PRIVACYREGLEMENT SINT-TRUDO ZIEKENHUIS VZW www.sint-trudo.be Ondernemingsnummer 443.260.603 Artikel 1 – Aanhef Dit Privacyreglement is opgesteld in uitvoering van Bijlage A.III.9quater bij het Koninklijk Besluit van 23 oktober 1964 tot bepaling van de normen die door de ziekenhuizen en hun diensten moeten worden nageleefd, evenals van de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Artikel 2 - Begripsbepalingen 1. Persoonsgegevens: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 2. Persoonsgegevens die de gezondheid betreffen: persoonsgegevens die van nature of door hun gebruik betrekking hebben op de vroegere, huidige of toekomstige fysieke of psychische gezondheidstoestand. 3. Gecodeerde persoonsgegevens: persoonsgegevens die slechts door middel van een code toelaten een natuurlijk persoon te identificeren. 4. Anonieme gegevens : gegevens die niet met een geïdentificeerd of identificeerbaar persoon in verband kunnen worden gebracht en die geen persoonsgegevens zijn. 5. Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd, dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze. 6. Verantwoordelijke voor de verwerking: de natuurlijke persoon of de rechtspersoon, de feitelijke vereniging of het openbaar bestuur die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. 7. Verwerker: de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken. 8. Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.
9. Patiënt: de persoon, opgenomen of behandeld in het ziekenhuis en die er al dan niet verblijft, voor wie de medische prestaties worden verricht. 10. Privacywet: de gecoördineerde Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, met uitvoeringsbesluit van 13 februari 2001. 11. Ziekenhuiswet: de Wet betreffende de ziekenhuizen en andere verzorgingsinrichtingen, gecoördineerd op 10 juli 2008. Artikel 3 - Toepassingsgebied Dit Privacyreglement is van toepassing op de in artikel 4 van dit Privacyreglement omschreven verwerkingen van persoonsgegevens van patiënten binnen het Sint-Trudo Ziekenhuis, Diestersteenweg 100 te 3800 Sint-Truiden.
Artikel 4 - Doel van de verwerkingen en wettelijk kader §1. De verwerkingen van de persoonsgegevens van patiënten zijn o.m. opgelegd in het kader van de artikelen 20 en 25 van de Ziekenhuiswet, in het kader van de Wet op de verplichte verzekering voor geneeskundige verzorging, gecoördineerd op 14 juli 1994, in het kader van wetenschappelijk onderzoek en klinische studies (Wet van 7 mei 2004 betreffende experimenten op de menselijke persoon) alsook in het kader van beleidsvoorbereiding en teaching doeleinden (dokter-assistenten, stagiairs). De verwerkingen hebben respectievelijk tot doel: 1° de diagnose en de medische, verpleegkundige en paramedische behandeling en verzorging van patiënten; 2° het opvolgen van verblijf en behandeling van patiënten met het oog op facturering; 3° het registreren van medische gegevens en verblijfsgegevens van patiënten voor interne onderzoeksen beleidsdoeleinden, evenals door de overheid opgelegde doeleinden; 4° verwerkingen met betrekking tot het voorschrijven en afleveren van geneesmiddelen; 5° het registreren van persoonsgegevens van patiënten en/of hun vertrouwenspersonen teneinde te kunnen bemiddelen bij de aangebrachte klachten evenals het registreren van klachten.
