Protocol [handelingsvoorschrift]
Privacy Regels Cliëntgegevens
Route: - Ter advisering besproken in de OR dd - Ter advisering besproken in de CCR dd - Ter advisering besproken in het MT dd
: nvt : nvt : april 2011
-
: : : : :
Vastgesteld door RvB dd Verantwoordelijk MT-lid Kennishouder Auteur Evaluatiedatum
april 2011 Raad van Bestuur Bestuurssecretaris Simone van Empelen augustus 2016
Meest recente wijzigingen: Protocol Privacy Regels Cliëntgegevens: - definities aangepast - term PlanCare vervangen door Elektronisch Cliënt Dossier (ECD); - staand beleid inzake afgesloten ruimte en brandwerende kast toegevoegd; - toegevoegd algemene privacyregels voor medewerkers en specifieke regels voor Zorg&Behandeling, Gezondheidscentra, St. CliëntGeldenSupport, Zorgbemiddeling&administratie; - locatie Christophorus ingevoegd. Bijlage Wet- en Regelgeving Privacy Cliëntgegevens: - bewaartermijn van 15 naar 20 jaar; - art 11a3 (toestemming betrokkene voor vernietiging) toegevoegd. Met dit stuk komen de volgende bestaande stukken te vervallen: - Beleid Privacyreglement Cliëntendossiers Amerpoort - Werkinstructie Uitwerking en aandachtspunten dossiers cliënten
Toepassingsgebied: Medewerkers van Amerpoort Doel: • Amerpoort heeft in kaart gebracht de Wet- en Regelgeving inzake Privacy Cliëntgegevens waarin de rechten van cliënten met betrekking tot hun privacy en de vereisten waaraan Amerpoort en medewerkers moeten voldoen. • In dit protocol staan de belangrijkste privacy regels waaraan iedereen zich dient te houden. Bij twijfel of discussie over de regels: raadpleeg Wet- en Regelgeving Privacy Cliëntgegevens en/of je leidinggevende. Definities: Dossiers: Cliëntgegevens:
Cliënt:
Alle schriftelijke of op een andere wijze vastgelegde informatie betrekking hebbende op de cliënt. Dit kan bestaan uit aparte deeldossiers. Alle gegevens die betrekking hebben op de cliënt. Dit kan gaan om digitale, schriftelijke en mondelinge informatie/gegevens, inclusief beeldmateriaal. De persoon die een dienstverleningsovereenkomst heeft met Amerpoort of zijn/haar (wettelijk) vertegenwoordiger.
Afkortingen: DVO: Dienstverleningsovereenkomst ECD: Elektronisch Cliënt Dossier Bijlagen bij dit document (welke één geheel vormen met het protocol): • Overzicht dossiers Amerpoort • Autorisatieschema Cliëntgegevens in ECD • Wet- en Regelgeving Privacy Cliëntgegevens De belangrijkste privacyregels: - Alle medewerkers hebben geheimhoudingsplicht inzake Cliëntgegevens. - Iedere medewerker die betrokken is bij de zorg en dienstverlening aan een cliënt heeft toestemming tot inzage in Cliëntgegevens. - Het verstrekken van Cliëntgegevens aan derden kan alleen met schriftelijke toestemming van de cliënt. Voor het verstrekken van gegevens ten behoeve van de Inspectie is geen toestemming van de cliënt nodig. - Ga zorgvuldig om met het onderhouden en beheren van cliëntgegevens. - Wees zorgvuldig wanneer je het met een ander hebt over een cliënt. - Informeer de cliënt zoveel als mogelijk over welke Cliëntgegevens je vast legt. - Cliëntgegevens worden zoveel mogelijk digitaal verwerkt en bewaard. - Laat Cliëntgegevens niet onbeheerd achter. - Bewaar (papieren) Cliëntgegevens zoveel als mogelijk in een afgesloten kast/ruimte. Specifieke regels zorgdossier / dossier gedragsdeskundige / paramedisch dossier: - Uitgangspunt is dat alle Cliëntgegevens vastgelegd worden in het ECD. - Indien noodzakelijk wordt in de dagelijkse werkpraktijk gebruik gemaakt van persoonlijke werkaantekeningen, groepsrapportages, lijstjes, etc. De privacyregels gelden ook voor dit soort Cliëntgegevens. - Cliëntgegevens in persoonlijke werkaantekeningen, groepsrapportages, lijstjes, etc. worden vernietigd zodra dit kan of worden zonodig alsnog verwerkt in het ECD. - De verantwoordelijke functionaris (begeleider C/gedragsdeskundige/paramedicus) draagt er zorg voor dat het papieren en ECD dossier zorgvuldig onderhouden en beheerd wordt. Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 2 van 16
-
-
Wanneer een cliënt elders geplaatst wordt binnen Amerpoort dan draagt de verantwoordelijke functionaris zorg voor een overdracht van het geschoonde papieren dossier. De betrokken manager draagt er zorg voor dat het geschoonde papieren dossier na beëindiging van de DVO door de verantwoordelijke functionaris gestuurd wordt naar de afdeling Zorgbemiddeling&administratie.
