Privacyreglement
– Inleiding
Begripsomschrijvingen
– Informatie over Care Complete Thuiszorg
– Reikwijdte
– Doel van dit protocol
– Grondslagen voor de gegevensverwerking
– Informatieverstrekking
– Verstrekken van persoonsgegevens
– Beroepsgeheim
– Aansprakelijkheid
– Rechten van de betrokkene
– Correctie van persoonsgegevens
– Beveiliging van gegevensverwerking
– Bewaartermijnen gegevens
– Verantwoordelijkheid van de bewerker
– Anonieme gegevens
– Personeelsgegevens
– Klachten over de verwerking en bewaking van persoonsgegevens
Inleiding
De AVG (GDPR) is de nieuwe wet ter bescherming van privacy en persoonsgegevens. Op grond van deze wet heeft een organisatie die met persoonsgegevens werkt bepaalde plichten en heeft degene van wie de gegevens zijn bepaalde rechten. Naast deze algemene wet gelden specifieke regels voor de privacy in de gezondheidszorg. Deze regels staan onder andere vermeld in de Wet Geneeskundige Behandelingsovereenkomst (WGBO). Dit privacyreglement is bedoeld om u te informeren over uw rechten en onze plichten die gelden op grond van de AVG en de WGBO.
Care Complete kan diverse persoonsgegevens van u vragen, registreren en vervolgens verwerken. Wanneer wij hier naar vragen, dit opslaan en verwerken dan is dat noodzakelijk om u medisch goed te kunnen behandelen en is dat nodig voor het financieel afhandelen van de behandeling. Daarnaast kan verwerking noodzakelijk zijn voor, bijvoorbeeld, de bestrijding van ernstig gevaar voor uw gezondheid of ter voldoening aan een wettelijke verplichting.
Begripsomschrijvingen
Persoonsgegeven(s): Ieder gegeven dat informatie verschaft over de identiteit van een persoon.
Gezondheidsgegeven(s): Alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen.
Bestand: Een gesorteerde verzameling van gegevens van verschillende personen (in dit geval cliënten).
Verwerken: Elke handeling die betrekking heeft op persoonsgegevens. Hieronder vallen in ieder geval: wijzigen, verzamelen, vastleggen, ordenen, bewaren, bijwerken, opvragen, raadplegen, gebruiken, samenbrengen, afschermen, uitwissen, vernietigen, verstrekken enzovoorts.
Verantwoordelijke: Degene die (formeel-juridisch) het doel en de middelen van de verwerking vaststelt.
Betrokkene: De persoon wiens persoonsgegevens worden verwerkt.
Vertegenwoordiger: Wettelijke vertegenwoordiger (bijvoorbeeld een ouder, voogd, of ander familielid) van een betrokkene die jonger is dan 16 jaar of onder curatele is gesteld.
Bewerker: Degene die in opdracht van de verantwoordelijke persoonsgegevens bewerkt.
Ontvanger: Degene aan wie de persoonsgegevens worden verstrekt.
Derden: ieder ander dan de betrokkene, Care Complete Thuiszorg, de bewerker, of degene(n) die onder gezag van Care Complete of de bewerker gemachtigd is (zijn) om persoonsgegevens te verwerken.
Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens.
Informatie over Care Complete Thuiszorg
Care Complete Thuiszorg is gevestigd in Lisse en ingeschreven onder inschrijvingsnummer 81349319 in het Handelsregister van de Kamer van Koophandel. Voor vragen over het privacy statement is Care Complete Thuiszorg bereikbaar op telefoonnummer 06 -18 45 76 16 Ook kunt u contact opnemen per e-mail. Het e-mailadres is info@carecomplete.nl. De contactgegevens van de Functionaris voor de Gegevensbescherming van Care Complete Thuiszorg: naam en telefoonnummer E.T.E van den Burg / H.W. van den Burg, 06 -18 45 76 16
Reikwijdte
Dit privacyreglement is van toepassing op alle persoonsgegevens die Care Complete Thuiszorg op welke manier dan ook verwerkt.
