Upload
hoangdat
View
217
Download
0
Embed Size (px)
Citation preview
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 1 van 22
ReglementverwerkingvangegevensvanpatiëntenbinnenStichtingVincere-GGZ
Tenbehoevevandeverwerkingvanpersoonsgegevensvanpatiënten
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 2 van 22
InhoudsopgaveInleiding
AlgemenebepalingenArt1.BegripsbepalingenArt2.Reikwijdte
1RechtmatigeverwerkingpersoonsgegevensArt3.DoelArt4.Voorwaardenvoorrechtmatigeverwerking
Art5.Verwerkingvanpersoonsgegevens
2Verwerkingvanbijzonderepersoonsgegevens(gezondheidsgegevens)Art6.
a. Hulpverleners,instellingenofvoorzieningenindegezondheidszorgofmaatschappelijkedienstverleningb. Verzekeraarsc. Bijzonderegegevensalsaanvullingopgezondheidsgegevensd. Wetenschappelijkonderzoekenstatistieke. Erfelijkheidsgegevens
3OrganisatorischeverplichtingenArt7.GeheimhoudingsplichtArt8.BewarenArt9.BeveiligingArt10.Klachtenbehandeling
4RechtenvandepatiëntenArt11.InformatieplichtArt12.RechtopinzageenafschriftvanpersoonsgegevensArt13.RechtopaanvullingofcorrectievanpersoonsgegevensArt14.Rechtopverwijderingofvernietigingvanpersoonsgegevens
Art15.ToestemmingsvereisteArt16.Derdenverstrekking
5MeldingsverplichtingbijhetCBPArt17.GeheelofgedeeltelijkegeautomatiseerdepersoonsgegevensArt18.Vrijgesteldeverwerkingen
6Overgangs-enslotbepalingenArt19:Wijzigingen,inwerkingtredingeninzagevanditreglementBijlage1:WerkwijzeverwerkingpersoonsgegevensBijlage2:Bewaartermijnen
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 3 van 22
VoorwoordStichtingVincere-GGZlegt,inhetkadervandehulpverlening,dagelijksdiversegegevensvanpatiëntenvastdieafkomstigzijnvandepatiëntzelfmaarookvananderen,zoalsdeverwijzers.HetvastleggenvangegevensisvoorStichtingVincere-GGZnoodzakelijkomdewettelijkopgedragentakenendienstenbinnendegezondheidszorguittekunnenvoeren.Datgegevensvandepatiëntwordenvastgelegd,houdtnietindatderdenzomaarinzageindezegegevenshebben.DaarnaasthebbenhulpverlenersindienstvanStichtingVincere-GGZeengeheimhoudingsplichtenmogeninprincipealleenmettoestemmingvandepatiëntgegevensaananderendandepatiëntverstrekken.AandeanderekantheeftStichtingVincere-GGZdetaakomdebelangenvanpatiëntentebeschermenenmagdenoodzakelijkgeachtehulpverleningnietingevaarkomen.Ditbetekentdatsomsookzondertoestemmingvandepatiëntinformatieaanderdenmoetkunnenwordenverstrekt.Deprivacybeschermingvandepatiëntmaakthetvoordehulpverlenersomsonduidelijkwanneerwelenwanneergeen persoonsgegevens mogen worden verwerkt (opschrijven, inzage, verstrekken bv.) Aan wie mogen welkegegevenswordenverstrektenaanwiejuistniet?RegelingenrondomPrivacyblijvenjuridischingewikkeldemateriewaarmethetoogopdekwaliteitweinigaanteveranderenvalt.Voordegoedeorde:hetreglementheeftalleenbetrekkingopdeverwerkingvanpersoonsgegevensvanpatiëntenennietopbijvoorbeelddeverwerkingvanpersoonsgegevensvanwerknemersvanStichtingVincere-GGZ.HetPrivacyreglementisvastgestelddoordeRaadvanBestuurvanStichtingVincere-GGZ.
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 4 van 22
Lijstmetgebruikteafkortingen
AMK Advies-enMeldpuntKindermishandelingAMvB AlgemeneMaatregelvanBestuurAwbz AlgemeneWetBijzondereZiektekostenBW BurgerlijkWetboekCBP CollegeBeschermingPersoonsgegevensEHRM EuropeseHofvoordeRechtenvandeMensEVRM EuropeesVerdragvoordeRechtenvandeMensGGZ GeestelijkeGezondheidszorgHR HogeRaadWbp WetbeschermingpersoonsgegevensWgbo WetopdegeneeskundigebehandelingsovereenkomstWob WetopenbaarheidvanbestuurWvSr WetboekvanStrafrechtWetBopz WetbijzondereopnemingenpsychiatrischeziekenhuizenWetBig WetBeroepenindividuelegezondheidszorgEPD ElektronischPatiëntendossier
WaarinditPrivacyreglement‘hij’staat,kanook‘zij’wordengelezen.