Specifieke regels medisch dossier: - Het medische dossier van cliënten die gebruik maken van de Gezondheidscentra van Amerpoort wordt bewaard op het betreffende Gezondheidscentrum. - (medische) Cliëntgegevens worden zoveel mogelijk digitaal verwerkt en bewaard. - (papieren) Medische cliëntgegevens worden bewaard in een afgesloten ruimte en in een brandwerende kast. - De manager van het betreffende Gezondheidscentrum draagt er zorg voor dat gewerkt wordt conform Wet- en Regelgeving Privacy Cliëntgegevens. - De manager Gezondheidscentrum draagt er zorg voor dat papieren dossiers, waarvoor de DVO is beëindigd, worden vernietigd na het verstrijken van de bewaartermijnen, zoals vastgelegd in Wet- en Regelgeving Privacy Cliëntgegevens. Specifieke regels dossier St. CliëntGeldenSupport: - Het financieel dossier van cliënten die gebruik maken van de Stichting CliëntenGeldenSupport van Amerpoort wordt bewaard op de afdeling Cliëntgeldenadministratie. - Het dossier wordt bewaard in een afgesloten ruimte en kast. - De manager van de afdeling Cliëntgeldenadministratie draagt er zorg voor dat gewerkt wordt conform Wet- en Regelgeving Privacy Cliëntgegevens. - De manager Cliëntgeldenadministratie draagt er zorg voor dat dossiers, waarvoor de DVO is beëindigd, worden vernietigd na het verstrijken van de bewaartermijnen, zoals vastgelegd in Wet- en Regelgeving Privacy Cliëntgegevens. Specifieke regels dossier Zorgbemiddeling&administratie: - Het [administratieve] zorg dossier van cliënten die gebruik maken van de afdeling Zorgbemiddeling&administratie van Amerpoort wordt bewaard op de afdeling Zorgbemiddeling&administratie. - Het dossier wordt bewaard in een afgesloten ruimte en kast. - De manager Zorgbemiddeling&administratie draagt er zorg voor dat gewerkt wordt conform Wet- en Regelgeving Privacy Cliëntgegevens. - Bij overdracht naar een andere zorginstelling wordt, met toestemming van de cliënt, een kopie van het dossier verstrekt aan de betrokken zorginstelling. - De manager Zorgbemiddeling&administratie draagt er zorg voor dat dossiers, waarvoor de DVO is beëindigd, worden vernietigd na het verstrijken van de bewaartermijnen, zoals vastgelegd in Wet- en Regelgeving Privacy Cliëntgegevens.
