toestemming is gegeven. De toestemming kan blijken uit woord of gedrag en hoeft niet schriftelijk te worden verkregen, tenzij schriftelijke informatie over persoonsgegevens worden verstrekt (zie artikel 7 lid 2). Wel dient de betrokkene alvorens toestemming te geven goed geïnformeerd te zijn. Een sociaal cultureel werker die bijvoorbeeld een ‘probleem’ gezin wil melden bij het maatschappelijk werk, moet daarvoor toestemming vragen aan het gezin. 10 De verantwoordelijke moet onderworpen zijn aan een wettelijke plicht bijvoorbeeld de wettelijk verplichte persoonsregistratie van werknemers o.g.v. Wet stimulering arbeidsdeelname minderheden. 11 Er is een dringende medisch noodzaak de gegevens van de betrokkene te verwerken; er is bijvoorbeeld direct medische hulp nodig en de betrokkene is buiten bewustzijn of niet toerekeningsvatbaar. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 8 van 21
7.2
7.3
Art. 8.
Het verstrekken van persoonsgegevens op schrift aan derden, vindt uitsluitend plaats na schriftelijke toestemming van betrokkene, behoudens indien de belangen van de betrokkene en zijn/haar leefomgeving met ernstige schade worden bedreigd. In plaats van toestemming van de betrokkene voor het verstrekken van persoonsgegevens aan derden, is de toestemming van de wettelijke vertegenwoordiger vereist – tenzij het belang van de betrokkene zich daartegen verzet- indien de betrokkene: a. jonger is dan zestien jaar, of b. de leeftijd van zestien jaren heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake. Regels voor verwerking van hulp-, zorg- en dienstverleninggegevens (bijzondere gegevens)13 Gegevens betreffende de lichamelijke en/of geestelijke gezondheid worden slechts verwerkt indien aan de in artikel 8 lid 1 t/m 9 is voldaan.
8.1
8.2
8.3 8.4
8.5
12
De verwerking geschiedt door hulpverleners, instellingen of voorzieningen in de gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. De verwerking geschiedt op verzoek van de verzekeraar zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico, dan wel voor zover dat noodzakelijk is voor de uitvoering van een verzekeringsovereenkomst. De verwerking geschiedt met uitdrukkelijke toestemming van de betrokkene. De gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. De geheimhoudingsplicht strekt zich ook uit tot medewerkers die het dienstverband bij de verantwoordelijke hebben beëindigd. Het verbod om bijzondere gegevens te verwerken is niet van toepassing voor zover dat noodzakelijk is in aanvulling op de verwerking van persoonsgegevens betreffende iemands gezondheid met het oog op een goede behandeling of verzorging van de betrokkene14.
Dit is een algemene restbepaling: een rechtvaardig belang van de verantwoordelijke wordt aanwezig geacht in het geval dat de desbetreffende verwerking noodzakelijk is om zijn reguliere bedrijfsactiviteiten te verrichten. Voorbeeld; een schade verzekeraar dient voor een schadeclaim naast de gegevens van zijn klant ook de gegevens van de tegenpartij en van getuigen te kunnen verwerken. 13 De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven is verboden. Ook strafrechtelijke en aanverwante gegevens behoren tot deze categorie. Van dit verbod kan alleen ontheffing worden verleend indien de verwerking zijn grondslag vindt in één van de genoemde gronden van hoofdstuk 7 van de handreiking (art. 16, 21 en 23 WBP). Gegevens die dus niet herleidbaar zijn tot een individueel persoon mogen in een registratie opgenomen worden, bijv. de landelijke registratie van het AMW als het doel van de registratie maar wordt aangegeven. 14 Artikel 21 lid 3 WBP Gegevens als godsdienst of levensovertuiging kunnen bijvoorbeeld van belang zijn bij psychiatrische ziektebeelden. Ook een gegeven als ras kan een belangrijke determinant zjin bij diagnosestelling. Deze bepaling blijft strikt beperkt tot de verwerking door hulpverleners, instellingen of voorzieningen binnen de gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 9 van 21
8.6
8.7
8.8
8.9
Art. 9.
