Privacyreglement

Inhoud

  1. Reikwijdte. 2
  2. Doel 3
  3. Verwerking van persoonsgegevens. 3
  4. Specifieke regels voor de verwerking van gezondheidsgegevens. 4
  5. Vertegenwoordiging. 5
  6. Informatieverstrekking aan de betrokkene. 5
  7. Recht op inzage en afschrift van opgenomen persoonsgegevens. 6
  8. Recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens. 6
  9. Bewaren en beveiligen. 7
  10. Melding van een verwerking van gegevens. 7
  11. Klachten. 7
  12. Begripsbepalingen. 8
  13. Wijzigingen, inwerkingtreding en inzage van dit reglement. 9

 

Samenvatting

Wanneer u contact hebt met uw huisartsenpraktijk worden gegevens over u vastgelegd. De verwerking van deze gegevens verloopt conform de Wet Bescherming Persoonsgegevens en de Wet op de Geneeskundige Behandelingsovereenkomst.

In dit privacyreglement staat onder welke voorwaarden uw gegevens verwerkt worden. Om u als cliënt of patiënt te informeren over uw belangrijkste rechten en plichten hebben wij deze kort voor u samengevat:

Recht op inzage of afschriften

U hebt het recht om uw dossier in te zien. U mag alle gegevens in uw dossier inzien die over uzelf gaan. Persoonlijke werkaantekeningen van de hulpverlener en gegevens die over iemand anders gaan, mag u niet inzien. Als uw dossier informatie over anderen bevat, bijvoorbeeld familieleden, mogen hulpverleners niet zomaar die gegevens aan u verstrekken. Ze moeten dan eerst toestemming vragen aan die persoon. Als er geen toestemming is, dan worden de desbetreffende passages afgeplakt of uit het dossier verwijderd. U hebt niet het recht uw dossier mee te nemen. Wel kunt u een kopie vragen, als u de kosten ervan vergoedt.

Wie mag een dossier inzien?

Niemand anders dan u, uw behandelaar en andere hulpverleners die bij uw behandeling betrokken zijn, mogen uw dossier inzien. Dus ook geen familie of partner, tenzij u daar uitdrukkelijk toestemming voor geeft. U doet dit door iemand schriftelijk te machtigen. Er is een aantal situaties waarin het dossier van een ander wel mag worden ingezien. Het gaat om houders van het ouderlijk gezag van kinderen onder de 12 jaar, een curator of mentor, een vertegenwoordiger of belangenbehartiger, die hiervoor schriftelijk gemachtigd is. Het moet dan voor de hulpverlener wel duidelijk zijn dat deze in het belang van de patiënt handelt.

Verbetering, aanvulling, verwijdering, afscherming en verzet

Onjuistheden in het dossier kunt u laten verbeteren, aanvullen, verwijderen of afschermen.

Tevens kunt u bezwaar aantekenen tegen de verwerking van uw gegevens door uw huisartsenpraktijk. Als uw huisartsenpraktijk het dossier niet wil of kan wijzigen, moet duidelijk aangegeven worden waarom niet. Als u een aanvulling heeft, moet uw huisartsenpraktijk dit aan het dossier toevoegen, ongeacht of zij het ermee eens is. U kunt zelf verzoeken om gedeelten uit het dossier te laten verwijderen of het gehele medische dossier te laten vernietigen met uitzondering van de gegevens die uw huisartsenpraktijk nodig heeft om haar wettelijke verplichting na te kunnen komen waaronder de financiële verantwoording. Wanneer uw huisartsenpraktijk de gegevens van uw medisch dossier niet wil of kan verwijderen of vernietigen wordt u hiervan in kennis gesteld.

Het Privacyreglement is vastgesteld op 4 december 2017 en vervangt alle voorgaande versies.

1. Reikwijdte

Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, evenals de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

2. Doel

  1. Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet Bescherming Persoonsgegevens, verder te noemen WBP en – voor zover van toepassing – de bepalingen van de Wet Geneeskundige Behandelingsovereenkomst, verder te noemen WGBO.
  2. Dit reglement is van toepassing op Huisartsenpraktijk Tuitjenhorn, hierna “uw huisartsenpraktijk”, statutair gevestigd te Tuitjenhorn. Het reglement heeft betrekking op het overzicht van verwerkingen van persoonsgegevens binnen uw huisartsenpraktijk.
  3. Persoonsgegevens worden in overeenstemming met dit reglement en de WBP op behoorlijke en zorgvuldige wijze verwerkt en alleen voor vooraf welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden[1].