Aanverwante documenten Protocol Email- en internetgebruik
Waar te vinden Kwaliteitshandboek
Informatiebeveiligingsbeleid (in ontwikkeling)
Kwaliteitshandboek
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 3 van 16
Bijlage
Overzicht dossiers Amerpoort Binnen Amerpoort zijn de volgende dossiers te onderscheiden: • Elektronisch Cliënt Dossier (ECD) Stamgegevens Dienstverleningsovereenkomst (DVO) Indicatie Persoonlijk plan: Deel A1: persoonlijke gegevens Betreffende - NAW - Nationaliteit - Levensovertuiging/religie - Juridische status verblijf - Gegevens evt. wettelijke vertegenwoordiger - Kopie legitimatie - Betrokken huisarts, tandarts /specialist(en) met correspondentie adres - Contactpersonen (NAW gegevens) - Financieel beheer/beheer persoonlijke eigendommen - Verzekeringen - Evt. afspraken handelen bij ziekte/overlijden - Afspraken inhoud /omvang zorg en dienstverlening Deel A2: persoonsgeschiedenis Deel A3: (para)medisch dossier Deel B1: persoonsbeeld Deel B2, B3 en B4: persoonsbeschrijving (mogelijkheden en beperkingen) Deel C: basiskaart Deel D1: perspectief Deel D2: hoofd- en werkdoelen Deel E: rapportages en verslagen Deel F: handelingsvoorschriften Deel G: ondertekening akkoord • Cliënt Dossier locatie/ambulant Persoonlijke gegevens (zie persoonlijk plan) Juridische status NAW gegevens evt. wettelijke vertegenwoordiger Afspraken met de wettelijke vertegenwoordiger Dienstverleningsovereenkomst (DVO) getekend origineel Indicatie Persoonlijk plan Gegevens evt. vrijheidsbeperkende maatregelen Samenvatting relevante medische- en paramedische gegevens Relevante diagnostiek Zonodig indicatie art 60 ihkv de BOPZ
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 4 van 16
• Medische dossier arts Diagnose gegevens Onderzoeksgegevens Anamnese gegevens Medicatiegegevens Verslaglegging behandeling Gegevens huisartsen en specialisten met correspondentie adres Zonodig indicatie art 60 ihkv de BOPZ • Dossier gedragsdeskundige Gedragswetenschappelijke diagnostische gegevens en verslagen Onderzoeksgegevens Verslaglegging behandeling/begeleiding • Dossier paramedici (fysiotherapeut, logopedist, ergotherapeut, etc.) Onderzoeksgegevens Verslaglegging behandeling/begeleiding • Dossier St. Cliënt Gelden Support Beschikking rechtbank, juridische status NAW gegevens cliënt NAW gegevens evt. wettelijke vertegenwoordigers Correspondentie/afspraken wettelijke vertegenwoordigers Overzichten rekening(en) cliënt Belastinggegevens Correspondentie verzekering en uitkeringsinstanties Correspondentie rechtbank Afdeling Zorgbemiddeling & Zorgadministratie • Alfabetische map met Beschikkingen rechtbank / juridische status • Alfabetische map met Kopieën legitimatiebewijzen • Alfabetische map met getekende originele DVO’s (Dienstverleningsovereenkomsten)
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 5 van 16
Bijlage
Autorisatieschema Cliëntgegevens in ECD Onderdelen PlanCare
Persoonlijke gegevens A1
Persoonsgeschiedenis A2
(para)medisch Persoonsdossier beeld A3 B1
Persoonsbe- Basiskaart schrijving C B2-3-4
Perspectief D1
Hoofd- en Rapportage Handelingsvoorschriften werkdoelen en D2 verslagen F E
Ondertekening G
Rapportage
M M L L M L L
M M L L M L L
M M L L M L L
M M L L M L L
M M L L M L L
M M L L M L L
M M L L M L L
M M M L
M M L L
M M L L
M M M L
L L
L L
L L
L L
L M L M M
M5 M L M M
L M6 L M M
L M6 L M M
L L M M
L M6 L M M
L M6 L M M
L L6 L M M
M L L M M
M7 L M M
L L L M M
Functie
M1 M1 L Begeleider A L Manager M2 Secretarieel mdw.manager Divisie directeur/secretariaat L Consulenten Zorgbemiddeling M3 M4 Zorgadministratie L Paramedici/ Bopz-arts L Gedragdeskundigen L8 Medewerkers Stafbureau M9 Beleidsmedewerker Zorg M10 Plancarebeheerders Begeleider C
Begeleider B
M= Mutatierecht L= Leesrecht 1. Begeleiders C en B hebben toegang tot het formulier 1e contact van Zorgbemiddeling en Zorgadministratie. Hier halen zij informatie uit t.b.v. de delen A, B en C. De begeleiders hebben geen mutatierecht voor de grijze velden in A1. Deze grijze velden worden gevuld vanuit de stamkaart. Tot deze stamkaart hebben alleen Zorgbemiddeling en zorgadministratie toegang. Voor wijzigingen in de stamkaart moet contact worden opgenomen met zorgbemiddeling en zorgadministratie De overige velden in A1 kunnen door de begeleiders worden ingevuld. 2. Per manager is geregeld of de secretarieel medewerker bevoegd is voor het redigeren van de persoonlijke plannen. 3. Consulenten van Zorgbemiddeling en Zorgadministratie hebben alleen mutatierecht op de stamkaart. Voor het aanvragen van (her)indicatie hebben zij verder leesrecht in het persoonlijk plan van de cliënt. Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 6 van 16