9.1
9.2
15
Zonder toestemming van de betrokkene kunnen ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid aan een ander gegevens over de betrokkene worden verstrekt indien15: a. het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de klant niet onevenredig wordt geschaad, of b. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen. Verstrekking is pas mogelijk indien: c. het onderzoek het algemeen belang dient; d. het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd, en e. voor zover de betrokken klant tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt. De verantwoordelijke draagt zorg voor een overzicht van wie binnen de organisatie verantwoordelijk is voor de verwerking van de persoons-, hulp-, zorg- en dienstverleninggegevens van de klant (zie bijlage 3 behorend bij dit reglement). Medewerkers hebben slechts toegang tot de persoons-, hulp-, zorg- en dienstverleningsgegevens voor zover dit noodzakelijk is voor de uitoefening van hun functies. Indien acute hulpverlening dit noodzakelijk maakt verleent de verantwoordelijke een andere hulpverlener dan de beheerder toegang tot het dossier van de betreffende klant.
Regels voor verwerking van persoonsgegevens in het kader van bemoeizorg16 In het kader van de bemoeizorg worden de rechten van de betrokkene gerespecteerd en worden de in het voorliggende privacyreglement beschreven regels gehanteerd. Van artikel 7 lid 1 punt a en van artikel 8 lid 3 kan echter worden afgeweken en tot het tijdelijk beperken van de rechten van klanten (zonder medeweten en toestemming verwerken en verstrekken van persoonsgegevens) wordt alleen overgegaan, indien daartoe een evident belang aanwezig is17.
Artikel 23 lid 2 WBP gaat over wetenschappelijk onderzoek. Hier is echter een bepaling van de Wet Geneeskundige Behandelingsovereenkomst opgenomen; art. 7:458 BW bevat reeds een regeling betreffende het gebruik van gegevens voor medisch wetenschappelijk onderzoek. Deze bepaling is strikter en biedt meer bescherming. Is dit het geval dan gaat de specifieke regeling, in dit geval art. 7:485 BW, voor. 16 De in het voorliggende reglement opgenomen artikelen over bemoeizorg zijn gebaseerd op ‘Handreiking gegevensuitwisseling in het kader van bemoeizorg’, GGD Nederland, GGZ Nederland, KNMG, april 2005. 17 Er moet een goede reden zijn om in het kader van bemoeizorg over te gaan tot een tijdelijke beperking van de rechten van de klant. Het zal daarbij altijd moeten gaan om een dringend gezondheidsbelang van de klant, al dan niet gecombineerd met ernstige overlast die deze klant voor anderen veroorzaakt. Waar het gaat om de gezondheid van de klant kan ‘evident belang’ in de context van bemoeizorg als volgt nader worden getypeerd: ernstig nadeel voor de gezondheidstoestand van de patiënt, of de reële vrees daarvoor. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 10 van 21
9.3
9.4
9.5 9.6
9.7 9.8
9.9
18
Het verstrekken van persoonsgegevens zonder toestemming tijdens een zorgoverleg18 vindt alleen plaats indien geen minder ingrijpend middel19 bestaat om het beoogde doel te bereiken. Regelmatig wordt geëvalueerd of er nog steeds redenen zijn de rechten van de betrokkenen (zonder medeweten en toestemming verwerken en verstrekken van persoonsgegevens) te beperken. Regelmatige evaluatie kan bijvoorbeeld gekoppeld worden aan momenten in het bemoeizorgtraject zoals de melding, de screening, de klantverdeling, de intake, hulpvraagdefiniëring, keuze hulpverleningstraject. In geval van een wilsonbekwame patiënt wordt getracht vervangende instemming van een in aanmerking komende vertegenwoordiger te verkrijgen. Indien het verstrekken van persoonsgegevens zonder toestemming noodzakelijk is, worden alleen relevante gegevens verstrekt. Indien de verantwoordelijke overgaat tot het verstrekken van persoonsgegevens zonder toestemming van de klant wordt hiervan een aantekening gemaakt in het op de betrokkenen betrekking hebbende dossier. Gespreksverslagen van