Doel van dit protocol
Het doel bij het verwerken van persoonsgegevens van cliënten is het zo breed mogelijk in kaart brengen van alle benodigde informatie over een cliënt, zodat wij de zorgverlening hier zo goed mogelijk op kunnen laten aansluiten. Ook kunnen wij door informatie te verzamelen ons kwaliteitssysteem hanteren (en daarmee de kwaliteit van onze zorg verbeteren) en kunnen wij alle beslissingen omtrent onze zorg aan cliënten verantwoorden aan derden. Dit werkt in het voordeel van zowel onze cliënten, als onze medewerkers. Denk hierbij bijvoorbeeld maar aan de urenregistratie (waardoor de geleverde zorg verantwoord kan worden en personeel uitbetaald).
Grondslagen voor de gegevensverwerking
Natuurlijk verwerken wij niet zomaar alle gegevens. Er zijn bepaalde eisen en omstandigheden waaraan de verwerking van gegevens moeten voldoen. Zo gelden voor Care Complete Thuiszorg de volgende voorwaarden waaronder gegevens mogen worden verwerkt:
* De betrokkene heeft ondubbelzinnig toestemming verleend;
* De verwerking is noodzakelijk voor de uitvoering of voorbereiding van een overeenkomst;
* De verwerking is noodzakelijk voor de uitvoering van een wettelijke verplichting;
* De verwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene (zoals een ernstig gevaar voor de gezondheid);
* De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang;
* De verwerking is noodzakelijk voor een goede vervulling van een publiekrechtelijke taak;
Daarnaast mogen de verwerkte gegevens niet bovenmatig zijn en moeten deze altijd juist, nauwkeurig, toereikend en ter zake dienend zijn. Daarom hanteren we bij Care Complete Thuiszorg de volgende drie categorieën waaruit wij gegevens verzamelen:
Personalia/identificatiegegevens,
financiële/administratieve gegevens
gezondheidsgegevens.
Informatieverstrekking
Binnen Care Complete Thuiszorg worden persoonsgegevens van cliënten of medewerkers zonder toestemming van betrokkene verstrekt aan medewerkers indien dit voor hun taakuitoefening noodzakelijk is. Buiten Care Complete Thuiszorg wordt er altijd afgewogen of het strikt noodzakelijk is om verzamelde persoonsgegevens te verstrekken. Onder andere op basis van het doel en de gevolgen van de verstrekking, de aard van de gegevens, de getroffen waarborgen en de verwachtingen van de betrokkene wordt er bekeken of het noodzakelijk is om gegevens te verstrekken.
Er zijn zes gronden waarop Care Complete Thuiszorg persoonsgegevens zou mogen verstrekken aan derden. Deze zes gronden zijn: de toestemming (er moet altijd toestemming worden verleend), de overeenkomst (een overeenkomst moet kunnen worden nageleefd), de wettelijke verplichting (soms ben je wettelijk verplicht om een instantie van alle relevante informatie te voorzien), een vitaal belang van de betrokkene (in geval van een dringende medische noodzaak), de uitvoering van een publiekrechtelijk taak (dit geldt voor overheidsorganen) en het gerechtvaardigd belang (de rechten en het belang van de betrokkene moet worden afgewogen tegen het belang van het verstrekken van de gegevens). Indien Care Complete Thuiszorg overgaat tot verstrekking van persoonsgegevens, moet er altijd sprake zijn van één van deze zes gronden.
Verstrekken van persoonsgegevens
Binnen Care Complete Thuiszorg worden persoonsgegevens van cliënten of medewerkers zonder toestemming van betrokkene verstrekt aan medewerkers indien dit voor hun taakuitoefening noodzakelijk is. Buiten Care Complete Thuiszorg wordt er altijd afgewogen of het strikt noodzakelijk is om verzamelde persoonsgegevens te verstrekken. Onder andere op basis van het doel en de gevolgen van de verstrekking, de aard van de gegevens, de getroffen waarborgen en de verwachtingen van de betrokkene wordt er bekeken of het noodzakelijk is om gegevens te verstrekken.