4. Zorgadministratie heeft alleen mutatierecht op dat deel van A1 wat gelinkt is aan de stamkaart.
5. (Para)medici hebben mutatierecht in het (para)medisch dossier. De eventueel verdere uitwerking in deel D gebeurt door de begeleider C en B. De BOPZ-arts heeft leesrecht 6. Dit vereist afstemming tussen de begeleider C/B en gedragdeskundige, bijv. bij methodiek Vlaskamp en behandeling. 7. Ondertekening door gedragdeskundige is verplicht bij cliënten met een zzp 3 t/m 7 8. Medewerkers Stafbureau (interne trainers persoonlijk plan) hebben leesrecht om de begeleiders te ondersteunen bij het invullen van het persoonlijk plan. 9. Beleidsmedewerker Zorg heeft gezien de controle van CIZ mutatierecht in de persoonlijk plannen. Dit gebeurt altijd in overleg met de begeleider C. 10. Plancarebeheerders hebben mutatierecht om zo de begeleiders te kunnen ondersteunen in het gebruik van het digitale systeem PlanCare.
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 7 van 16
Bijlage
Wet- en Regelgeving Privacy Cliëntgegevens Toepassingsgebied Amerpoort
1.
Begripsbepalingen
1. Persoonsgegevens: 2.
3.
4. 5. 6.
7.
8.
9.
10.
11.
elk gegeven betreffende een geïdentificeerde -of identificeerbare natuurlijke persoon. Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke en geestelijk gesteldheid van betrokkenen, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens. Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. Dossier: alle schriftelijke of op een andere wijze vastgelegde informatie betrekking hebbende op de cliënt. Dit kan bestaan uit aparte deeldossiers. Persoonlijke werkaantekening: aantekeningen die bedoeld zijn voor de eigen, voorlopige gedachtevorming, gerezen indrukken, vermoedens of vragen. Deze aantekeningen zijn niet bedoeld om onder ogen van anderen te komen. Persoonlijke werkaantekeningen moeten los van het dossier van de cliënt bewaard worden en na verloop van tijd vernietigd worden, bijvoorbeeld wanneer de waarde daarvan verloren is gegaan. Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 8 van 16
12. Derde:
13. 14.
15.
16.
2.
ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. Het College Bescherming Persoonsgegevens: het CBP heeft tot taak het toezien op de verwerking van persoonsgegevens. Klachtencommissie: de commissie ingesteld overeenkomstig de Wet Klachtwet Cliënten Zorgsector (WKCZ).
Reikwijdte
Deze bijlage is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 1
3.
Doel
1.
Het doel van deze bijlage is een praktische uitwerking te geven van de bepalingen van de Wet Bescherming Persoonsgegevens, (verder te noemen WBP) en – voor zover van toepassing - de bepalingen van de Wet Geneeskundige BehandelingsOvereenkomst, verder te noemen de WGBO en de Wet Bijzondere Opnemingen Psychiatrische Ziekenhuizen, verder te noemen BOPZ.
4.