contacten tussen personen en organisaties in een bemoeizorgtraject worden zoveel mogelijk gecodeerd of geanonimiseerd. De deelnemers aan een zorgoverleg betrachten buiten de kring van personen en organisaties (kern- en schilpartners) die aanspraak kunnen maken op besproken persoonsgegevens geheimhouding. Ten behoeve van bemoeizorg zijn door de deelnemende organisaties thans de volgende schriftelijke afspraken gemaakt: a. De verantwoordelijke heeft samen met andere partijen een convenant en een samenwerkingsovereenkomst gesloten voor de Openbare Geestelijke Gezondheidszorg (OGGZ) in de provincie en gemeente Groningen. In de samenwerkingsovereenkomst wordt onder meer verwezen naar het privacyreglement dat specifiek ten behoeve van de samenwerking is opgesteld. Het betreft hier betrokkenen met problemen op meerdere leefgebieden20, die daardoor ernstige beperkingen ondervinden bij het vervullen van sociale rollen en waarmee de omgeving wordt geconfronteerd doordat zij zich zorgen maakt of overlast ervaart. b. De verantwoordelijke heeft samen met andere partijen een privacyreglement die de samenwerking met betrekking tot de zorgafstemming van risicojongeren21 in de gemeente Groningen regelt, ondertekend. Het gaat hierbij om risico jongeren die gemeld worden bij het meldpunt Zorgafstemming voor Risicojongeren (ZAR) en waarover in de zogenaamde 12+ netwerken met diverse partijen afspraken worden gemaakt over te ondernemen acties.
Aan een zogenaamd ‘zorgoverleg’ nemen diverse kern- en schilpartners deel. Tijdens het overleg wordt gesproken over individuele klanten. Afstemming en overleg worden in veel gevallen gerealiseerd door middel dit overleg. 19 Tot minder ingrijpende middelen kunnen bijvoorbeeld behoren: een intensievere vormen van samenwerking tussen een beperkt aantal partijen, vormen van bilateraal overleg, etc. 20 In bijna alle gevallen maakt complexe sociale en psychische problematiek en/of verslavingsproblemen deel uit van de problemen van betrokkenen. 21 Kenmerken van risicojongeren zijn: vertonen van grensoverschrijdend gedrag, disfunctioneren op school of werk, in aanraking komen met de politie, het hebben van problemen in het gezin en het hebben van problemen met vrijetijdsbesteding (bijvoorbeeld rondhangende jongeren die overlast veroorzaken. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 11 van 21
Art. 10. 10.1
10.2
10.3
10.4
10.5
Bewaren van persoonsgegevens Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de realisatie van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. Zie artikel 10 WBP. Persoons-, hulp-, zorg- en dienstverleningsgegevens van klanten worden na beëindiging van de hulp-, zorg- en dienstverlening 3 jaar bewaard en na deze 3 jaar binnen een jaar vernietigd. Voor persoons-, hulp-, zorg- en dienstverleningsgegevens van klanten van sociale raadslieden en van klanten die gebruik maken van AWBZ geïndiceerde zorg, geldt een bewaartermijn van 5 jaar, waarna deze gegevens binnen een jaar worden vernietigd. Gegevens van klanten die gebruik maken van geïndiceerde jeugdzorg worden minimaal 10 jaar na beëindiging van de zorg bewaard en binnen één jaar na het verstrijken van het bewaartermijn vernietigd22. Persoons- en functiegegevens van medewerkers23 worden na beëindiging van het dienstverband 2 jaar bewaard en na deze 2 jaar vernietigd, tenzij er een fiscaal aspect aan een persoons- en/of functiegegeven is verbonden. In geval er een fiscaal aspect aan is verbonden wordt het persoons- en/of functiegegeven 7 jaar bewaard en na deze 7 jaar vernietigd. Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de realisatie van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij geanonimiseerd of voor zover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard en uitsluitend voor deze specifieke doeleinden worden gebruikt. Verwijdering van persoonsgegevens blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de verantwoordelijke overeenstemming bestaat.