§2. In geen geval zullen andere persoonsgegevens in deze verwerkingen worden opgenomen dan deze die noodzakelijk zijn voor de doeleinden weergegeven in artikel 4, §1 van dit Privacyreglement. Artikel 5 - Verantwoordelijke voor de verwerking van de bestanden en de personen die namens de verantwoordelijke voor de verwerking optreden De vzw Sint-Trudo Ziekenhuis, met zetel te Diestersteenweg 100, 3800 Sint-Truiden, is de verantwoordelijke voor de verwerking van de persoonsgegevens van patiënten. Personen die namens de verantwoordelijke voor de verwerking optreden zijn de voorzitter en de ondervoorzitter van de raad van bestuur. Artikel 6 - Aangewezen verantwoordelijken en veiligheidsconsulent §1. De persoonsgegevens betreffende de gezondheid mogen uitsluitend onder toezicht en verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg worden verwerkt, behoudens schriftelijke toestemming van de patiënt of wanneer de verwerking noodzakelijk is voor het voorkomen van een dringend gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk. De centrale verantwoordelijkheid voor en het toezicht op de patiëntenbestanden met persoonsgegevens die de gezondheid betreffen, berust overeenkomstig artikel 7, §2, littera j en §4, lid 1 van de Privacywet en de artikelen 20 en 25 van de Ziekenhuiswet, bij de hoofdgeneesheer, hierin bijgestaan door de financieel
directeur voor de niet-medische en niet-verpleegkundige persoonsgegevens en door de verpleegkundig directeur voor de verpleegkundige en paramedische gegevens. §2. Er is binnen het Sint-Trudo Ziekenhuis ook een persoon aangewezen als veiligheidsconsulent die belast is met het toezicht op de veiligheid en de beveiliging van de informatie van de patiëntenbestanden. Deze persoon staat het ziekenhuis met raad bij inzake alle aspecten van de beveiliging van informatie. Artikel 7 - Verwerkers van de persoonsgegevens en hun bevoegdheid §1. De interne raadpleging van de persoonsgegevens van de patiënten geschiedt door de personen en binnen de perken zoals hierna omschreven. De onderscheiden verwerkers zijn enkel toegelaten tot die persoonsgegevens welke zij absoluut nodig hebben voor de uitvoering van hun taken. Uit een elektronisch bestand kan een lijst getrokken worden van de personen die zich toegang verschaft hebben tot het programma en de erin opgenomen informatie. De personen verbinden zich ertoe de bepalingen van dit reglement, de Privacywet en het beroepsgeheim te respecteren. Alle medewerkers van het ziekenhuis die voor de uitvoering van hun taken toegang nodig hebben tot persoonsgegevens die de gezondheid betreffen, zijn ertoe gehouden het vertrouwelijk karakter van de betrokken gegevens strikt in acht te nemen.
§2. De persoonsgegevens die de gezondheid betreffen worden samengesteld en verwerkt onder leiding van de hoofdgeneesheer, vermeld in artikel 6, §1 van dit Privacyreglement. §3. De (zelfstandige) artsen verbonden aan het ziekenhuis krijgen een gedelegeerde verantwoordelijkheid voor de verzameling en de verwerking van de persoonsgegevens van de patiënten in de medische diensten of afdelingen waarin zij werkzaam zijn. §4. De personeelsleden verbonden aan de verschillende verpleegkundige en paramedische diensten alsook de apotheek van het ziekenhuis stellen de verwerkingsmodules op van de patiëntenbestanden waarvoor ze respectievelijk de verantwoordelijkheid dragen: - verpleegkunde: verpleegkundige module; - paramedische diensten: paramedische module; - sociale dienst: sociale module; - apotheek: module apotheek. §5. De personeelsleden van de dienst opname en facturatie staan in voor het uitvoeren, bewaren, opzoeken en technisch verwerken van persoonsgegevens van patiënten met het oog op facturatie. §6. De personeelsleden van de ondersteunende diensten staan in voor de technische verwerking van de persoonsgegevens tot geanonimiseerde gegevens, zowel met het oog op de interne onderzoeks- en beleidsdoeleinden, als met het oog op door de overheid opgelegde doeleinden. §7. De personeelsleden van de ondersteunende diensten staan in voor de verwerking van de persoonsgegevens met het oog op de administratieve ondersteuning van zowel de interne onderzoeksen beleidsdoeleinden, als de door de overheid opgelegde doeleinden. § 8 De personeelsleden verbonden aan de ombudsdienst staan in voor de verwerking van de persoonsgegevens in de patiëntenbestanden, in het kader van de ombudsfunctie.