Vertegenwoordiging
Er is alleen dan sprake van vertegenwoordiging indien 1. een betrokkene jonger is dan twaalf jaar: de ouders die het ouderlijk gezag uitoefenen, dan wel de voogd, treden in de plaats van de betrokkene. 2. de betrokkene de leeftijd van twaalf jaar bereikt heeft en niet in staat wordt geacht tot een redelijke waardering van zijn belangen ter zake. 3. de betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders op. 4. de betrokkene zestien jaar is of ouder en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, dan treedt, in volgorde als hier is weergegeven, als vertegenwoordiger voor hem op: • De curator of mentor indien de betrokkene onder curatele staat of ten behoeve van hem mentorschap is ingesteld. • De persoonlijk gemachtigde indien de betrokkene deze schriftelijk heeft gemachtigd, tenzij deze persoon niet optreedt.
1
De teksten behorend bij de voetnoten vindt u terug in de bijlage bij dit stuk.
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 9 van 16
•
5.
6. 7.
8.
De echtgenoot of andere levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt. • Een ouder, kind, broer of zus van de betrokkene, tenzij die persoon dat niet wenst. Echter ook indien de betrokkene de leeftijd van achttien jaar bereikt heeft en wel in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een andere persoon schriftelijk te machtigen in diens plaats op te treden. De toestemming kan door de betrokkene en zijn vertegenwoordiger te allen tijde worden ingetrokken. De persoon die in plaats van de betrokkene optreedt betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkenen zoveel mogelijk bij de vervulling van zijn taken te betrekken. Indien een vertegenwoordiger optreedt namens de betrokkene, komt de verantwoordelijke zijn verplichtingen die voortvloeien uit de wet en het protocol Privacy Regels Cliëntgegevens na jegens deze vertegenwoordiger, tenzij die nakoming niet verenigbaar is met de zorg van een goed verantwoordelijke.
5.
Voorwaarden voor rechtmatige verwerking
1. 2.
Persoonsgegevens worden op behoorlijke en zorgvuldige wijze verwerkt. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking van persoonsgegevens. Zijn handelwijze met betrekking tot de werking van de persoonsgegevens en de verstrekking van gegevens wordt bepaald door de vigerende wet- en regelgeving en dit protocol. De verantwoordelijke is aansprakelijk voor de eventuele schade als gevolg van het niet naleven van de wet- en regelgeving en dit protocol2.
3.
4.
6.
Verwerking van persoonsgegevens (voor zover niet zijnde zorggegevens)
Persoonsgegevens mogen slechts worden verwerkt indien aan een van onderstaande voorwaarden is voldaan: • • • • • •
de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend3; dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor handelingen die op verzoek van de betrokkene worden verricht; en dit noodzakelijk is om een wettelijke verplichting na te komen4; dit noodzakelijk is ter bestrijding van ernstig gevaar voor de gezondheid van betrokkene; dit noodzakelijk is voor de vervulling van een publiekrechtelijke taak5; dit noodzakelijk is met het oog op belang van de verantwoordelijke of van een derde én het belang van degene van wie de gegevens worden verwerkt niet prevaleert.
De teksten behorend bij de nummering vindt u terug in de bijlage bij dit reglement.
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 10 van 16
7.
Informatieverstrekking aan de betrokkene
Gegevens verkregen bij betrokkene 1. Indien bij de betrokkene zelf de persoonsgegevens worden verkregen, deelt de verantwoordelijke voor het moment van verkrijging de betrokkene mede6 • zijn identiteit; • de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, tenzij de betrokkene daarvan reeds op de hoogte is. 2. De betrokkene verstrekt nadere informatie voor zover dat, gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen. Gegevens elders verkregen 3. Indien de persoonsgegevens niet rechtstreeks bij de betrokkene worden verkregen, deelt de verantwoordelijke de betrokkene op het moment van vastlegging van hem betreffende gegevens, of wanneer de gegevens bestemd zijn voor een derde, uiterlijk op het moment van de eerste verstrekking, tenzij deze reeds daarvan op de hoogte is, de volgende informatie mede: • zijn identiteit; • de doeleinden van de verwerking waarvoor de gegevens zijn bestemd. 4. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen. 5. Het bepaalde onder 3 is niet van toepassing indien de mededeling van de informatie aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast. 6. Het bepaalde onder 3 is eveneens niet van toepassing indien de vaststelling of de verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de verantwoordelijke de betrokkene op diens verzoek te informeren over het wettelijk voorschrift dat tot de vastlegging of verstrekken van de hem betreffende gegevens heeft geleid. 7. Indien de verantwoordelijke de betrokkene niet heeft geïnformeerd conform dit artikel, betekent dit dat de persoonsgegevens op een niet behoorlijke en onzorgvuldige wijze zijn verwerkt6. 8.