22 In voorkomende gevallen kunnen in bijzondere wetgeving nadere regels worden geformuleerd. Ook kunnen in het Vrijstellingsbesluit bij de WBP criteria en termijnen worden gevonden. 23 Afhankelijk van het type persoons- en functiegegevens van een MJD medewerker hanteert MJD verscheidene bewaartermijnen. Zie hiervoor protocol Verwerken persoonsgegevens van medewerkers binnen de MJD. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 12 van 21
Rechten van de betrokkene Art. 11.
11.1
11.2
11.3
11.4
11.5
24
Informatieverstrekking aan betrokkene Gegevens verkregen bij betrokkene Indien bij de betrokkene zelf de persoonsgegevens worden verkregen, deelt de medewerker voor het moment van verkrijging de betrokkene mede24: a. de identiteit van de verantwoordelijke; b. de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, tenzij de betrokkene daarvan reeds op de hoogte is. In geval de betrokkene een klant is maakt de medewerker hierbij gebruik van een folder waarin informatie verstrekt wordt over: wie de verantwoordelijke is, met welk doel gegevens worden verwerkt, wat de rechten van de betrokkene zijn en de geheimhoudingsplicht van medewerkers. De medewerker verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is, om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen25. Gegevens elders verkregen Bij verkrijging van persoonsgegevens buiten de betrokkene om, deelt de medewerker de betrokkene mede: a. de identiteit van verantwoordelijke; b. de doeleinden van de verwerking waarvoor de gegevens zijn bestemd. Het moment waarop dit moet gebeuren is: c. op het moment dat de gegevens worden vastgelegd, of d. als de gegevens uitsluitend worden verzameld om deze aan een derde te verstrekken; e. uiterlijk op het moment van eerste verstrekking aan die derde. De medewerker verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is, om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen. Het bepaalde onder lid 3 is niet van toepassing indien de mededeling van de informatie aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de medewerker de herkomst van de gegevens vast.
Deze algemene kennisgeving kan geschieden door bijvoorbeeld het uitreiken van een informatiebrochure of door informatie over het reglement en de verwerking van persoonsgegevens op te nemen in de huisregels. 25 Aangezien de verwerking van de gegevens wordt gedaan door een dienstverlenende bijv. kinderopvangorganisatie of maatschappelijk werk organisatie, mag in het algemeen worden aangenomen dat de betrokkene weet of kan weten dat verwerking van gegevens plaatsvindt. Kennisgeving van opname van gegevens aan de individuele betrokkene kan dan achterwege blijven. Volstaan kan worden met een algemene kennisgeving van het bestaan van de verwerking en dit reglement. Dit is anders indien andere doelen dan dienstverlening (bv. kinderopvang) een zelfstandige doelstelling vormen van de verwerking, bijvoorbeeld wetenschappelijk onderzoek. In dat geval kan niet zonder meer worden aangenomen dat de betrokkene van deze doelstellingen weet heeft. Kennisgeving aan individuele betrokkenen van verwerking van hun gegevens, alsmede van de doeleinden die daarmee worden nagestreefd, is in dit geval noodzakelijk. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 13 van 21
Gegevens verkregen in het kader van bemoeizorg 11.6 Indien in het kader van bemoeizorg persoonsgegevens zonder medeweten van de betrokkene zijn verkregen (buiten de betrokkene om) zal zodra dat mogelijk26 is (zie ook artikel 9 lid 4) de medewerker de betrokkene informeren over: a. de identiteit van de verantwoordelijke b. de doeleinden van de verwerking van persoonsgegevens in het kader van bemoeizorg c. de organisatie van het bemoeizorgtraject en de betrokken organisaties d. rechten van klanten en situaties waarin van deze rechten worden afgeweken (niet informeren en geen toestemming) Art. 12. 12.1
12.2
12.3 12.4
12.5
12.6
Art. 13. 26