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 5 van 22
InleidingUitdiversegezondheidswetten(Wgbo,wetBopz,wetBig)endeWetBeschermingPersoonsgegevens(WBP)vloeitdirectdeverplichtingvaneenprivacyreglementvoort,ondanksdatingeenvandezewettendeverplichtingletterlijkisopgenomen.Vooronzeinterneorganisatieishetvanbelangdatregelsmetbetrekkingtotpersoonsgegevensvastwordengelegd.Indebehandelklapperdiepatiëntontvangtwordtinhoofdlijnendeprivacyregelsweergegeven.Indienpatiëntenuitgebreidergeïnformeerdwillenworden,kunnenzijhetprivacyreglementvanStichtingVincere-GGZopvragen.DoormiddelvaneenPrivacyreglementverschaftStichtingVincere-GGZduidelijkheidaanpatiëntenoverdewijzewaaropStichtingVincere-GGZmethunpersoonsgegevensomgaat.Indezeinleidingwordthetwettelijkkader,waarbinnenmedewerkersvanStichtingVincere-GGZmetbetrekkingtotpatiëntgegevensdienentehandelen,geschetst.Ookwordendetechnischewaarborgen,waaraanderegistratievanpatiëntgegevensdienttevoldoen,kortuitgelegd.VervolgenswordenenkelebegrippenalsmedehoofdregelsvanhetPrivacyreglementuitgelegd.HetwettelijkkaderOpdeverwerkingvanpatiëntgegevensdoorStichtingVincere-GGZiseenaantalwettenvantoepassing.DewetopdeGeneeskundigeBehandelingsovereenkomst(Wgbo),dewetbijzondereopnemingenpsychiatrischeziekenhuizen(wetBopz),dewetberoepenindividuelegezondheidszorg(wetBig)endewetbeschermingpersoonsgegevens(Wbp)zijnmetnamevanbelang.Privacyisookonderdeelvaneengrotergoed,nl.deeerbiedigingvandepersoonlijkelevenssfeer.Ditisterugtevindenineenaantalanderewetten.Indezeparagraafwordendezekortbesproken.HetEVRM,degrondwetenWbpInartikel10vandeGrondwetendiverseinternationaleverdragen,waaronderartikel8vanhetEuropeseVerdragvoordeRechtenvandeMens(EVRM),wordthetrechtopeerbiedigingvandepersoonlijkelevenssfeererkend.Ditbetekentdatvoorkomenmoetwordendatdoorhetverwerkenenverstrekkenvangegevensdeprivacyvaniemandonaanvaardbaarwordtgeschonden.Opgrondvanhettweedeenderdelidvanartikel10vandeGrondwetmoetdewetgeverdaaromregelsstellenomtrenthetomgaanmetpersoonsgegevens.Teruitvoeringvanartikel10vandeGrondwetgeeftdeWbpspecifiekereregelsomtrentdebeschermingvanpersoonsgegevens.DeWbpbevatalgemenenormendiegerichtzijnopeenzorgvuldigeomgangmetpersoonsgegevenseneenaantalspecifiekenormenvoorbijzonderepersoonsgegevens,waarondernormenvoorgezondheidszorg.TechnischeenorganisatorischewaarborgenDeverplichtingtotbeveiligingstrektzichuittotalleonderdelenvanhetprocesvangegevensverwerking:vandeeersteregistratietotaandevernietigingvanhetdossierenallevormenvangegevensverwerking,duszowelschriftelijkalsdigitaleverwerkingvangegevens.Gegevensverwerkingviae-mailvraagtspeciale
aandachtenisdaaromvastgelegdineenapartprotocol1.Ditomzorgvuldigenveiliggebruikvan
persoonsgegevenstegaranderen.Naarmatedegegevenseengevoeligerkarakterhebben,wordenzwaardereeisengesteldaandebeveiligingvangegevens.AangezienStichtingVincere-GGZcontinuprivacygevoeligepersoonsgegevensverwerkt,dienendebeschermingsmaatregelenvanhoogniveautezijn.Hierbijkangedachtwordenaantechnischebeveiligingsmaatregelenindezinvanfysiekeafschermingvandeapparatuurdietoeganggeefttotdegegevensofbijvoorbeeldbeveiligingdoormiddelvanencryptie(versleuteling).InhetrapportvanhetCollegebeschermingpersoonsgegevens“Beveiligingvanpersoonsgegevens”wordendezetechnischeen
organisatorischemaatregelennaderuitgewerkt.2
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 6 van 22
1.DehoofdregelsvanhetPrivacyreglementDehoofdregelsvandeprivacybeschermingzijnduidelijk:verwerkingvanpersoonsgegevensdientzorgvuldigtegeschieden,iederepatiëntbehoortinprincipeinzagetehebbeninzijneigenpersoonsgegevensenverstrekkingvanpersoonsgegevensaanderdengeschiedtinbeginselalleennatoestemmingvandepatiënt.
