Zorg. Privacy reglement

Zorg

Privacy reglement

Autorisatoren: Bereik: Auteurs: Datum goedkeuring Ongewijzigd herzien kwal. funct. Ongewijzigd herzien kwal. funct. Herzien kwal. funct.

Bestuurder Zuwe Zorg Kwaliteitsfunctionaris 7 juni 2005 Juni 2008

Goedgekeurd door: Versienummer

MTZ 4

Evaluatiedatum:

juni 2013

17 juni 2010 30 maart 2011

Privacyreglement

Privacyreglement Inhoudsopgave 1. 1.1 1.2 1.3 1.4 1.5

Algemeen Inleiding Begripsbepaling Reikwijdte Doel van het reglement Korte informatie over de Wet Bescherming Persoonsgegevens (WBP)

2

2. 2.1 2.2 2.3

Criteria voor het verwerken van persoonsgegevens De zeven doelen waarvoor Zuwe Zorg gegevens mag verwerken Grondslagen op basis waarvan gegevens verwerkt mogen worden De verwerking van bijzondere persoonsgegevens

5

3.

Verstrekken van informatie aan de betrokkenen over de verwerking van persoonsgegevens

7

4.

Rechten van betrokkene ten aanzien van gegevensverwerking

8

5.

Toegang tot de persoonsgegevens

9

6.

Beveiliging persoonsgegevens

11

7.

Bewaartijd persoonsgegevens

12

8.

Eisen aan externe bewerking van gegevens

13

9.

Direct marketing

14

10. 10.1 10.2 10.3

Overige zaken Registratie bij het College Bescherming Persoonsgegevens Verdere uitwerking van het reglement Verantwoordelijken

15

1

Privacyreglement

1.

Algemeen

Inleiding Het voor u liggende reglement is opgesteld om duidelijk te maken hoe de gegevensverwerking binnen Zuwe Zorg plaats dient te vinden. Het reglement is uitgewerkt in een aantal folders die als bijlage aan het reglement zijn toegevoegd. Bescherming van persoonsgegevens is een groot goed dat het waard is om zorgvuldig mee om te gaan. Het is de taak van de managers om te zorgen dat binnen hun afdelingen volgens het reglement wordt gewerkt. Als handreiking kunnen ze hiervoor een checklist gebruiken. Ook die is in de bijlagen te vinden. Maarssen, mei 2005 Iris Bowles Marco Schroevers

1.2

Kwaliteitsfunctionaris Zuwe Zorg Kwaliteitsfunctionaris Zuwe Zorg

Begripsbepaling 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of een identificeerbare natuurlijke persoon. 2. Cliëntgegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of geestelijke gesteldheid van betrokkene, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van de beroepsuitoefening 3. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijziging, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen alsmede het afschermen, uitwissen of vernietigen van gegevens. 4. Verstrekken van persoonsgegevens: het bekendmaken of ter beschikking stellen van gegevens. 5. Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens. 6. Bestand: elk gestructureerd geheel van persoonsgegevens, dat toegankelijk is en betrekking heeft op verschillende personen. 7. Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. 8. Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn1 rechtstreeks gezag onderworpen te zijn. 9. Betrokkene: degene op wie een persoonsgegeven betrekking heeft. 10. Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken. 11. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. 12. Het College Bescherming Persoonsgegevens (CPB): het CBP is een door de regering ingesteld college dat tot taak heeft toe te zien op de verwerking van persoonsgegevens. 13. De wettelijk vertegenwoordiger: de persoon die namens een cliënt optreedt die ofwel de leeftijd van 16 jaar nog niet bereikt heeft, ofwel niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake zoals bedoeld in art. 465 WGBO. Indien de cliënt onder de 16 jaren is kan hij vertegenwoordigd worden door zijn ouders, indien zij de ouderlijke macht uitoefenen ofwel door de toegewezen voogd.

1

Waar de mannelijke vorm gebruikt wordt, kan ook de vrouwelijke gelezen worden.

2

Privacyreglement

1.3

Reikwijdte

Dit reglement is van toepassing op alle papieren en geautomatiseerde persoonsgegevensbestanden van de bij Zuwe Zorg aangesloten voorzieningen. Bij dit reglement hoort een lijst van persoonsgegevensbestanden genaamd ‘Overzicht persoonsgegevensbestanden per manager’.