Recht op inzage en afschrift van opgenomen persoonsgegevens De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens. Een verzoek om inzage wordt schriftelijk ingediend bij de verantwoordelijke. De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt. Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht27. Recht op inzage kan worden geweigerd als dit in het belang is van de bescherming van de betrokkene en/of als het een onevenredig nadeel voor een derde met zich meebrengt28. Inzage in of afschrift van persoonsgegevens wordt aan betrokkene geweigerd29 indien deze a. Jonger is dan zestien jaar, of b. De leeftijd van zestien jaren heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake. Indien de betrokkene niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, worden desgevraagd aan de (wettelijke) vertegenwoordiger inlichtingen dan wel inzage in of afschrift van de persoonsgegevens verstrekt, tenzij het belang van de betrokkene zich daartegen verzet30. Recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens
Informatie wordt verstrekt zodra de medewerker inschat dat het verstrekken van deze informatie niet interfereert met het opbouwen van een vertrouwensrelatie met de klant en met het toeleiden van de klant naar een hulp- en of dienstverleningstraject. 27 Besluit kostenvergoeding rechten betrokkene WBP geeft het volgende aan: de vergoeding voor de kosten als bedoeld in art. 35 WBP bedragen 0,23 eurocent per pagina met een maximaal bedrag van 4.50 euro per bericht. Een redelijke vergoeding mag worden gevraagd wanneer het afschrift bestaat uit meer dan 100 pagina’s of wanneer het bericht bestaat uit een moeilijk toegankelijke gegevensverwerking, met een maximum van 22,50 euro. 28 Er bevinden zich in het dossier ook persoonsgegevens van familieleden. 29 Weigeren van inzage betekent geenszins dat een medewerker geen informatie aan de jeugdige betrokkene mag geven. De betrokkene onder de twaalf jaar heeft geen eigen inzagerecht, maar de medewerker behoort de jeugdige betrokkenen wel conform zijn beoordelingsvermogen bij de hulpverlening te betrekken. 30 Recht op inzage aan de (wettelijke) vertegenwoordiger mag worden geweigerd indien het belang van de betrokkene hiermee kan worden geschaad. Bijvoorbeeld als informatieverstrekking over de betrokkene tot gevolg heeft dat de wettelijke vertegenwoordiger (immateriële) schade toebrengt aan de betrokkene, of tot gevolg heeft dat deze informatie de vertrouwensrelatie tussen betrokkene en de medewerker beschadigd. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. Pagina 14 van 21
13.1
13.2
13.3 13.4 13.5
13.6
13.7
Art. 14. 14.1
Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens. De betrokkene kan schriftelijk bij de verantwoordelijke verzoeken om correctie van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen. De verantwoordelijke draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd. De betrokkene kan schriftelijk bij de verantwoordelijke verzoeken om verwijdering van op hem betrekking hebbende gegevens. Het verzoek bedoeld in lid 2 en 4 van dit artikel wordt –tenzij het belang van de betrokkene zich daartegen verzet- door de wettelijke vertegenwoordiger gedaan, indien de betrokkene: a. Jonger is dan zestien jaar, of b. De leeftijd van zestien jaren heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake. De verantwoordelijke draagt zorg dat de verzoeker schriftelijk wordt bericht binnen vier weken na ontvangst van het schriftelijk verzoek tot aanvulling, correctie of verwijdering of dan wel in hoeverre hij daaraan voldoet. De verantwoordelijke draagt zorg dat de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene verwijderd31 worden, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is. Klachten Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, dan kan de betrokkene een klacht indienen: a. via de bij de verantwoordelijke functionerende regeling voor klachtenbehandeling. Er is een aparte interne klachtenregeling voor medewerkers en een klachtenprocedure en klachtenreglement voor klanten. Het klachtenreglement voor klanten kan ter inzage aan de betrokkene c.q. klant verstrekt worden. Het recht tot het indienen van een klacht door een klant vervalt zes maanden nadat de klager kennis heeft genomen of redelijkerwijs kennis had kunnen nemen van de gebeurtenis of de omstandigheden waarop de klacht betrekking heeft, maar bedraagt nooit meer dan twee jaar nadat deze zich heeft/hebben voorgedaan. b. bij Het College Bescherming Persoonsgegevens (CBP) en conform de WBP verzoeken een onderzoek in te stellen of de wijze van gegevensverwerking door de verantwoordelijke in overeenstemming is met de WBP. c. dan wel gebruik maken van de in hoofdstuk 8 van de WBP neergelegde beroepsmogelijkheden.