Specifieke regels voor de verwerking van zorg- en persoonsgegevens
1. Voor de verwerking van zorggegevens is uitdrukkelijk toestemming7 van de betrokkene vereist, tenzij het een geval betreft als genoemd in de leden 2 of 6 of indien verstrekking noodzakelijk is ter uitvoering van een wettelijk voorschrift. 2. Zonder toestemming van de betrokkene kunnen – met inachtneming van het derde lid – door de verantwoordelijke persoonsgegevens betreffende de gezondheid worden verstrekt aan verzekeraars voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico, met uitsluiting van lid 4 en de betrokkene geen bezwaar heeft gemaakt, dan wel voor zover dat noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst.
De teksten behorend bij de voetnoten vindt u terug in de bijlage bij dit reglement. Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 11 van 16
3. De zorggegevens worden alleen verstrekt aan personen die uit hoofde van hun ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. 4. Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de gegevensverwerking die beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer. Voorts hebben toegang tot de gegevensverwerking de verantwoordelijke en de bewerker persoonsgegevens voor zover dat met het oog op een goede behandeling en of verzorging dan wel beheer noodzakelijk is. 5. Persoonsgegevens betreffende erfelijke eigenschappen mogen alleen worden verwerkt voor zover deze gegevens uitsluitend betrekking hebben op de betrokkene die deze gegevens heeft verstrekt8. 6. Indien persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet herleidbaar zijn, kan de verantwoordelijke besluiten deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de gegevensverwerking. 7. Gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid en seksuele leven mogen uitsluitend worden verstrekt voor zover dit noodzakelijk is in aanvulling van de verstrekking van persoonsgegevens betreffende iemands gezondheid als bedoeld in lid 2. 8. Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek worden verstrekt indien: • het onderzoek een algemeen belang dient, • de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is; • het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; • bij uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; • voorzover de betrokkene niet uitdrukkelijk bezwaar heeft gemaakt. 9. 1. 2. 3. 4.
Recht op inzage en afschrift van opgenomen persoonsgegevens De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens. De gevraagde inzage en of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt. Een mogelijke beperkingsgrond voor inzage en afschrift kunnen zijn gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen. Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht.
10. Recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens 1. 2.
3.
Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens. De betrokkene kan verzoeken om correctie van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen. De verantwoordelijke draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd.
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 12 van 16
4. 5.
6.
11.
De betrokkene kan verzoeken om verwijdering van op hem betrekking hebbende gegevens. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot correctie of verwijdering schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed. De verantwoordelijke verwijdert9 de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is. Bewaren van gegevens
1.
De verantwoordelijke stelt vast hoe lang de opgenomen persoonsgegevens bewaard blijven. Deze bewaartermijn is: • Voor (para)medische en zorggegevens10 in beginsel twintig jaar, te rekenen vanaf het moment dat de behandeling van de cliënt is beëindigd, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener casu quo verantwoordelijke voortvloeit; • Gegevens die in het kader van de BOPZ verwerkt zijn dienen vijf jaar na beëindiging van de behandeling te worden bewaard of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit; • Gegevens van niet (para)medische of zorginhoudelijke aard worden niet langer bewaard dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij geanonimiseerd of voor zover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard. 2. Onverminderd het bepaalde in lid 1 van dit artikel kunnen gegevens langer worden bewaard dan de standaard termijn van twintig jaar. Hiervan is sprake in de volgende gevallen: a. De betrokkene is nog in behandeling/zorg. b. Verwacht wordt dat de betrokkene opnieuw in behandeling of zorg komt. c. Het betreft minderjarigen. d. Indien er sprake is van een ziekte met een progressief verloop. e. Indien er sprake is van een erfelijke/chronische ziekte. f. De betrokkene wenst dat zijn dossier langer bewaard wordt. g. Verantwoordelijke en betrokkene spreken gezamenlijk een bewaartermijn van langer dan twintig jaar af. h. Er loopt een klachten-, of juridische procedure tegen de hulpverlener. i. In het geval van sub c worden gegevens bewaard tot betrokkene meerderjarig is. j. In het geval van sub e kiest Amerpoort ervoor de gegevens gedurende 115 (honderdvijftien) jaar te bewaren, zoals redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit. k. Bij een voortdurende hulpverleningsrelatie kan, rekening houdend met het privacybelang, het ongelimiteerd bewaren van gegevens redelijkerwijs voortvloeien uit de zorg van een goede hulpverlener. 3. Indien de bewaartermijn van de gegevens is verstreken of de betrokkene doet een verzoek tot verwijdering voor het verstrijken van de bewaartermijn, worden de desbetreffende gegevens verwijderd, zulks binnen een termijn van drie maanden.