ZorgvuldigegegevensverwerkingOmdewettelijkopgedragentakenendienstenbinnendegezondheidszorggoeduittekunnenvoeren,moetStichtingVincere-GGZgegevensvanpatiëntenverwerken.Onderverwerkingvangegevensvaltiederehandelingbinnendehulpverlening,waarbijgegevensvanpatiëntenwordenvastgelegdofuitgewisseldmetanderen,vanafdeeersteregistratievandehulpvraagtotaandevernietigingvanhetdossier.StichtingVincere-GGZdientzorgvuldigomtegaanmetdezepatiëntgegevensenmagnietméérgegevensverzamelenofverstrekkenaanderdendannoodzakelijkisvoordehulpverleninginhetkadervandeuitvoeringvaneenbepaaldewettelijketaaken/ofdienstbinnendegezondheidszorg.Ofandersgezegd:degegevensverwerkingmoetpassenbinnenhetdoelwaarvoordegegevensverzameldzijn.HetdoelendealgemenevoorwaardenvandeverwerkingvanpatiëntgegevensdoorStichtingVincere-GGZzijnvastgelegdinditreglement.2.Hoofdlijnen,afwegingenDehoofdregelsvanhetPrivacyreglementmogendanduidelijkzijn,indepraktijkwordtdat(vaak)anderservaren.Hetjuridischekadermetdaarindetalrijkeregelswordtoverhetalgemeendoorhulpverlenersalseenverzwarendefactorinhunwerkbeschouwdaangezienerzoveelnuanceringenmogelijkzijn.Juistindienuancesliggendeproblemenbijhetprivacyrecht.Dehoofdregelsmoetenwordentoegepastopconcretesituaties.Deomstandighedenvanhetgevalbepalendushoederegelstoegepastworden.Inzichtindeomstandighedenisdanooknoodzakelijkendieomstandighedenkunneningewikkeldzijn.Denkbijvoorbeeldaandeomgangmetnaastbetrokkenen.HetPrivacyreglementgeeftuitgangspuntenvoordebeantwoordingvanvragenophetgebiedvanprivacy.Hetisvervolgensaandehulpverleneromdehoofdregelstoetepasseneneenafwegingtemakenaandehandvandeomstandighedenvandesituatie.Hetisdaarbijvanbelangdatdeafwegingdieuiteindelijkwordtgemaaktombijvoorbeeldbepaaldegegevenswelofnietteverstrekken,goedwordtgeregistreerdinhetdossierzodatlaterookinzichtelijkiswaaromdiebeslissingtotstandisgekomen.Indieneenhulpverlenernaraadplegingvanditreglementtwijfeltoverhetaldannietverstrekkenvanpersoonsgegevens,kanhetbesteterughoudendwordengereageerd.OverlegmetdejuristvanStichtingVincere-GGZisinditgevalsterkaantebevelen.
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 7 van 22
Algemenebepalingen31. Begripsbepalingen
1.1 Persoonsgegevens
Elkgegevenbetreffendeeengeïdentificeerdeofidentificeerbarenatuurlijkepersooniseenpersoonsgegeven.BijnaallegegevensoverpersonendieStichtingVincere-GGZverwerktinhetkadervandeuitvoeringvandehulpverleningzijnaantemerkenalspersoonsgegevens.Zieartikel1suba.Allepersoonsgegevensdiedepatiëntbetreffenvallenonderdewerkingvanditreglement.
1.2 Welkepersoonsgegevensvallenonderhetdossier?
Persoonsgegevensvanpatiëntendienentewordenvastgelegdinhetelektronischpatiëntendossier(EPD).Hetdossierwordtopnaamvandepatiëntgeregistreerd.Somskanhetdossier,naastgegevensoverdepatiënt,ookgegevensbevattenoveranderepersonenuithetpatiëntsysteem(ouders,naastbetrokkenenetc.).ZowelgegevensinhetEPDalsdeschriftelijkestukken(bv.(verwijs-)brieven)waarinpersoonsgegevensoverdepatiëntverwerktzijn,behorentothetpatiëntendossier.Hierondervaltookdedecursus.Hetopslaanvanstukkenbuitenhetofficiëlepatiëntdossierbetekentnietdatdezegegevensnietonderditreglementzoudenvallen.Waarietsopgeborgenofopgeslagenwordtmaaktnietuit:alseendocumentpersoonsgegevensbevat,behoortdittothetdossierenvalthetstukonderdewerkingvanditreglement.