1.4

Doel van het reglement

Dit reglement wil een praktische uitwerking geven aan de bepalingen van de Wet Bescherming Persoonsgegevens(WBP) en - voor zover van toepassing - de Wet Geneeskundige Behandelingsovereenkomst (WGBO) en de Wet Bijzondere Opnemingen in Psychiatrische Ziekenhuizen (BOPZ).

1.5

Korte informatie over de Wet Bescherming Persoonsgegevens (WBP)

Per 1 september 2001 is de Wet Bescherming Persoonsgegevens in werking getreden. Deze wet verving de vroegere Wet Persoonsregistraties (WPR). De nieuwe wet regelt niet alleen de bescherming van gegevens die in een gegevensbestand zijn neergelegd, zoals de vroegere WPR deed, maar beslaat het gehele proces van gegevensverwerking van het verzamelen tot het vastleggen en eventueel doorgeven van persoonsgegevens. Dat gehele proces dient aan zorgvuldigheidseisen te voldoen. De wet geeft een aantal criteria om te beoordelen of een instelling persoonsgegevens rechtmatig mag verwerken. Deze worden hieronder besproken. De WBP wijst het College Bescherming Persoonsgegevens (CBP) aan als de instantie die instellingen mag aanspreken op het niet naleven van de wet. Zij kan eventueel sancties opleggen. Daarnaast kan iemand wiens gegevens ten onrechte door een instelling verwerkt zijn gebruik maken van Hoofdstuk 8 van de in de WBP neergelegde beroepsmogelijkheden.

3

Privacyreglement

2

Criteria voor het verwerken van persoonsgegevens

Verwerking van persoonsgegevens volgens de WBP mag alleen als aan een aantal voorwaarden is voldaan. Zo moet de verwerking noodzakelijk zijn voor het bereiken van de doelstellingen van de organisatie. Daarnaast moet de verwerking gebaseerd zijn op één of meerdere grondslagen. Aan de verwerking van bijzondere persoonsgegevens zoals gezondheidsgegevens of die betreffende iemand godsdienst of levensbeschouwing worden weer extra eisen gesteld. Deze voorwaarden worden hieronder kort beschreven.

2.1

De zeven doelen waarvoor Zuwe Zorg gegevens mag verwerken.

Persoonsgegevens mogen alleen voor een bepaald, welomschreven doel verwerkt worden. De verwerking van de persoonsgegevens moet noodzakelijk zijn voor de realisatie van één of meerdere van die doelen. Voor Zuwe Zorg zijn dat de volgende doelen: 1. Het verlenen van goede zorg, verzorging en hulpverlening aan de cliënt 2. Het verwerken van de financiële administratie van de cliënt, waaronder het in handen van derden stellen van vorderingen en het laten uitvoeren van de accountantcontrole 3. Het voeren van een goede personeels- en salarisadministratie 4. Klachtenafhandeling van cliënten 5. Het doen van wetenschappelijk onderzoek, statistiek en medisch onderwijs 6. Beleid, management en kwaliteitsbewaking van de zorg 7. Incidentenregistratie en intercollegiale toetsing 8. Het verlenen van goede service aan de cliënt.

2.2

Grondslagen op basis waarvan gegevens verwerkt mogen worden

Naast het feit dat de verzameling van de persoonsgegevens noodzakelijk moet zijn voor het realiseren van één of meerdere van bovengenoemde doelen moet de gegevensverwerking gebaseerd zijn op één of meerdere grondslagen. Voor Zuwe Zorg zijn de volgende grondslagen van belang: 1. De betrokkene moet toestemming gegeven hebben voor de verwerking 2. De verwerking moet noodzakelijk zijn voor de behandeling of de uitvoering van de overeenkomst. 3. De verwerking vloeit voort uit een wettelijke verplichting. 4. De verwerking dient een vitaal belang van de betrokkene. 5. De verwerking is noodzakelijk ter behartiging van een gerechtvaardigd doel. Daarnaast geldt dat de gegevensverwerking niet bovenmatig, toereikend en ter zake dienend moet zijn. e

De 1 grondslag - toestemming van de betrokkene - wordt in de meeste gevallen verondersteld, maar niet per definitie (zie ook onder 3)!!! De grondslagen 2 en 3 2 zijn in de meeste gevallen van toepassing; de grondslagen 4 en 5 in bijzondere gevallen. 2.3