Artikel 8 - Interne raadpleging van de patiëntenbestanden. Rechten en plichten van de verwerkers. §1. De interne raadpleging van de patiëntenbestanden geschiedt door de personen en binnen de perken zoals omschreven in artikel 7 van dit Privacyreglement. Daarnaast beschikt de in artikel 6, §3 van dit Privacyreglement vermelde veiligheidsconsulent binnen zijn controleopdracht eveneens over de bevoegdheid tot het raadplegen van de patiëntenbestanden. §2. Alle in de artikelen 6 en 7 van dit Privacyreglement vermelde personen verbinden zich ertoe bij het verwerken en het raadplegen van de patiëntenbestanden de bepalingen van dit Privacyreglement en de Privacywet te eerbiedigen, evenals alle andere beginselen inzake beroepsgeheim en privacybescherming te respecteren. Een exemplaar van dit Privacyreglement en de Privacywet wordt aan de voormelde personen overhandigd. Artikel 9 - Externe verstrekking van gegevens uit patiëntenbestanden Binnen het kader van artikel 7 van de Privacywet zijn de volgende categorieën van instanties gerechtigd om vanwege het Sint-Trudo Ziekenhuis persoonsgegevens van patiënten te verkrijgen: 1° verzekeringsinstellingen, voor zover opgelegd door of krachtens de wet of met toestemming van de patiënt; 2° beroepsaansprakelijkheidsverzekeraar van het ziekenhuis of van de beroepsbeoefenaar aangesteld door de Beroepsaansprakelijkheidsverzekeraar van het ziekenhuis; zonder toestemming van de patiënt; 3° Rijksinstituut voor Ziekte- en Invaliditeitsverzekering, voor zover opgelegd door of krachtens fe wet of met toestemming van de patiënt; 4° de betrokken patiënten of hun aangestelden; 5° overheidsinstanties die daartoe door een overheidsbeslissing gemachtigd zijn; 6° externe zorgverstrekkers van de patiënt; 7° andere instanties, voor zover opgelegd door of krachtens de wet of met toestemming van de patiënt. Deze doorgifte van persoonsgegevens van patiënten is enkel mogelijk voor zover dit noodzakelijk is voor de in artikel 4 van het Privacyreglement vermelde doeleinden. Artikel 10 - Categorieën van personen van wie gegevens verwerkt worden Het aanleggen en verwerken van persoonsgegevens geldt, overeenkomstig de artikelen 15 en 17 quater van de Ziekenhuiswet, voor alle patiënten van het ziekenhuis, zoals gedefinieerd in artikel 2 van dit Privacyreglement.
Artikel 11 - Aard van de verwerkte gegevens en de manier waarop ze worden verkregen De aard van de gegevens - die van de patiënt, diens vertegenwoordiger of de verwijzende arts worden verkregen - zijn als volgt vastgelegd: 1° identificatiegegevens, waaronder het rijksregisternummer; 2° financiële en administratieve gegevens met betrekking tot opname- en facturatie waaronder het lidmaatschap van het ziekenfonds; 3° medische, paramedische, verpleegkundige, sociale en geneesmiddelengegevens, opgesplitst in volgende modules: a) medische module sensu stricto; b) verpleegkundige module; c) paramedische module; d) sociale module; e) geneesmiddelenverstrekkingsmodule.