1.3 GezondheidsgegevensStichtingVincere-GGZlegtindedossiersdieinhetkadervandehulpverleningwordenaangelegd,nietalleengegevensvanpatiëntenvast,maarookvananderebetrokkenen.
1.4 Verwerkingvanpersoonsgegevens
Elkehandelingofelkgeheelvanhandelingenmetbetrekkingtotpersoonsgegevens,waaronderiniedergevalhetverzamelen,vastleggen,ordenen,bewaren,bijwerken,wijzigen,opvragen,raadplegen,gebruiken,verstrekkendoormiddelvandoorzending,verspreidingofenigeanderevormvanterbeschikkingstelling,samenbrengen,metelkaarinverbandbrengen,alsmedehetafschermen,uitwissenofvernietigenvantotpersoonherleidbaregegevens.
1.5 Bestand4
Elkgestructureerdgeheelvanpersoonsgegevens,ongeachtofditgeheelvangegevensgecentraliseerdisofverspreidisopeenfunctioneelofgeografischbepaaldewijze,datvolgensbepaaldecriteriatoegankelijkisenbetrekkingheeftopverschillendepersonen.
1.6 Verantwoordelijke5
Denatuurlijkepersoon,rechtspersoonofiederanderdieofhetbestuursorgaandat,alleenoftezamenmetanderen,hetdoelvanendemiddelenvoordeverwerkingvanpersoonsgegevensvaststelt.DeverantwoordelijkevandeverwerkingenbinnenStichtingVincere-GGZisdeRaadvanBestuur.
1.7 Bewerker
Degene die, ten behoeve van de verantwoordelijke, persoonsgegevens verwerkt zonder aan zijnrechtstreeksgezagtezijnonderworpen
6.
Stichting Vincere-GGZ maakt gebruik van externe bewerkers7 voor de verwerking van
patiëntgegevens.DaarnaastvindtookbewerkingvanpatiëntgegevensplaatsbinnenStichtingVincere-GGZ.
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 8 van 22
1.8 PatiëntEenpatiëntisdepersoondieisaangemeldeninbehandelingisbijStichtingVincere-GGZ.Indienditniethetgevalis,bestaaternamelijkgeenhulpverleningsrelatie.Inééndossierkunnengegevensvanverschillendepatiëntenvoorkomen,zoalsbijvoorbeelddegegevensvandepatiënt,maarbijvoorbeeldookvannaastendieookinbehandelingzijn.
1.9 Denaastbetrokkene
Naastdepatiëntisinditreglementsprakevandenaastbetrokkene.StichtingVincere-GGZstreefternaardatpatiënt,behandelaar/begeleiderennaastbetrokkeneenhechtesamenwerkingsdriehoekvormen.Daarwaarpatiëntengeennetwerkmeerhebben,wordtgeïnvesteerdinhetvindenofherstellendaarvan.
1.10 Dewettelijkvertegenwoordiger
Alseenmeerderjarigepatiënt(opgrondvandeWgboiseenpatiëntvan16jaarenoudervolwassen)wilsonbekwaamis,wordendeverplichtingenuitdeWgbonagekomenaaneendaartoeaangesteldewettelijkvertegenwoordiger.Ditkaniemandzijndiedoorderechterisaangewezen.Isdezeernietdanwordenverplichtingennagekomenjegensdeechtgenoot,degeregistreerdepartnerofanderelevensgezelvandepatiënt,tenzijdezepersoondatnietwenst,danwel,indienookzodanigepersoonontbreekt,jegenseenouder,kind,broerofzusvandepatiënt,tenzijdezepersoondatnietwenst.Tenopzichtevanminderjarigen:Dewettelijkvertegenwoordigerisdegenediehetgezaguitoefentovereenjeugdige.Indemeestegevallenwordthetgezaguitgeoefenddooreenoftweeouders.Alsdeouderszijnoverledenofontheven/ontzetuithetgezag,danoefenteenvoogdhetgezaguit.
1.11 Derde
Ieder,nietzijndedepatiënt,deverantwoordelijke,debewerker,ofenigpersoondieonderrechtstreeksgezagvandeverantwoordelijkeofdebewerkergemachtigdisompersoonsgegevensteverwerken
8.