De teksten behorend bij de nummering vindt u terug in de bijlage bij dit reglement.
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 13 van 16
4.
Verwijdering blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede de bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de verantwoordelijke overeenstemming bestaat.
11a. Vernietiging van gegevens 1 Dossiers dienen vernietigd te worden wanneer deze gedurende een aaneengesloten periode van twintig jaren niet gebruikt zijn voor de vastlegging van gegevens ten behoeve van de directe cliëntenzorg of zoveel langer dan twintig jaren als dat redelijkerwijs uit de zorg van een goede hulpverlener voortvloeit. 2 Indien de bewaartermijn is verstreken worden de gegevens vernietigd of zodanig geanonimiseerd dat herleiding tot individuele personen redelijkerwijs onmogelijk is. 3 Verantwoordelijke stelt betrokkene op de hoogte van het voornemen betreffende gegevens te vernietigen, ten einde betrokkene in staat te stellen aan te geven dat de gegevens langer bewaard moeten worden danwel om een afschrift te verzoeken. 4 Binnen een jaar nadat de bewaartermijn is verstreken worden de gegevens vernietigd. 5 In het geval van langer of korter bewaren van dossiers in de gevallen genoemd in artikel 11.1 en 11.2 kan van deze regeling worden afgeweken. 6 De beheerder van het archief is verantwoordelijk voor het invoegen van het dossier in het archief. 7 De beheerder van het archief is tevens verantwoordelijk voor het vernietigen van oude dossiers. 8 Het archief is alleen toegankelijk voor de archiefbeheerder. Voor derden is het archief alleen toegankelijk mits de archiefbeheerder hiervoor zijn toestemming verleent. 11b. Beveiliging 1 2
3 4 a
b 5
6 7
De persoonsgegevens dienen beveiligd te zijn. De beveiliging dient strenger te zijn naarmate de gegevens als meer privacygevoelig worden ervaren. De verantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking. Iedereen die met persoonsgegevens werkt heeft een geheimhoudingsplicht ongeacht beroep of functie. Beveiliging van niet-geautomatiseerde gegevens: Persoonsgegevens op papier zoals formulieren, vragenlijsten, aantekeningen en dossiers dienen in goed afsluitbare brandveilige dossierkasten of dossierladen te worden bewaard, bij voorkeur in een afsluitbare ruimte. Als er niet mee gewerkt wordt, in pauzes en na werktijd, dient de dossierkast te worden afgesloten. De sleutelbevoegdheden dienen duidelijk geregeld te worden. Beveiliging van geautomatiseerde gegevens: a Elektronisch bijgehouden dossiers dienen beveiligd te zijn met een wachtwoord. Wachtwoorden zijn alleen bekend bij de persoon aan wie het wachtwoord toebehoort en eventueel diens vervanger. Cd roms en andere gegevensdragers met cliënteninformatie worden in een afsluitbare kast of lade bewaard. b Het computersysteem kent een aantal beveiligingen welke ongeautoriseerde toegang tot gegevens uitsluit. c De systeembeheerder is verantwoordelijk voor het technische beheer van de in het computersysteem opgeslagen gegevens. Dossiers mogen de instellingen alleen verlaten nadat hier persoonlijke toestemming voor is verkregen door daartoe aangewezen personen. De verantwoordelijke draagt er zorg voor dat verzending van cliëntgegevens per post of e-mail zorgvuldig geschiet en neemt maatregelen ter beveiliging.