Artikel 12 - Organisatie van het circuit van de te verwerken medische gegevens De organisatie van het circuit van de te verwerken medische gegevens verloopt als volgt: - invoeren en verwerken van gegevens op de wijze en door de personen, zoals omschreven in artikel 7 van dit Privacyreglement; - overmaken van bescheiden en facturen aan verzekeringinstellingen, patiënten en externe tarificatiediensten; - overmaken van medische gegevens aan externe zorgverstrekkers rekening houdend met artikel 7, §2, littera j en §4, lid 1 van de Privacywet; - het geanonimiseerd overmaken van de in artikel 86 van de Ziekenhuiswet bedoelde gegevens aan de Federale Overheidsdienst (Ministerie van Volksgezondheid) of de Vlaamse Gemeenschap. Artikel 13 - Procedure volgens dewelke gegevens geanonimiseerd worden Enkel voor zover de persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet tot de individuele patiënten herleidbaar zijn, kunnen zij: - overeenkomstig artikel 86 van de Ziekenhuiswet worden overgemaakt aan de Federale Overheidsdienst (Ministerie van Volksgezondheid) of de Vlaamse Gemeenschap; - worden aangewend ten behoeve van interne onderzoeks- en beleidsdoeleinden. Artikel 14 – Beveiligingsprocedures Alle nodige maatregelen worden getroffen ter bevordering van de juistheid en de volledigheid van de verwerkte gegevens. Tevens worden de nodige technische en organisatorische maatregelen getroffen ter beveiliging van de patiëntenbestanden tegen verlies of aantasting van de gegevens en tegen ongeoorloofde kennisneming, wijziging of verstrekking daarvan. Alle beveiligingsprocedures worden opgenomen in het veiligheidsplan. De desbetreffende maatregelen in het veiligheidsplan, zijn gebaseerd op de ISO-normen 27002, 27799 en de minimale normen van de KSZ en kunnen zowel administratief, technisch, beheersmatig als juridisch van aard zijn. De informatiebeveiliging richt zich op de volgende drie aspecten : - beschikbaarheid: de informatie moet op de gewenste momenten beschikbaar zijn; - integriteit: de informatie moet juist en volledig zijn en de informatiesystemen moeten juiste en volledige informatie opslaan en verwerken; - vertrouwelijkheid: de informatie moet alleen toegankelijk zijn voor degene die hiervoor bevoegd is; Daarnaast zijn ook aspecten als authenticiteit en controleerbaarheid van belang. Artikel 15 – Bewaartermijnen §1. Met inachtneming van eventuele wettelijke voorschriften geldt, te rekenen vanaf het laatste ontslag of de laatste behandeling van de patiënt, een bewaartermijn van: - 10 jaar voor de facturatiegegevens uit de patiëntenbestanden die dienen als boekhoudkundig verantwoordingsstuk; - 30 jaar voor alle medische gegevens; - 20 jaar voor verpleegkundige gegevens. §2. Indien de bewaartermijn is verstreken, worden de betreffende persoonsgegevens uit de bestanden verwijderd en vernietigd, binnen een termijn van 1 jaar. Voor de medische module sensu stricto kan dit enkel gebeuren mits het akkoord van de behandelend ziekenhuisarts(en), of bij ontstentenis, van de hoofdgeneesheer. §3. Vernietiging blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van opmerkelijk belang is voor een ander dan de patiënt, alsmede wanneer bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de patiënt en de behandelend ziekenhuisarts(en) overeenstemming bestaat.
§4. Indien de betreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen redelijkerwijze onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
Artikel 16 - Onderlinge verbanden, verbindingen en raadplegingen §1. Volgende onderdelen van de patiëntenbestanden zijn geautomatiseerd: (indien zij gedeeltelijk elektronisch en gedeeltelijk manueel zijn, wordt dit vermeld): - opnamegegevens; - facturatiegegevens; - MVG en MKG; - sociale module (gedeeltelijk); - elektronisch medisch dossier (gedeeltelijk); - medisch-technische diensten: labo klinische biologie; labo anatomopathologie; radiologie; nucleaire geneeskunde; apotheek (gedeeltelijk); geneesmiddelenverstrekkingsmodule (gedeeltelijk); revalidatie.