1.12 Toestemmingvandepatiënt
Elkevrije,specifiekeenopinformatieberustendewilsuiting,waarmeedepatiënttoestemmingverleent
dathembetreffendepersoonsgegevenswordenverwerkt.1.13 HetCollegebeschermingpersoonsgegevens9
HetCollegedattottaakheefttoetezienopdeverwerkingvanpersoonsgegevens.
2. Reikwijdte10
Dit reglement is van kracht binnen Stichting Vincere-GGZ en is van toepassing op de geheel of gedeeltelijk
geautomatiseerde verwerking van patiëntgegevens, als mede de niet geautomatiseerde verwerking van
patiëntgegevensdieineenbestandzijnopgenomenofdiebestemdzijnomdaarintewordenopgenomen.
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 9 van 22
1Rechtmatigeverwerkingvanpersoonsgegevens3. Doelentaken1. HetdoelvanditreglementiseenpraktischeuitwerkingtegevenvandebepalingenvandeWet
BeschermingPersoonsgegevens,verdertenoemendeWBP.2. Ditreglementheeftbetrekkingopdeinterneverwerkingenenopdeinbijlage1genoemdeexterne
verwerkingenvanpersoonsgegevens11binnenStichtingVincere-GGZ.
4. Voorwaardenvoorrechtmatigeverwerking
1. Persoonsgegevenswordeninovereenstemmingmetditreglementopbehoorlijkeenzorgvuldigewijze
verwerktenalleenvoorwelbepaalde,uitdrukkelijkomschrevenengerechtvaardigdedoeleinden12;
2. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de
doeleindenwaarvoorzezijnverkregen13;
3. Persoonsgegevenswordenslechtsverwerktvoorzoverzij,geletopdedoeleindenwaarvoorzijworden
verzameldofvervolgenswordenverwerkt,toereikend,terzakedienendennietbovenmatigzijn14.
5. Verwerkingvanpersoonsgegevens15
Persoonsgegevensmogenslechtswordenverwerktindienaaneenvanonderstaandevoorwaardenisvoldaan:
a. depatiëntvoordeverwerkingzijnondubbelzinnigetoestemmingheeftverleend16;
b. ditnoodzakelijkisvoordeuitvoeringvaneenovereenkomstwaarbijdepatiëntpartijis,ofvoorhandelingendieopverzoekvandepatiëntwordenverrichtendienoodzakelijkzijnvoorhetsluitenvan
eenovereenkomst17;
c. ditnoodzakelijkisomeenwettelijkeverplichtingnatekomen18;
d. ditnoodzakelijkisterbestrijdingvanernstiggevaarvoordegezondheidvanpatiënt19;
e. ditnoodzakelijkisvoordevervullingvaneenpubliekrechtelijktaak20
f. ditnoodzakelijkismethetoogopbelangvandeverantwoordelijkeofvaneenderdeénhetbelangvan
degenevanwiedegegevenswordenverwerktnietprevaleert21.
BijStichtingVincere-GGZwordendeonderstaande
persoonsgegevensverwerkt:
ElektronischPatientenDossier(Careweb):
• Algemenepatiëntgegevens
• Financiëlepatiëntgegevens• Gezondheidsgegevens• Juridischegegevens(indienvantoepassing)• Bijzonderepersoonsgegevens(godsdienstoflevensovertuiging,landvanherkomst,gezondheid)
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 10 van 22
• Behandelplangegevens• Inschrijfgegevens• Anamnese/intakegegevens• Onderzoeksgegevens• Diagnostiekgegevens• Maatschappelijkegegevens• Dagelijksebehandelrapportages
2Verwerkingvanbijzonderegegevens(gezondheidsgegevens)22Gegevensbetreffendedegezondheidwordenslechtsverwerkt indieneruitdrukkelijk toestemming isvandepatiënt of indien dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in
rechte23.
Art.6 Verwerkingvanbijzonderegegevensdoor:
a Hulpverleners,instellingenofvoorzieningenindegezondheidszorgofmaatschappelijke
dienstverleningDe verwerking geschiedt door hulpverleners, instellingen of voorzieningen in de gezondheidszorg of
maatschappelijkedienstverleningvoorzoverdatmethetoogopeengoedebehandelingofverzorgingvande
patiënt, danwel beheer van de betreffende in stelling of beroepspraktijk noodzakelijk is. Dit geschiedtmet
uitdrukkelijketoestemmingvandepatiënt24.
b Verzekeraars
Deverwerkinggeschiedtopverzoekvandeverzekeraarzoverdatnoodzakelijkisvoordebeoordelingvanhet
doordeverzekeringsinstellingteverzekerenrisico(metuitdrukkelijketoestemmingvanpatiënt),danwelvoor
zoverdatnoodzakelijkisvoordeuitvoeringvaneenverzekeringsovereenkomst(wettelijkeplicht).