31
Onder verwijdering dient men tevens vernietiging te verstaan. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012.
Pagina 15 van 21
Slotbepalingen Art. 15. 15.1
15.2
Art. 16. 16.1 16.2 16.3 16.4 16.5
Melding van verwerking van persoonsgegevens32 Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de realisatie van een doeleinde of samenhangende doeleinden bestemd is, wordt alvorens met de verwerking wordt aangevangen gemeld bij het College Bescherming Persoonsgegevens. De niet geautomatiseerde verwerking van persoonsgegevens die voor de realisatie van een doeleinde of samenhangende doeleinden bestemd is, wordt gemeld indien deze is onderworpen aan voorafgaand onderzoek33. Wijziging, inwerkingtreding en inzage van dit reglement Wijzigingen van dit reglement worden aangebracht door de verantwoordelijke. De wijzigingen in het reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan betrokkenen. Dit reglement is per 8 december 2005 in werking getreden en is bij de verantwoordelijke in te zien. Desgewenst kan tegen kostprijs een afschrift van dit reglement worden verkregen. In gevallen waarin dit reglement niet voorziet dan gelden de bepalingen uit de Wet Bescherming Persoonsgegevens.
Privacyreglement MJD definitieve versie december 2005 Schriftelijke instemming OR d.d. 7 december 2005 Vastgesteld door directeur d.d. 8 december 2005
32
Artikel 27 WBP en het Vrijstellingsbesluit WBP. Handmatige gegevensverwerkingen hoeven in beginsel niet te worden aangemeld. Art. 31 WBP: Het CBP stelt een voorafgaand onderzoek in indien de verantwoordelijke een nummer ter identificatie van personen voornemens is te verwerken voor een ander doeleinde dan waarvoor het nummer bestemd is, voornemens is gegevens vast te leggen op grond van eigen waarneming zonder de betrokkene op de hoogte te stellen, anders dan krachtens een vergunning strafrechtelijke gegevens of gegevens omtrent onrechtmatig gedrag of hinderlijk gedrag te verwerken ten behoeve van derden.
33
MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012.
Pagina 16 van 21
Bijlage 1 Overzicht van verwerkingen van persoonsgegevens T.a.v. klanten • Geautomatiseerde registratie van persoons, hulp-, zorg- en dienstverlening gegevens • Klachtenregistratie • Registratie van agressief gedrag van klanten • Papieren dossiers • Wachtlijstregistraties T.a.v. medewerkers • Registratie van personeelsgegevens • Registratie van salarisgegevens • Klachtenregistratie • Registratie van agressief gedrag van klanten • Registratie ongewenst gedrag tussen medewerkers • Papieren dossiers • Registratie bedrijfshulpverleners • Registratie interne audits • Registratie sleutels, identificatie- en toegangsbewijzen • Verslag functionerings-, beoordelings en planningsgesprekken T.a.v. contactpersonen externe organisaties • Contactpersonen sociale kaart • Registratie contactpersonen samenwerkings- en ketenpartners • Registratie niet-personeelsleden van MJD organen (bestuur, vertrouwenspersoon, klachtencommissie, cliëntenraad, e.d.). • Registratie contactpersonen leveranciers, financiers, etc.
MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012.
Pagina 17 van 21
BIJLAGE 2 Passende technische en organisatorische beveiligingsmaatregelingen 1. 2.
3.
4.
5.
6.
7. 8.