De verwerking van bijzondere persoonsgegevens

Bepaalde categorieën persoonsgegevens dienen met extra veiligheidsmaatregelen omgeven te worden namelijk gegevens betreffende: A. Gezondheid B. Godsdienst of levensbeschouwing C. Ras D. Seksueel leven E. Lidmaatschap van een vakvereniging 2

De WGBO stelt dossiervorming bijvoorbeeld verplicht In diverse wetten is voorts vastgelegd dat een ondernemer een goede administratieve organisatie moet hebben

4

Privacyreglement

F. Strafrechtelijke persoonsgegevens Deze categorieën persoonsgegevens mogen alleen verwerkt worden als hiertoe uitdrukkelijk toestemming is gegeven door de persoon in kwestie of als de organisatie een vrijstelling heeft. A. Gezondheidsgegevens Zuwe Zorg heeft als gezondheidszorginstelling een vrijstelling om gezondheidsgegevens van cliënten te verwerken, mits de persoonsgegevens met extra veiligheidsmaatregelen omgeven zijn. Zie ook hieronder. B. Godsdienst/Levensovertuiging Gegevens over de godsdienst of levensovertuiging van de cliënten mag Zuwe Zorg verwerken als het doel ervan is om adequate geestelijke verzorging te bieden. Gegevens betreffende de godsdienst van het personeel mag ze in principe niet verwerken, omdat Zuwe Zorg geen instelling is die op een godsdienstige gezindheid gebaseerd is. C-F Ras, seksueel leven, lidmaatschap van een vakvereniging en strafrechtelijke persoonsgegevens Zuwe Zorg mag deze gegevens alleen verwerken als de betrokkene hier uitdrukkelijk toestemming voor gegevens heeft.

5

Privacyreglement

3.

Verstrekken van informatie aan de betrokkene over de verwerking van persoonsgegevens

Hoe en wanneer moet Zuwe Zorg de betrokkene informeren over de gegevensverwerking?

I

De gegevens zijn rechtstreeks van de betrokkene verkregen.

Als overduidelijk is dat de betrokkene weet wat er met zijn gegevens gebeurt, dan hoeft hij niet geïnformeerd te worden. Hier mogen we echter niet te snel vanuit gaan. En zeker waar het gezondheidsgegevens betreft niet. Hoe gevoeliger de informatie, des te beter moet de informatieverstrekking aan de betrokkene zijn. Welke informatie moet minimaal verstrekt worden? Het moet de betrokkene duidelijk zijn: - wat Zuwe Zorg voor organisatie is - met welk doel de gegevens verzameld en verwerkt worden - hoe in grote lijnen met de gegevens wordt omgegaan - aan wie de gegevens buiten de organisatie verstrekt worden Wanneer moet de betrokkene geïnformeerd worden? Dit moet vóór de gegevens verkregen en verwerkt worden. Vóór de intake van een toekomstige cliënt moet deze op de hoogte zijn van de gegevensverwerking bijvoorbeeld door middel van een folder.

II

De gegevens zijn verkregen van derden.

In dat geval dient de betrokkene geïnformeerd te worden op het moment dat de gegevens vastgelegd worden.

Beleidslijn  Aan alle cliënten van Zuwe Zorg wordt bij het eerste contact een folder uitgereikt met een passage over hoe Zuwe Zorg omgaat met persoonsgegevens van cliënten.  Aan nieuwe medewerkers wordt een informatieboekje toegezonden met een passage ‘bescherming persoonsgegevens van medewerkers’  Aan nieuwe vrijwilligers wordt een informatieboekje toegezonden met een passage ‘bescherming persoonsgegevens van vrijwilligers’  De betrokkene dient uitdrukkelijk toestemming te geven als zijn gegevens op een andere wijze verwerkt worden dan zoals in de folder vermeld staat.