c Bijzonderegegevensalsaanvullingopgezondheidsgegevens
Het verbod om bijzondere gegevens te verwerken is niet van toepassing voor zover dat noodzakelijk is inaanvullingopdeverwerkingvanpersoonsgegevensbetreffendeiemandsgezondheidmethetoogopeengoede
behandelingofverzorgingvandepatiënt25.Ditgeschiedtmetuitdrukkelijketoestemmingvandepatiënt
26.
d Wetenschappelijkonderzoekenstatistiek27Zondertoestemmingvandepatiëntkunnentenbehoevevanstatistiekofwetenschappelijkonderzoekophet
gebiedvandevolksgezondheidaaneenandergegevensoverdepatiëntwordenverstrektindien:· hetvragenvantoestemming inredelijkheidnietmogelijk isenmetbetrekkingtotdeuitvoeringvanhet
onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de patiënt niet
onevenredigwordtgeschaad,of· het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan
worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden
verstrektdatherleidingtotindividuelenatuurlijkepersonenredelijkerwijswordtvoorkomen.Verstrekking
ispasmogelijkindien:
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 11 van 22
· hetonderzoekhetalgemeenbelangdient· hetonderzoeknietzonderdedesbetreffendegegevenskanwordenuitgevoerd,en· voorzoverdebetrokkenpatiënttegeneenverstrekkingnietuitdrukkelijkbezwaarheeftgemaakt.
eErfelijkheidsgegevens28Gegevensbetreffendeerfelijkeeigenschappenmogenslechtswordenverwerktwanneerdeverwerkingplaats
vindtmetbetrekkingtotdepatiëntbijwiedeerfelijkegegevenswordenverkregen,tenzij:· eenzwaarwegendgeneeskundigbelangprevaleertof· deverwerkingnoodzakelijkistenbehoevevanwetenschappelijkonderzoekenstatistiek.
3Organisatorischeverplichtingen7.GeheimhoudingsplichtDegegevenswordenalleenverwerktdoorhulpverlenersdieuithoofdevanambt,beroepofwettelijk
voorschrift,danwelkrachtenseenovereenkomsttotgeheimhoudingzijnverplicht29.
8. Bewaren
1. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de verwerkelijking van de
doeleindenwaarvoorzijwordenverzameldofvervolgenswordenverwerkt30;
2. Persoonsgegevensmogen langerwordenbewaarddannoodzakelijk voordeverwezenlijking vande
doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, wanneer zij
geanonimiseerdwordenofvoorzoverzeuitsluitendvoorhistorische,statistischeofwetenschappelijke
doeleindenwordenbewaard31;
3. StichtingVincere-GGZsteltvasthoelangdeopgenomenpersoonsgegevensbewaardblijven;
4. Debewaartermijnisvoormedischegegevensinbeginselvijftienjaren32,terekenenvanafhettijdstip
waaropzijzijnvervaardigd,ofzoveel langerals redelijkerwijsuitdezorgvaneengoedhulpverlener
voortvloeit33.
5. Opgrondvanartikel56 lid3BOPZwordendegegevensmetbetrekking totdebehandeling vande
patiëntbewaardgedurendevijfjarenvanafhettijdstipwaaropdebehandelinginhetkadervandewet,
de plaatsing in een instelling, danwel de terbeschikkingstelling is beëindigd (dus na ontslag uit de
instelling of na overlijden) of zoveel langer als voor de als redelijkerwijs uit de zorg van een goed
hulpverlenervoortvloeit.
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 12 van 22
9. Beveiliging
Artikel14:Beveiliging–plichtenvanverantwoordelijke,beheerderenbewerker1. De verantwoordelijke stelt in een beveiligingsplan34 richtlijnen op voor de technische enorganisatorischebeveiligingvandeverwerkingvanpersoonsgegevens.
35
2. Indiengebruikwordtgemaaktvandedienstenvaneenbewerker,legtdeverantwoordelijkedewederzijdseverplichtingenmetbetrekkingtotdeomgangmetpersoonsgegevensschriftelijkineenovereenkomstmetdiebewerkervast.Debewerkerverwerktovereenkomstigdiensovereengekomenverplichtingen.