Doeleinden voor uw huisartsenpraktijk om persoonsgegevens te verwerken zijn:

  • (a) Ondersteuning en instandhouding van de zorg aan de patiënt. Zowel door uw huisartsenpraktijk als, indien noodzakelijk, door ketenpartners;
  • (b) Het vaststellen en beschikbaar stellen van informatie, ten behoeve van een doelmatig beleid en beheer van uw huisartsenpraktijk;
  • (c) Het mogelijk maken van kwaliteitsbewaking en -bevordering.
  • (d) Het financieel afhandelen van de geboden zorg aan de patiënt dan wel met diens zorgverzekeraar.
  • (e) Het vastleggen en beschikbaar stellen van informatie ten behoeve van (medisch) wetenschappelijk onderzoek en (medisch) onderwijs.

Persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.

3. Verwerking van persoonsgegevens

Persoonsgegevens mogen slechts worden verwerkt indien:

a. de betrokkene voor de verwerking zijn toestemming heeft verleend (bijvoorbeeld in het geval van calamiteiten onderzoek of klachten onderzoek);

b. dit noodzakelijk is voor de uitvoering van een overeenkomst die uw huisartsenpraktijk met de betrokkene heeft gesloten waarbij de betrokkene partij is, of voor handelingen die op verzoek van de betrokkene worden verricht;

c. dit noodzakelijk is om een wettelijke verplichting na te komen (bijvoorbeeld i.g.v. de meldplicht kindermishandeling);

d. dit noodzakelijk om een vitaal belang (bijvoorbeeld gezondheid of eigendom) van de betrokkene te waarborgen en het is niet goed mogelijk de betrokkene om toestemming te vragen (bijv. in geval van acute situaties en verstrekken van gegevens aan ketenpartners);

e. dit noodzakelijk is met het oog op een gerechtvaardigd belang van de verantwoordelijke of van een derde én het belang van de betrokkene van wie de gegevens worden verwerkt niet prevaleert (bijv. wanneer het verwerken van de gegevens is noodzakelijk voor een goede bedrijfsvoering, bijv. voor het declareren van verrichtingen).

4. Specifieke regels voor de verwerking van gezondheidsgegevens

1. Persoonsgegevens betreffende iemands gezondheid mogen worden verwerkt, indien de verwerking geschiedt door:

  • hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene; dan wel met het oog op het beheer van de organisatie van de verantwoordelijke;
  • verzekeraars of het zorgkantoor. Individuele gegevens betreffende de gezondheid worden slechts na uitdrukkelijke toestemming van de betrokkene verstrekt voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico, dan wel voor zover dat noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst (op grond van de zorgverzekeringswet);

2. De persoonsgegevens worden alleen verstrekt aan personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Uw huisartsenpraktijk heeft ook voor niet-zorgverleners de geheimhoudingsbepaling expliciet in de arbeidsovereenkomst opgenomen.

3. Onverminderd eventuele wettelijke voorschriften terzake hebben slechts toegang tot de gegevensverwerking de beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer. Voorts hebben toegang tot de gegevensverwerking de verantwoordelijke en de bewerker van de persoonsgegevens voor zover dat met het oog op een goede behandeling of verzorging dan wel het beheer noodzakelijk is.

4. Indien persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet herleidbaar zijn, kan de verantwoordelijke besluiten deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de gegevensverwerking.

5. Persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid en seksuele leven mogen uitsluitend worden verstrekt voor zover dit noodzakelijk is in aanvulling op de verstrekking van persoonsgegevens betreffende iemands gezondheid als bedoeld in lid 1 van dit artikel. Bijvoorbeeld wanneer dit noodzakelijk is met het oog op een goede behandeling en verzorging van de betrokkene.

6. Persoonsgegevens betreffende iemands gezondheid mogen worden verwerkt ten behoeve van wetenschappelijk onderzoek of statistiek, indien:

  • het onderzoek een algemeen belang dient;
  • de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is;
  • voor zover de betrokkene tegen een verstrekking niet uitdrukkelijke bezwaar heeft gemaakt;
  • het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en de zorgverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs kan worden voorkomen.