Papieren dossiers worden opgeslagen en bewaard in afsluitbare kasten. Alle computers zijn voorzien van een screenlock. Informatie op een beeldscherm van een (tijdelijk onbemande) computer is daardoor onzichtbaar voor derden. Indien na een x periode de computer niet is aangeraakt valt bovendien het beeld weg en moet betreffende medewerker een wachtwoord in typen wil hij op de computer kunnen werken. Om de veiligheid van het computernetwerk te waarborgen en toe te zien op een zorgvuldig gebruik overeenkomstig de gedragscode internet- en emailgebruik die de verantwoordelijke hanteert, worden van tijd tot tijd controles uitgevoerd en toegezien op de technische integriteit van het computernetwerk34. Informatie over persoonsgegevens die niet langer bruikbaar zijn of bewaard hoeven te worden, worden via een papierversnipperaar vernietigd. Digitaal opgeslagen informatie over persoonsgegevens worden uit de computer verwijderd. Auditieve en visuele privacy van klanten wordt zo veel mogelijk gewaarborgd door bezetbordjes te gebruiken bij spreekkamers en door de geluiddichtheid van deze spreekkamers. Voordat persoonsgegevens worden gefaxed, wordt de ontvanger hierover geïnformeerd zodat deze de betreffende informatie zo spoedig mogelijk na aankomst op een afgeschermde plek kan neer leggen. Prints met informatie over persoonsgegevens worden door de persoon die de informatie uitprint zo spoedig mogelijk bij de printer weggehaald. Zie ook ‘Instructie voor aanleg, opslaan en vernietiging van persoonsgegevens van klanten’35 voor medewerkers en protocol Verwerken persoonsgegevens van medewerkers binnen MJD.36
34
Zie ook MJD Gedragscode internet- en emailgebruik, maart 2005. Vastgesteld door MJD in juli 2005. 36 Vastgesteld door MJD in juli 2005. MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012. 35
Pagina 18 van 21
BIJLAGE 3 Verwerking van persoonsgegevens van klanten Soorten persoons-, hulp en dienstverleningsgegevens van klanten die verwerkt worden a) persoonsgegevens zoals: o naam o adres o postcode/woonplaats o telefoonnummer o geslacht o geboortedatum: o nationaliteit o land van herkomst (ouders) o culturele achtergrond o samenlevingsverband o naam huisarts o ziektenkostenverzekering o bron van inkomsten b) aanmelding en intakeverslag: waaronder gegevens over de aanmelder, eventueel andere betrokkenen, hulpvraag, plaats waar de gesprekken plaatsvinden, datum aanmelding, datum afsluiting, klantnummer, problematiek, naam hulpverlener c) hulpverleningsplan, voortgangsverslag d) evaluatieverslag afsluiting hulpverlening e) rapportage over ontvangen consulten f) correspondentie met en over de klant g) gegevensverstrekking aan derden en de schriftelijke instemming van klant h) gegevens van belang voor de uitvoering en kwaliteit van de hulpverlening j) klachten k) indien van toepassing agressief gedrag Wijze waarop de persoonsgegevens worden verkregen a. van de klant b. van derden, met toestemming van de klant c. van derden, zonder toestemming van de klant d. van collega-hulpverleners binnen de eigen instelling Soort bestanden Geautomatiseerd klantvolg registratiesysteem (= digitaal dossier), formulieren (zoals klachtenregistratieformulier, verbeterformulieren, agressieregistratieformulieren, machtigingsformulier, aanmeldingsformulier), wachtlijstregistratie en papieren dossiers. Bevoegdheden en verantwoordelijkheden a. Beheerder: directeur gedelegeerd naar leidinggevenden, kwaliteitsfunctionaris en medewerker informatievoorziening b. Bewerker: n.v.t. c. Ontvanger: zorgkantoor, gemeente, ketenpartners MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012.
Pagina 19 van 21
d. Gebruiker: leidinggevenden, medewerker informatievoorziening en hulp- en dienstverleners binnen de MJD, zoals eerste opvangers, (gezins)maatschappelijk werkers, psychosociaal hulpverleners, sociale raadslieden, ouderenadviseurs, jeugd- en jongerenwerkers, etc. i. In het geautomatiseerd klantvolg registratiesysteem kunnen alle mogelijke gebruikers binnen de instelling de persoonsgegevens in de digitale dossiers van alle betrokkenen zien. ii. Alleen de gebruikers van een digitaal dossier van een bepaalde betrokkene heeft het recht hulp-, zorg- en dienstverleningsgegevens te verwerken. e. Betrokkene: klanten
MJD Privacyreglement, vastgesteld door MT 08-12-05. Geactualiseerde versie april 2012.
Pagina 20 van 21