10.Klachtenbehandeling36
Indiendepatiëntvanmeningisdatdebepalingenvanditreglementnietwordennageleefdofanderereden
heefttotklagen,kanhijzichwendentot:
1. Debinnendeinstellinggebodenmogelijkheidvoorklachtenbehandeling.
2. Deverantwoordelijke: DeRaadvanBestuurvanStichtingVincere-GGZ
Adresgegevens: Wilhelminastraat476131KMSittard
3.Degebodenmogelijkheidvooronafhankelijkeklachtenbehandeling:
StichtingKlachtencommissieGezondheidszorg
Postbus110692301EB
Leiden
4.HetCollegebeschermingpersoonsgegevens.OpgrondvandeWBPkandepatiënt
verzoekeneenonderzoekintestellenofdewijzevangegevensverwerkingdoor
StichtingVincere-GGZinovereenstemmingismetdeWetbescherming
persoonsgegevens37.
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 13 van 22
4Rechtenvandepatiënten
11a.Informatieverstrekking38
1. Indienbijdepatiëntdepersoonsgegevenswordenverkregen,deeltdeverantwoordelijkevoorhetmoment
vanverkrijgingdepatiëntmede:
· zijnidentiteit;· dedoeleindenvandeverwerkingwaarvoordegegevenszijnbestemd,tenzijdepatiëntdaarvanreeds
opdehoogteis39;
2. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet opde aard vande gegevens, de
omstandighedenwaaronder zijworden verkregenofhet gebruikdat ervanwordt gemaakt, nodig is om
tegenoverdepatiënteenbehoorlijkeenzorgvuldigeverwerkingtewaarborgen40;
3. Deverantwoordelijkeinformeertoverderechtenvandepatiëntenopwelkewijzedepatiëntdezerechten
kaninroepen.
11b.Informatieverstrekking41
1. Indien persoonsgegevens worden verkregen op een andere wijze42 dan bedoeld in art. 11a, deelt dehulpverlenerdepatiëntdeinformatiemede,tenzijdezereedsdaarvanopdehoogteis:
a. ophetmomentvanvastleggingvanhembetreffendegegevens,ofb. wanneerdegegevensbestemdzijnomtewordenverstrektaaneenderde,uiterlijkophetmoment
vandeeersteverstrekking· zijnidentiteit· dedoeleindenvandeverwerking.
2. Dehulpverlenerverstrektnadereinformatievoorzoverdatgeletopdeaardvandegegevens,deomstandighedenwaaronderzijwordenverkregenofhetgebruikdatervanwordtgemaakt,nodigisom
tegenoverdepatiënteenbehoorlijkeenzorgvuldigeverwerkingtewaarborgen43;
3. Heteerstelidisnietvantoepassingindienmededelingvandeinformatieaandepatiënt
onmogelijkblijktofeenonevenredigeinspanningkost.Indatgevallegtdehulpverlenerde
herkomstvandegegevensvast.4. Hetiseerstelidisevenminvantoepassingindiendevastleggingofdeverstrekkingbijofkrachtensdewetis
voorgeschreven. In dat geval dient de hulpverlener de patiënt op diens verzoek te informeren over het
wettelijkvoorschriftdattotdevastleggingofverstrekkingvandehembetreffendegegevensheeftgeleid.
12.Rechtopinzageenafschriftvanpersoonsgegevens44
1. De patiënt heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte
gegevens;2. Degevraagdeinzageen/ofhetgevraagdeafschriftzalzospoedigmogelijk,dochuiterlijkbinnenvierweken,
plaatsvindenrespectievelijkwordenverstrekt;3. Voordeverstrekkingvaneenafschriftmageenredelijkevergoedinginrekeningwordengebracht
45;
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 14 van 22
4. Recht op inzage of afschrift kanworden geweigerd voor zover dit noodzakelijk is in het belang van de
beschermingvandepersoonlijkelevenssfeervaneenander.
13.Rechtopaanvullingencorrectievanpersoonsgegevens46
1. Desgevraagdwordendeopgenomengegevensaangevuldmeteendoordepatiëntafgegevenverklaring
metbetrekkingtotdeopgenomengegevens;2. Depatiënt kanverzoekenomcorrectie vanophembetrekkinghebbendegegevens indiendeze feitelijk
onjuist,voorhetdoelvandeverwerkingonvolledigofnietterzakedienendzijn,danwelinstrijdmeteen
wettelijkvoorschrift,indeverwerkingvoorkomen;
3. StichtingVincere-GGZberichtdeverzoekerbinnenvierwekennaontvangstvanhetschriftelijkeverzoektot
correctieofaanvullingschriftelijkofdanwelinhoeverrehijdaaraanvoldoet.Eenweigeringismetredenen
omkleed;conformartikel454lid2WGBOgeldtdatStichtingVincere-GGZeenverzoektotaanvullinginhet
EPDnietweigert.4. StichtingVincere-GGZdraagtzorgdateenbeslissingtotcorrectiezospoedigmogelijkwordtuitgevoerd.