5. Vertegenwoordiging

Iemand die niet (meer) voor zichzelf kan beslissen, wordt wilsonbekwaam genoemd. In situaties waarbij er sprake is van wilsonbekwaamheid kan een andere persoon optreden als vertegenwoordiger van de betrokkene. Hij is hierbij gehouden de betrokkene zoveel mogelijk bij de invulling van zijn taken te betrekken en in diens belang te handelen.

Indien de betrokkene jonger is dan twaalf jaar treden de ouders op die het ouderlijk gezag uitoefenen dan wel de voogd in plaats van de betrokkene. Indien de betrokkene in de leeftijdscategorie van twaalf tot zeventien valt en in staat is tot een redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders of voogd op.

Indien de betrokkene ouder is dan achttien jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen, dan treedt vertegenwoordiging op zoals is vastgelegd in de WGBO.

6. Informatieverstrekking aan de betrokkene

  1. Indien bij de betrokkene zelf de persoonsgegevens worden verkregen deelt de verantwoordelijke voor het moment van verkrijging de betrokkene mede[2]:
  2. zijn identiteit;
  3. de doeleinden van de verwerking waarvoor de gegevens zijn bestemd tenzij de betrokkene daarvan al op de hoogte is;
  4. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen[3].

7. Recht op inzage en afschrift van opgenomen persoonsgegevens

  1. De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens.
  2. De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen één maand, plaatsvinden respectievelijk worden verstrekt.
  3. Een mogelijke beperkingsgrond voor inzage en afschrift kunnen zijn gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen.
  4. Voor inzage of de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht.
  5. De betrokkene heeft het recht om een gespreksopname van contact tussen de betrokkene en de huisartsenpost te beluisteren. De betrokkene heeft geen recht op een kopie van de gespreksopname, wel kan een transcript van het gesprek verstrekt worden.

8. Recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens

  1. De betrokkene, die volgens artikel 6 kennis heeft genomen van zijn persoonsgegevens kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen of af te schermen.
  2. De verantwoordelijke bericht de verzoeker binnen één maand na ontvangst van het schriftelijk verzoek tot correctie of verwijdering schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.
  3. De verantwoordelijke voert een beslissing tot verbetering, aanvulling of afscherming zo spoedig mogelijk uit, uiterlijk binnen één maand.
  4. De verantwoordelijke verwijdert[4] de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, evenals voor zover bewaring op grond van een wettelijk voorschrift vereist is.
  5. Dit verzoek kan worden gedaan als zijn/haar persoonsgegevens feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift in de verwerking voorkomen.

9. Bewaren en beveiligen

  1. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
  2. Persoonsgegevens mogen langer worden bewaard dan in paragraaf 9.1 omschreven wanneer zijn geanonimiseerd worden of voor zover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard.
  3. De verantwoordelijke stelt vast hoe lang de opgenomen persoonsgegevens bewaard blijven
  4. De bewaartermijn voor medische gegevens is in beginsel 15 jaar, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goed zorgverlener voortvloeit.
  5. De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de ten uitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
  6. De verantwoordelijke sluit met bewerkers die in opdracht van verantwoordelijke persoonsgegevens verwerken overeenkomsten af waarin, conform de WBP, afspraken gemaakt worden over de vertrouwelijkheid en beveiliging van persoonsgegevens.
  7. Om de kwaliteit van onze dienstverlening te monitoren en verbeteren, nemen wij telefoongesprekken op. Deze gesprekken worden na 3 maanden verwijderd.

10. Melding van een verwerking van gegevens

  1. Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of samenhangende doeleinden bestemd is, wordt gemeld bij de Autoriteit Persoonsgegevens (AP).
  2. Medewerkers die een nieuwe (geheel of gedeeltelijk geautomatiseerde of handmatige) verwerking van persoonsgegevens aanleggen, moeten deze verwerking vooraf melden bij de direct leidinggevende, zodat er gemeld kan worden bij de AP, alvorens met de verwerking wordt begonnen.
  3. Individuele controle medewerkers

Als het voornemen bestaat om voor een individuele controle van een medewerker een bestaande persoonsgegevensverwerking te gebruiken, dan mag dat uitsluitend nadat de betreffende medewerker daarvan schriftelijk in kennis is gesteld. Bijvoorbeeld in geval van een externe audit of een inspectie door de Inspectie voor de Gezondheidszorg (IGZ). Een dergelijke individuele controle is zo beperkt mogelijk met het oog op het doel ervan.