Er zijn zes gronden waarop Care Complete Thuiszorg persoonsgegevens zou mogen verstrekken aan derden. Deze zes gronden zijn: de toestemming (er moet altijd toestemming worden verleend), de overeenkomst (een overeenkomst moet kunnen worden nageleefd), de wettelijke verplichting (soms ben je wettelijk verplicht om een instantie van alle relevante informatie te voorzien), een vitaal belang van de betrokkene (in geval van een dringende medische noodzaak), de uitvoering van een publiekrechtelijk taak (dit geldt voor overheidsorganen) en het gerechtvaardigd belang (de rechten en het belang van de betrokkene moet worden afgewogen tegen het belang van het verstrekken van de gegevens). Indien Care Complete Thuiszorg overgaat tot verstrekking van persoonsgegevens, moet er altijd sprake zijn van één van deze zes gronden.
Beroepsgeheim
Verstrekking van gegevens aan andere organisaties is niet toegelaten indien een ambts- of beroepsgeheim zich daartegen verzet. Indien dat het geval is, mag Care Complete Thuiszorg uitsluitend met toestemming van de betrokkene de gevraagde informatie verstrekken. Er zijn echter ook een aantal uitzonderingen opgenomen, zoals wanneer medische gegevens verstrekt moeten worden aan personen die noodzakelijkerwijs bij de behandeling van een patiënt betrokken zijn, de zogenaamde ‘functionele eenheid’.
In beginsel is een organisatie niet verplicht om gegevens te verstrekken indien de politie hierom verzoekt, omdat de verzamelde persoonsgegevens in vertrouwen zijn verkregen. Er zijn echter uitzonderingen, namelijk wanneer de politie verzoekt om noodzakelijke gegevens ter voorkoming, opsporing of vervolging van strafbare feiten vervalt een aantal eisen uit de AVG. In deze situatie is een bedrijf genoodzaakt mee te werken aan het verzoek, zolang de politie kan uitleggen op welke wettelijke gronden de gegevens verstrekt dienen te worden. In de AVG zijn namelijk een aantal regelingen opgenomen op grond waarvan de werkgever verplicht is gegevens te verstrekken.
Er zijn ook situaties waarin bedrijven niet verplicht zijn om gegevens te verstrekken. Indien de politie niet aangeeft op grond van welke wettelijke regeling de informatie verstrekt dient te worden, is het niet verplicht om aan dit verzoek te voldoen. In veel gevallen mag een bedrijf dan zelfs niet eens meewerken, vanwege het vertrouwen waarmee de gegevens zijn verzameld. Om deze reden dienen medewerker van Care Complete Thuiszorg altijd om een schriftelijk informatieverzoek van de politie te vragen, waarin duidelijk de grond van een wettelijke regeling wordt vermeld. Het kan voorkomen dat de politie verzoekt om een vrijwillige medewerking. Hier moet altijd worden afgewogen of het gerechtvaardigd is om de persoonsgegevens alsnog te vertrekken. Dit dient altijd te kunnen worden verantwoord en getoetst op grond van bovenstaande (uitzonderings-) gronden uit de AVG. Als er gegevens worden verstrekt aan de politie dient de betrokkene hier altijd van op de hoogte te worden gesteld.
Aansprakelijkheid
Indien Care Complete Thuiszorg persoonsgegevens aan de politie verstrekt zonder dat dit mag of wij daartoe verplicht zijn, kan de betrokkene Care Complete Thuiszorg daarvoor aansprakelijk stellen. Dus als de politie ons vraagt om gegevens te verstrekken, zullen wij altijd zoveel mogelijk informatie van hen vragen en, indien nodig, bedenktijd om het verzoek van de politie te kunnen overwegen. Hierbij zullen wij tevens juridisch advies inwinnen.