6

Privacyreglement

4

Rechten van betrokkene ten aanzien van de gegevensverwerking



recht van inzage De betrokkene (ouder dan 16 jaar) heeft het recht zijn persoonsgegevens in te zien. Mocht de 3 persoon niet in staat zijn zíjn belangen te behartigen, dan heeft zijn wettelijke vertegenwoordiger recht van inzage.



recht op correctie van de gegevens De betrokkene of zijn wettelijk vertegenwoordiger heeft het recht de gegevens te corrigeren. Zuwe Zorg is verplicht tot correctie als de gegevens:  feitelijk onjuist zijn  onvolledig of niet ter zake dienend zijn voor het doel waarvoor ze verwerkt worden  op andere wijze in strijd met de WBP of een andere wet verwerkt zijn. Indien een cliënt naar de mening van de hulpverlener ten onrechte van mening is dat de vastgelegde gegevens onjuist zijn, dan kan deze een bijlage laten toevoegen aan het dossier.



klachtrecht De betrokkene of zijn wettelijk vertegenwoordiger kunnen een klacht indienen als hij van mening is dat zijn gegevens niet volgens de richtlijnen van de WBP zijn verwerkt. Zie hiervoor de klachtenprocedure en hoofdstuk 8 WBP.



recht van verzet De betrokkene of zijn wettelijk vertegenwoordiger kunnen voorts bij Zuwe Zorg met succes bezwaar aantekenen tegen het feit dat zijn gegevens worden verwerkt als die verwerking plaatsvindt op de grondslag dat de verwerking noodzakelijk is voor een gerechtvaardigd belang van Zuwe Zorg en/of van een derde4. Zo kan hij verzet aantekenen tegen het feit dat de gegevens gebruikt worden voor direct marketing. Als de betrokkene verzet aantekent, dient de verantwoordelijke maximaal 4 weken na ontvangst een besluit te nemen of dit verzet gerechtvaardigd is. Als de Raad van Bestuur oordeelt dat het verzet gerechtvaardigd is, moet de verwerking onmiddellijk beëindigd worden. Als het verzet direct marketing doeleinden betreft, dient de verwerking zelfs bij ontvangst van het verzet beëindigd worden. Zie ook hieronder bij direct marketing.

Beleidslijn  De betrokkene of zijn wettelijke vertegenwoordiger hebben recht van inzage.  Hij heeft het recht om de gegevens gewijzigd te krijgen als ze onjuist, onvolledig of niet ter zake doend zijn of op andere wijze in strijd met de wet zijn. Ook kan hij een bijlage aan het dossier laten toevoegen als hij naar de mening van de hulpverlener ten onrechte meent dat zijn gegevens onjuist zijn.  Hij heeft het recht een klacht in te dienen.  De betrokkene heeft het recht verzet aan te tekenen als die verwerking plaatsvindt op de grondslag dat de verwerking noodzakelijk is voor een gerechtvaardigd belang van Zuwe Zorg en/of van een derde.

3

wettelijk vertegenwoordiger: zie onder begripsbepaling nr. 13 Als de verwerking niet plaatsvindt conform de doelstellingen van de organisatie of niet op de genoemde grondslagen dan is de organisatie in verzuim. Dan kan men via de klachtenprocedure of via het CBP hiertegen in het geweer komen. 4

7

Privacyreglement

5

Toegang tot de persoonsgegevens

Hierboven is beschreven wanneer Zuwe Zorg persoonsgegevens mag verwerken en hoe ze de betrokken persoon hierover op de hoogte moet stellen. Vervolgens is beschreven welke rechten de betrokkene ten aanzien van zijn persoonsgegevens heeft. De vraag is nu aan wie mogen persoonsgegevens doorgeven worden en onder welke voorwaarden? En wie heeft inzage in de gegevens?

Cliëntgegevens

de betrokkene

medewerkers betrokken bij de directe Zorg of behandeling medewerkers, belast met de administratieve verwerking

medewerkers/ instanties belast met het vervullen van één van de onder 2.1 genoemde doelen medewerkers of instanties belast met de uitvoering van een wettelijke verplichting

Ouders met ouderlijke macht dan wel vertegenwoordigers van betrokkenen jonger dan 16 jaar, de cliënt ouder dan 16 jaar of zijn wettelijk vertegenwoordiger. Dat betekent dat een dochter, zoon of echtgenoot niet zo maar toegang heeft. De betrokkene moet hiervoor eerst toestemming geven. Deze medewerkers hebben toegang tot cliëntgegevens. Zij mogen alleen beschikken over die gegevens die zij voor hun aandeel in de Zorg of behandeling nodig hebben. Ze hebben toegang tot slechts die gegevens die voor die taak noodzakelijk zijn. De administratieve verwerking kan inhouden dat bepaalde gegevens worden doorgegeven aan een derde instantie voor verwerking, zoals een Zorgkantoor of een ziektekostenverzekeraar.