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 14 van 16
12.
Melding van een verwerking van gegevens
1.
Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of samenhangende doeleinden bestemd is, wordt alvorens met de verwerking wordt aangevangen gemeld bij het CBP. De niet geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of samenhangende doeleinden bestemd is, wordt gemeld indien deze is onderworpen aan voorafgaand onderzoek.
2.
13.
Klachten
Indien de betrokkene van mening is dat de bepalingen de vigerende wet- en regelgeving en dit protocol niet worden nageleefd of andere reden heeft tot klagen, kan hij zich wenden tot: • verantwoordelijke; • de binnen de instelling functionerende regeling voor onafhankelijke klachtenbehandeling; • het CBP met het verzoek een onderzoek in te stellen of de wijze van gegevensverwerking door de verantwoordelijke in overeenstemming is met de WBP; dan wel gebruik maken van de in hoofdstuk 8 van de WBP neergelegde beroepsmogelijkheden.
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 15 van 16
Noten 1
Verwerking van de persoonsgegevens ten behoeve van persoonlijke of huishoudelijke doeleneinden en ten behoeve van de uitwerking van de wet gemeentelijke administratie vallen niet onder reikwijdte van dit stuk.
2
De verantwoordelijke draagt er zorg voor dat passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking. De verantwoordelijke is niet aansprakelijk indien hij kan aantonen dat hem aangaande de betreffende onrechtmatigheid niet kan worden toegerekend.
3
De verantwoordelijke moet ervoor zorgdragen dat de betrokkene voldoende geïnformeerd is alvorens toestemming kan worden gegeven (zgn. informed consent). Deze expliciete toestemming hoeft niet schriftelijk te worden gegeven. Toestemming kan ook blijken uit woord of gedrag.
4
Bijvoorbeeld de gegevensaanlevering in het kader van artikel 22 Wet ziekenhuisvoorzieningen.
5
Hierbij dienen ook de verantwoordelijkheid in het kader van de wet Bijzondere Opnemingen Psychiatrische Ziekenhuizen en/of de wet medisch –wetenschappelijk onderzoek met mensen te worden betrokken.
6
Deze algemene kennisgeving is opgenomen in de dienstverleningsovereenkomst. Daarnaast is het protocol Privacy Regels Cliënten te downloaden via website van Amerpoort. Aangezien de verwerking van de gegevens wordt gedaan door een zorgverlenende instelling, mag over het algemeen worden aangenomen dat de betrokkene weet of kan weten dat verwerking van gegevens plaats vindt. Kennisgeving van opname van gegevens aan de individuele betrokkene kan achterwege blijven. Volstaan kan worden met een algemene kennisgeving van het bestaan van de verwerking en van het protocol Privacy Regels Cliënten. Dit is anders indien andere doelen dan zorgverlening een zelfstandige doelstelling vormen van de verwerking, bijvoorbeeld wetenschappelijk onderzoek. In dat geval kan niet zondermeer aangenomen worden dat de betrokkene van deze doelstellingen weet heeft. Kennisgeving aan individuele betrokkenen van de verwerking van hun gegevens, alsmede van de doelstellingen die daarmee nagestreefd worden is dan noodzakelijk.
7
Het niet voldoen aan de informatieplicht zal leiden tot een onrechtmatige verwerking. Zie ook artikel 5, lid 1.
8
De nadrukkelijke toestemming: de betrokkene dient in woord, geschrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen voor de hem betreffende gegevensverwerking.
9
Verwerking van persoonsgegevens betreffende erfelijke eigenschappen met betrekking tot anderen dan degene omtrent wie de gegevens oorspronkelijk verkregen zijn, is ook niet toegestaan met uitdrukkelijke toestemming van de betrokkenen of enig familielid waarop de gegevens eveneens betrekking hebben.
10
Onder verwijdering dient men tevens vernietiging te verstaan.
Document: Protocol Privacyregels cliëntgegevens Kennishouder: Bestuurssecretaris Vastgesteld 26 april 2011, versie; 5.0
Pagina 16 van 16