11. Klachten

Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij zich wenden tot:

  1. Uw huisartsenpraktijk (verantwoordelijke)

Klachten kunnen via de voor uw huisartsenpraktijk toepasselijke mogelijkheid voor onafhankelijke klachtenbehandeling worden gemeld.

Indien er niet in onderling overleg tot een afdoende klachtenafhandeling gekomen kan worden dan kunnen klachten telefonisch, via e-mail of schriftelijk ingediend worden bij HKN Huisartsen. Op www.hknhuisartsen.nl is een elektronisch formulier beschikbaar om klachten in te dienen. De klachtenfunctionaris neemt vervolgens contact op met de betrokkene.

  1. De Autoriteit Persoonsgegevens

Wanneer u van mening bent dat uw huisartsenpraktijk persoonsgegevens niet in overeenstemming met de WBP verwerkt en dat uw huisartsenpraktijk niet naar tevredenheid op uw klacht hierover heeft gereageerd kunt dit melden bij de Autoriteit Persoonsgegevens (AP). Dit kan door de AP hierover te tippen via de knop ‘tip ons’ op de website https://autoriteitpersoonsgegevens.nl. De AP kan naar aanleiding van uw tip besluiten om een onderzoek in te stellen.

  1. De kantonrechter

Als u naar de rechter wilt, dan start u een verzoekschriftprocedure. Dit doet u door een brief te schrijven aan de kantonrechter.

 

12. Begripsbepalingen

  1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
  2. Gezondheidsgegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening.
  3. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.
  4. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens.
  5. Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.
  6. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
  7. Verantwoordelijke: uw huisartsenpraktijk [5]
  8. Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
  9. Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
  10. Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.
  11. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt. Dit kan zowel een persoon zijn binnen de organisatie van de verantwoordelijke als een persoon buiten de organisatie.
  12. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat betreffende persoonsgegevens van hem worden verwerkt.
  13. Autoriteit Persoonsgegevens (AP): de AP is het orgaan dat door de WBP wordt aangewezen om toe te zien of de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de wet.
  14. WBP: Wet Bescherming Persoonsgegevens
  15. WGBO: Wet op de geneeskundige behandelovereenkomst

 

13. Wijzigingen, inwerkingtreding en inzage van dit reglement

  1. Wijzigingen van dit reglement worden aangebracht door de verantwoordelijke, zijnde de praktijkhouder(s) van uw huisartsenpraktijk.
  2. De wijzigingen zijn van kracht vier weken nadat ze bekend zijn gemaakt aan betrokkenen.
  3. Dit reglement is in te zien bij de verantwoordelijke, u kunt hiervoor terecht op de website van uw huisartsenpraktijk. (https://tuitjenhorn.hknhuisartsen.nl)
  4. Het Privacyreglement is vastgesteld op 4 December 2017 en vervangt alle voorgaande versies.

 

[1] De verantwoordelijke draagt er zorg voor dat passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking. De verantwoordelijke is niet aansprakelijk indien hij kan aantonen dat hem aangaande de betreffende onrechtmatigheid niet kan worden toegerekend.

 

[2] Deze algemene kennisgeving kan geschieden door bijvoorbeeld het uitreiken van een informatiebrochure of door informatie over het reglement en de verwerking van persoonsgegevens op te nemen in de huisregels of een publicatie op het internet.

 

[3] Aangezien de verwerking van de gegevens wordt gedaan door een zorg verlenende instelling, mag in het algemeen worden aangenomen dat de betrokkene weet of kan weten dat verwerking van gegevens plaatsvindt. Kennisgeving van opname van gegevens aan de individuele betrokkene kan dan achterwege blijven. Volstaan kan worden met een algemene kennisgeving van het bestaan van de verwerking en dit reglement. Dit is anders indien andere doelen dan zorgverlening een zelfstandige doelstelling vormen van de verwerking, bijvoorbeeld wetenschappelijk onderzoek. In dat geval kan niet zonder meer worden aangenomen dat de betrokkene van deze doelstellingen weet heeft. Kennisgeving aan individuele betrokkenen van verwerking van hun gegevens, evenals van de doeleinden die daarmee worden nagestreefd, is in dit geval noodzakelijk.

 

[4] Onder verwijdering dient men tevens vernietiging te verstaan.

 

[5] De WBP bepaalt dat de ‘verantwoordelijke is: “de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt”.