Rechten van de betrokkene
Elke betrokkene heeft het recht op inzage in zijn persoonsgegevens. Indien er door een betrokkene een verzoek tot inzage wordt gedaan, dient dit altijd schriftelijk te worden ingediend bij het bestuur van Care Complete Thuiszorg. Hier wordt schriftelijk op gereageerd, tenzij een gewichtig belang van de betrokkene een andere vorm vergt. De gevraagde inzage en/of het gevraagde afschrift zal uiterlijk binnen vier weken plaatsvinden. Een verzoeker dient zich in zulke gevallen altijd te legitimeren voor inzage. Voor verstrekking van een schriftelijk afschrift mag een financiële vergoeding in rekening worden gebracht, ter hoogte van maximaal €4,50.
Als de betrokkene Care Complete Thuiszorg om inzage verzoekt, dienen wij de betrokkene op een duidelijke manier te informeren welke gegevens wij van hem gebruiken, wat het doel is van dit gebruik en aan wie zij deze informatie hebben verstrekt. Indien er gegevens aan de politie zijn versterkt (waarbij er wel of geen sprake is van verplichting) is het altijd verstandig om dit schriftelijk te doen. Daarnaast wordt altijd in onze eigen administratie vastgelegd welke exacte gegevens zijn verstrekt aan de politie.
Tevens heeft de betrokkene recht op afscherming van gegevens. Dat wil zeggen dat hij of zij mag verzoeken om bepaalde gegevens af te schermen voor derden. Een verzoek hiertoe dient schriftelijk te worden ingediend. Ook mag een betrokkene zich verzetten tegen het verwerken van zijn of haar gegevens. Ook dit dient schriftelijk te worden ingediend bij Care Complete Thuiszorg.
Correctie van persoonsgegevens
De betrokkene kan de verantwoordelijke van Care Complete Thuiszorg schriftelijk verzoeken de opgenomen persoonsgegevens te verbeteren, aan te vullen, te verwijderen, af te schermen of op een andere manier er voor te zorgen dat de onjuiste gegevens niet langer worden gebruikt. Hierbij moet er sprake zijn van feitelijke onjuistheden, een onvolledig of niet ter zake dienend doel van verwerking of in strijd met een wettelijk voorschrift. Een verzoek tot correctie bevat in ieder geval de aan te brengen wijzigingen. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of en in hoeverre hij aan het verzoek zal voldoen. Een eventuele (gedeeltelijke) weigering op dit verzoek zal te allen tijde moeten worden onderbouwd door redenen van afwijzing. De verantwoordelijke draagt zorg dat de beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd.
In geval van correctie van de gegevens zal de verantwoordelijke derden aan wie de (onjuiste) gegevens zijn verstrekt van de wijziging op de hoogte stellen, voor zover dit redelijkerwijs mogelijk is.
Beveiliging van gegevensverwerking
De verantwoordelijke binnen Care Complete Thuiszorg neemt passende technische en organisatorische voorzorgsmaatregelen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan. Zo mogen medewerkers van Care Complete Thuiszorg alleen die persoonsgegevens inzien die voor hun taakuitoefening noodzakelijk zijn. Computers zijn beveiligd met wachtwoorden, zodat ongeautoriseerd personeel hier geen toegang toe heeft. Daarnaast wordt er een back-up opgeslagen van alle gegevens die Care Complete tot haar beschikking heeft, zodat deze nooit verloren kunnen gaan.
Care Complete Thuiszorg maakt gebruik van Google drive om uw gegevens te registreren. Voor de beveiliging van de gegevens van cliënten en medewerkers verwijzen wij naar de privacy policy van Google drive. Deze is opgenomen in het KMS als zijnde E-015 Externe bestanden Google Privacy Policy NL d.d. 18-12-17.
Bewaartermijnen gegevens
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor deze zijn verzameld of verwerkt. Met inachtneming van de wettelijke voorschriften heeft Care Complete Thuiszorg de bewaartermijn van de in de registratie(s) opgenomen persoonsgegevens van cliënten in eerste aanleg vastgesteld op zeven jaar vanaf het moment dat deze zijn vervaardigd. De bewaartermijn voor het zorgdossier, met betrekking tot de WGBO staat vastgesteld op 20 jaar en de termijn voor de WMO staat op 15 jaar. Persoonsgegevens van medewerkers worden tevens vijf jaar nadat de medewerker uit dienst is getreden bewaard. Gegevens die fiscaal van belang zijn zullen zeven jaar bewaard worden.