De onderlinge verbanden, verbindingen en raadplegingen van deze geautomatiseerde onderdelen zijn als volgt vastgelegd: op patiëntenniveau d.m.v. een uniek nummer toegekend bij een eerste inschrijving. §2. Volgende onderdelen van de patiëntenbestanden zijn manueel: - medische module (gedeeltelijk); - verpleegkundige module; - paramedische module; - sociale module (gedeeltelijk). Hiervoor bestaan geen onderlinge verbanden of verbindingen. Artikel 17 - Verwijdering van gegevens De gegevens uit de patiëntenbestanden worden verwijderd: 1° bij het verstrijken van de bewaartermijn, zoals bepaald in artikel 15 van dit Privacyreglement; 2° in de gevallen bepaald door of krachtens wet; 3° bij het gerechtvaardigd verzoek van iedere belanghebbende; 4° bij beslissing van de in artikel 14 van dit Privacyreglement bedoelde coördinatiecel en mits akkoord van de behandelend ziekenhuisarts(en) voor zover het de medische module sensu stricto betreft; 5° ingevolge een gerechtelijke beslissing.
Artikel 18 - Rechten en mogelijkheden van verweer van de patiënt in het kader van de bescherming van de persoonlijke levenssfeer §1. Bij de verzameling van persoonsgegevens die op de patiënt betrekking hebben, wordt deze omtrent de in artikel 9 van de Privacywet vermelde topics geïnformeerd via: - de onthaalbrochure; - de website van het Sint-Trudo Ziekenhuis. Verder ligt aan het onthaal een exemplaar van dit Privacyreglement ter inzage. Hiervan kan desgewenst een afschrift verkregen worden. §2. De patiënten die omtrent de verwerking van de op hen betrekking hebbende persoonsgegevens toelichting wensen, kunnen dienaangaande steeds de betrokken zorgverstrekkers consulteren.
§3. Bovendien kan de patiënt, mits een schriftelijk, gedagtekend en ondertekend mandaat aan een door hem gekozen geneesheer, inzage vragen in de verwerking van de op hem betrekking hebbende persoonsgegevens. Deze aanvraag dient (mits betaling van 2,5 EUR administratiekosten) gericht te worden tot de behandelend arts. §4. Indien blijkt dat onjuiste, onvolledige of niet terzake dienende gegevens verwerkt worden, heeft de patiënt het recht hiervan kosteloos een verbetering of verwijdering te vragen. Daartoe dient een gedagtekend en ondertekend schriftelijk verzoek gericht te worden tot de in artikel 18, §3 van dit Privacyreglement vermelde persoon. Dit recht kan eveneens worden uitgeoefend door andere belanghebbenden dan de patiënt. §5. Indien de patiënt van mening is dat de bepalingen van dit Privacyreglement niet worden nageleefd of andere redenen tot klagen heeft omtrent de bescherming van diens persoonlijke levenssfeer, kan deze zich wenden tot de ombudsdienst van het ziekenhuis. §6. Onverminderd alle hierboven opgesomde interne rechts- en verweermiddelen, kan de patiënt zich overeenkomstig de bepalingen van de Privacywet respectievelijk wenden tot de voorzitter van de rechtbank van eerste aanleg en tot het openbaar register van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Hoogstraat 139 te 1000 Brussel. Artikel 19 - Toegekende identificatienummers Voor de hier bedoelde verwerkingen van persoonsgegevens zijn door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer volgende identificatienummers toegekend: - G1.01 patiëntenzorg identificatienummer: 000410269; - G1.02 patiëntenadministratie identificatienummer: 000410368; - G1.03 patiëntenregistratie identificatienummer: 000410467. Artikel 20 - Inwerkingtreding en wijzigingen Dit Privacyreglement treedt in werking op 3 juli 2014. Wijzigingen worden aangebracht door de raad van bestuur van vzw Sint-Trudo Ziekenhuis en voor zover het gegevens zijn die de gezondheid betreffen, na het advies van de medische raad.
---------------------------------------------------------------------------------------------------------------------------