De verwerking moet voor die doelen noodzakelijk zijn. In een aantal gevallen zal de betrokkene hier alsnog toestemming voor moeten geven. Bijvoorbeeld voor klachtafhandeling.

Denk aan het Zorgkantoor. Alleen die gegevens worden doorgegeven die voor de uitvoering van de wettelijke verplichting noodzakelijk zijn. De verstrekking van de gegevens mag niet strijden met de zwijgplicht op grond van de WGBO.

Andere persoonsgegevens: van werknemers, vrijwilligers en evt. anderen Ouders met ouderlijke macht dan wel vertegenwoordigers van betrokkenen jonger dan 16 jaar, de cliënt ouder dan 16 jaar of zijn gemachtigde.

Niet van toepassing.

Ze hebben toegang tot slechts die gegevens die voor die taak noodzakelijk zijn. De administratieve verwerking kan inhouden dat bepaalde gegevens worden doorgegeven aan een derde instantie voor verwerking. Denk hierbij aan een kantoor belast met de salarisbetalingen. Idem als bij cliëntgegevens.

Denk aan instanties als de Belastingdienst of het Centrum voor Werk en Inkomen. Ook zal een werkgever moeten meewerken aan een loonbeslag. Alleen die gegevens worden doorgegeven die voor de uitvoering van de wettelijke verplichting noodzakelijk zijn. De betrokkene wordt hiervan wel in kennis gesteld.

Andere personen of instanties kunnen alleen inzage krijgen in de persoonsgegevens als de betrokkene hiertoe uitdrukkelijk toestemming gegeven heeft. Tenzij er sprake is van uitzonderingssituaties zoals beschreven in artikel 43 WBP.

8

Privacyreglement

Beleidslijn toegang tot cliëntengegevens De cliënt kan er op vertrouwen dat alleen kunnen beschikken over c.q. toegang hebben tot zijn gegevens: 1. 2. 3. 4. 5. 6.

hijzelf of zijn wettelijke vertegenwoordiger medewerkers direct betrokken bij zijn verzorging/behandeling medewerkers of instanties betrokken bij de financiële afwerking van de Zorg of het verblijf van de cliënt. medewerkers of instanties belast met het vervullen van één van de andere hierboven genoemde doelen medewerkers of instanties belast met de uitvoering van een wettelijke verplichting. Ieder ander persoon of instantie alleen als de cliënt uitdrukkelijk toestemming hiertoe gegeven heeft.

In de gevallen 2-6 beschikken de genoemde personen/instanties alleen over die gegevens die voor de uitvoering van hun taken noodzakelijk zijn.

Beleidslijn toegang tot andere persoonsgegevens dan cliëntengegevens De betrokkene kan er op vertrouwen dat alleen inzage hebben in zijn gegevens of aan wie gegevens worden doorgegeven: 1. 2. 3. 4. 5.

hijzelf of een gemachtigde medewerkers of een derde bewerker betrokken bij de financiële afwerking van de overeenkomst of een verplichting die hier uit voortvloeit medewerkers belast met het vervullen van één van de andere hierboven genoemde doelen. instanties belast met de uitvoering van een wettelijke verplichting ieder andere persoon of instantie krijgt alleen toegang als de betrokkene uitdrukkelijk toestemming hiertoe gegeven heeft.

In de gevallen 2-5 beschikken de genoemde personen/instanties alleen over die gegevens die voor de uitvoering van hun taken noodzakelijk zijn.

Inzage procedure De procedure voor inzage is als volgt: 1. 2. 3. 4. 5. 6. 7.

8.

een verzoek tot inzage wordt door de betrokkene schriftelijk (?) ingediend bij de instelling. de instelling draagt zorg voor de behandeling van het verzoek inzage vindt plaats binnen een maand na ontvangst van het verzoek inzage kan, indien de betrokkene zulks wenst, plaatsvinden onder begeleiding van een medewerker van de instelling voor inzage plaats kan vinden, dient de betrokkene zich te legitimeren indien door de instelling inzage wordt geweigerd, wordt deze weigering met redenen omkleed schriftelijk binnen een maand na ontvangst van het verzoek meegedeeld aan de verzoeker indien inzage niet kan worden verleend zonder dat daarbij inzage wordt gegeven in gegevens van andere personen, al dan niet behorende tot het huishouden van de verzoeker, kan geen inzage worden verleend alvorens die andere personen toestemming voor inzage hebben verleend voldoening aan een verzoek tot inzage kan, indien de betrokkenen dat wenst, geschieden door middel van een afschrift van de op hem betrekking hebbende persoonsgegevens.