Verantwoordelijkheid van de bewerker
De verantwoordelijke verplicht de bewerker dit privacy reglement na te leven. De bewerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Ook de bewerker treft de benodigde maatregelen om de gegevens te beveiligen.
Anonieme gegevens
Indien de persoonsgegevens zijn geanonimiseerd kan de verantwoordelijke beslissen om deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de registratie. Geanonimiseerd houdt in dit kader in dat de verstrekte gegevens redelijkerwijs niet tot de individuele persoon herleidbaar zijn.
Personeelsgegevens
Tijdens de sollicitatieprocedure mag de werkgever aan de sollicitant enkel vragen stellen over aspecten die voor de functie en/of voor de functievervulling relevant zijn. De ingewonnen informatie dient vertrouwelijk en zorgvuldig te worden behandeld. Als een werkgever inlichtingen of strafrechtelijke gegevens over de sollicitant wil inwinnen bij derden, zal hij vooraf toestemming moeten vragen aan de sollicitant. De beoogde informatie moet direct verband houden met de te vervullen vacature en mag geen onevenredige inbreuk maken op de persoonlijke levenssfeer van de sollicitant. Resultaten van een psychologische test of de uitslag van een medische keuring mogen alleen na toestemming van de sollicitant aan de werkgever, de opdrachtgever, verstrekt worden.
Indien de sollicitant hierom verzoekt, dient de werkgever de persoonsgegevens uiterlijk vier weken na beëindiging van de sollicitatieprocedure te verwijderen. Tenzij de sollicitant toestemming geeft om deze gegevens voor een langere periode (na beëindiging van de sollicitatieprocedure) te bewaren.
Bij een faillissement, fusie of overname mogen personeelsdossiers worden overgedragen aan een ander bedrijf mits wordt voldaan aan de volgende waarborgen om de privacybelangen van de werknemers te beschermen:
– De overdracht wordt aangekondigd in een daarvoor geschikt medium, zoals een info-mail, schriftelijke notificatie of personeelsblad.
– De werknemers krijgen de mogelijkheid bepaalde gegevens te laten verwijderen en bezwaar aan te tekenen tegen de overdracht. Indien geen bezwaar is aangetekend, kan worden uitgegaan van veronderstelde toestemming van de werknemer voor de overdracht.
– Alleen de gegevens die noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst mogen worden overgedragen. In een dergelijk geval zullen personeelsdossiers moeten worden opgeschoond en niet meer relevante gegevens moeten worden verwijderd.
Klachten over de verwerking en bewaking van persoonsgegevens
Als u vermoedt dat uw persoonsgegevens zijn verwerkt op een manier die in strijd is met de privacywet, dan kunt u een privacy klacht indienen bij de Autoriteit Persoonsgegevens (AP). Zij nemen iedere klacht in behandeling. De manier waarop zij dat doen verschilt per klacht. U ontvangt altijd een reactie van de AP op uw klacht.
Let op: u kunt alleen een klacht indienen over de verwerking van uw eigen persoonsgegevens, niet over de gegevens van iemand anders. Voor meer informatie over wanneer, waarover en hoe u een klacht kunt indienen zie; https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen-bij-de-ap
U kunt ons ook een tip geven. Een tip beschouwen we als een belangrijk signaal voor ons toezicht, maar leidt niet tot een individueel onderzoek. Een tip geven kunt u ook anoniem doen, een klacht indienen niet.
Twijfelt u of u een klacht wilt of kunt indienen bij de AP, dan kunt u bellen met 088 – 1805 250. Heeft u een klacht over spam? Geef die dan niet door aan de AP, maar aan de Autoriteit Consument & Markt (ACM). Dit doet u via Spamklacht.nl.
Ga verder om een klacht in te dienen. https://www.autoriteitpersoonsgegevens.nl/nl/voordat-u-een-klacht-indient
Team Care Complete Thuiszorg