9

Privacyreglement

Correctie procedure De procedure voor correctie van gegevens is als volgt: 1. 2. 3.

4. 5.

een verzoek daartoe wordt door de betrokkene schriftelijk ingediend bij de instelling voor correctie plaats kan vinden, dient de betrokkene zich te legitimeren Indien de instelling van oordeel is dat het verzoek gegrond is, draagt zij er zorg voor dat de noodzakelijke verbetering, aanvulling of verwijdering binnen een maand na het verzoek plaatsvindt. de instelling doet schriftelijke mededeling van de correctie aan de betrokkene. indien een cliënt naar de mening van de instelling ten onrechte stelt dat de vastgelegde gegevens onjuist zijn, dan kan deze een bijlage laten toevoegen aan het dossier.

10

Privacyreglement

6

Beveiliging persoonsgegevens

De WBP verplicht ons om onze gegevensverwerking te beveiligen. Zuwe Zorg moet passende technische en organisatorische maatregelen nemen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan. Hoe gevoeliger de gegevens des te zwaarder moet de toegepaste beveiliging zijn. Voor de keuze van de te nemen maatregelen dienen de stand van de techniek en de kosten van de maatregelen in ogenschouw genomen worden De technische en organisatorische maatregelen moeten er mede op gericht zijn onnodige verzameling of verwerking te voorkomen. Concreet gelden voor Zuwe Zorg de volgende eisen:

Geautomatiseerde persoonsgegevensbestanden  Alleen toegankelijk voor medewerkers die voor de goede uitoefening van hun functie van de gegevens kennis moeten kunnen nemen en dan alleen die gegevens die hiertoe noodzakelijk zijn.  De toegang is alleen mogelijk met een wachtwoord en autorisatieprocedure.  Gegevens mogen digitaal aan een extern kantoor alleen versleuteld verstuurd worden.  De medewerkers hebben een geheimhoudingsplicht ten aanzien van deze gegevens.

Papieren persoonsgegevens  De papieren dienen in een afsluitbare kast of lade bewaard te worden.  De sleutel tot de kast of lade mag alleen toegankelijk zijn voor geautoriseerd personeel.  De medewerkers hebben een geheimhoudingsplicht ten aanzien van deze gegevens.  Na de vastgestelde bewaartijd worden de persoonsgegevens vernietigd. .

11

Privacyreglement

7

Bewaartijd persoonsgegevens

Hoe lang mogen persoonsgegevens bewaard worden? De WBP stelt dat dit niet langer mag zijn dan strikt noodzakelijk is. De BOPZ stelt de termijn in de meeste gevallen op 5 jaar. En vooruitlopend op de aanpassingen in de WGBO moeten medische gegevens in de regel 15 jaar bewaard worden. De boekhouding dient voor de belastingdienst minimaal 7 jaar en het lopende jaar bewaard worden. Medische cliëntgegevens Als richtlijn houdt Zuwe Zorg aan dat medische gegevens 15 jaar bewaard worden, tenzij er een gerechtvaardigd doel is om de gegevens langer te bewaren. Zo’n doel zou kunnen zijn dat de cliënt nog in zorg is of dat gegevens verzameld worden voor wetenschappelijke doeleinden. Het betreft hier de cliëntgegevens voor zover ze vallen onder de reikwijdte van de Wet Geneeskundige Behandelingsovereenkomst vanuit: - de woonzorgcentra - de extramurale zorg van de woonzorgcentra - de verpleging van de thuiszorg - het gehooronderzoek van de jeugdgezondheidszorg - de voedingsvoorlichting en dieetadvisering Een langere bewaartermijn moet met redenen omkleed en goedgekeurd door de Raad van Bestuur vastgelegd worden in dit reglement. Ook moet duidelijk omschreven zijn om welke persoonsgegevens het gaat. Cliëntgegevens Maatschappelijk Werk De bewaartermijn voor het dossier van het maatschappelijk werk is 2 jaar na afsluiting van de hulpverlening. Andere persoonsgegevens Andere persoonsgegevens zoals afspraak-, plannings- en overige zorggegevens moeten vernietigd worden als ze niet meer nodig zijn. Personeelsgegevens van medewerkers De bewaartermijn voor personeelsgegevens van medewerkers is 7 jaar plus het lopende jaar. Voor het gemak: 8 jaar.

Beleidslijn bewaartermijn  Medische cliëntgegevens: 15 jaar of zoveel langer als voor een goede behandeling noodzakelijk is  Maatschappelijk Werk: 2 jaar  Personeelsgegevens: 8 jaar  Andere persoonsgegevens: zo lang als noodzakelijk is en niet langer  De RvB dient een besluit goed te keuren dat gegevens voor wetenschappelijke doeleinden langer bewaard worden.

12

Privacyreglement

8

Eisen ten aanzien van externe bewerkers

Zowel de personeels- als sommige cliëntgegevens worden doorgegeven aan derden om te bewerken. Denk aan een extern bedrijf dat de salarisuitbetalingen verricht of aan het Zorgkantoor. Zuwe Zorg blijft deels verantwoordelijk voor het proces van gegevensverwerking door derden.

   

Zuwe Zorg dient zich ervan te vergewissen dat de bewerker voldoende waarborgen biedt met betrekking tot de technische en organisatorische beveiliging van persoonsgegevens Aan de externe bewerking dient een overeenkomst (of een andere regeling) tussen Zuwe Zorg en de bewerker ten grondslag te liggen waardoor een afdwingbare verbintenis ontstaat. In de overeenkomst (of andere regeling) dient Zuwe Zorg te bedingen dat de bewerker de beveiligingsverplichtingen nakomt die voortvloeien uit de WBP. Zuwe Zorg dient voorts daadwerkelijk toe te zien op de naleving van de beveiligingsverplichtingen.

Het afdelingshoofd dat namens Zuwe Zorg het contract met de derde bewerker heeft gesloten, is hiervoor verantwoordelijk.

De WBP legt de derde bewerker de volgende verplichtingen op:    

9

De persoonsgegevens mogen alleen bewerkt worden in opdracht van Zuwe Zorg. De derde bewerker is naast Zuwe Zorg aansprakelijk voor de schade die iemand lijdt of het nadeel dat iemand ondervindt als gevolg van de bewerkingshandelingen. De derde bewerker is verplicht om persoonsgegevens waarvan hij kennisneemt geheim te houden. Gegevens mogen digitaal alleen geëncrypteerd verstuurd worden.

Direct marketing

Onder direct marketing verstaan we het onderhouden van een directe relatie met de betrokkene voor commerciële of charitatieve doelen. Zuwe Zorg mag alleen persoonsgegevens voor direct marketingdoeleinden verwerken als de wijze van verwerking niet onverenigbaar is met het doel waarvoor de gegevens verkregen zijn. In de meeste gevallen zijn de gegevens verkregen met het doel een arbeidscontract of een Zorgovereenkomst uit te voeren. Het gebruik van die gegevens voor direct marketing zal in de meeste gevallen alleen verenigbaar zijn als het producten of diensten betreft die verband houden met eerder geleverde diensten of producten. Ook is van belang of een selectie gemaakt is van de te verwerken gegevens en zo ja, op basis waarvan dat gebeurd is. Als de voorgenomen direct marketing doeleinden verenigbaar zijn met het doel waarvoor de gegevens verzameld zijn, dan moet de verwerking natuurlijk wel gebaseerd zijn op één van de eerder genoemde grondslagen. Voorts moet de betrokken gewezen worden op zijn recht van verzet en hoe hij dit kan doen. De beslissing of direct mailing naar door Zuwe Zorg verkregen personen toelaatbaar is, wordt door de Raad van Bestuur genomen.

13

Privacyreglement

10      

Verantwoordelijken Eindverantwoordelijke is de Raad van Bestuur. Verantwoordelijk voor het evalueren van het reglement en het onder de aandacht brengen van het onderwerp is de kwaliteitsfunctionaris. Verantwoordelijken voor de correcte verwerking van de patiëntgegevens zijn de Zorgmanagers. Verantwoordelijk voor de correcte administratieve verwerking van de cliëntgegevens is het hoofd FI&C. Verantwoordelijk voor de goede bewerking van de personeelsgegevens is het hoofd PO&O . Verantwoordelijk voor de juiste verwerking van alle financiële persoonsgegevens is het hoofd FI&C.

14