14.Rechtopverwijderingofvernietigingvanpersoonsgegevens471. Depatiëntkanverzoekenomvernietigingvanophembetrekkinghebbendegegevensindiendezefeitelijk
onjuist,voorhetdoelvandeverwerkingonvolledigofnietterzakedienendzijn,danwelinstrijdmeteenwettelijkvoorschrift,indeverwerkingvoorkomen;
2. StichtingVincere-GGZberichtdeverzoekerbinnenvierwekennaontvangstvanhetschriftelijkeverzoektotvernietigingschriftelijkofdanwelinhoeverrehijdaaraanvoldoet.Eenweigeringismetredenenomkleed;
3. StichtingVincere-GGZvernietigtdegegevensbinnendriemaandennaeendaartoestrekkendverzoekvandepatiënt,tenzijredelijkerwijsaannemelijkisdatdebewaringvanaanmerkelijkbelangisvooreenander
dandepatiënt,alsmedevoorzoverbewaringopgrondvaneenwettelijkvoorschriftvereistis48
15.Toestemmingsvereiste49Toestemmingiseenvandewettelijkerechtvaardigingsgrondenvoordeverwerkingvanpersoonsgegevens.Toestemmingmoetopdusdanigewijzewordenverkregendatergeentwijfelmogelijkisdatdegenewiensgegevenswordenverwerkthierdaadwerkelijkmeeinstemt.Alleentoestemmingdieexplicietisgegevenofdiedooreenactievehandelingisaangegeven,isgeldig.
16.Verstrekkenmedischegegevens
16a.Gegevensverstrekkingaanvertegenwoordiging50
1. Indiendepatiëntjongerisdantwaalfjaar,tredendeouders,diehetouderlijkgezaguitoefenen,danweldevoogdinplaatsvandepatiënt;
2. Hetzelfdegeldt voordepatiënt inde leeftijd van twaalf tot achttien jaarendieniet in staat kanwordengeachttoteenredelijkewaarderingvanzijnbelangenterzake;
3. Indiendepatiëntindeleeftijdscategorievantwaalftotzestienvalteninstaatistoteenredelijkewaarderingvanzijnbelangen,tredennaastdepatiëntzelfdiensoudersofvoogdop;
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 15 van 22
4. Een patiënt van 16 jaar en ouder die in staat is tot een redelijke waardering van zijnbelangenishandelingsbekwaamenkanzichlatenvertegenwoordigen;
5. Indiendepatiëntouderisdanachttienjaarennietinstaatkanwordengeachttoteenredelijkewaarderingvanzijnbelangenterzake,treedtinvolgordealshierweergegeven,alsvertegenwoordigervoorhemop:- indien de patiënt onder curatele staat of ten behoeve van hem hetmentorschap is
ingesteld:decuratorofmentor.- Indien er geenmentor of curator is, de persoondie depatiënt schriftelijk heeft
gemachtigd:depersoonlijkgemachtigde.- indien de persoonlijk gemachtigde ontbreekt of niet optreedt: de echtgenoot of andere
levensgezelvandepatiënt.- indiendezepersoondatnietwenstopontbreekt:eenkind,broerofzusvandepatiënt.
16b.GegevensverstrekkingaanderdenVerstrekkenvanmedischegegevensmagalleenalssprakeisvan:a. toestemmingvandepatiënt
Depatiëntdientvolledigtezijngeïnformeerdalvorenshijtoestemmingkangeven.Indiendepatiëntjongerisdan16jaar,kanzonderdienstoestemminginformatieverstrektwordenaandewettelijkvertegenwoordigersvandepatiënt,tenzijdoorhetuitwisselenvaninformatiemethennietdezorgvaneengoedhulpverlenerinachtkannemen.
ofb. informatie-uitwisselingmetdegenendiedirectbijdebehandelingzijnbetrokken
Eenhulpverlenermaginformatiedelenmetdegenendierechtstreeksbetrokkenzijnbijdeuitvoeringvandebehandelingsovereenkomstendiensvervanger,voorzoverdituitwisselenvaninformatienoodzakelijkisvoordewerkzaamheden.Detoestemmingvandepatiëntdaarvoorwordtverondersteld.Alsdepatiëntbezwaarmaaktdanmagerechtergeenmedischegegevenverstrektworden.
ofc. wettelijkvoorschrift
51
Ditgebeurtopgrondvandewetopdejeugdzorg,deWetBopzeningerechtelijkeprocedures.
ofd. conflictvanplichten
Eenconflictvanplichtenkanzichvoordoenwanneereenzwaarwegendbelangvandepatiëntofeenanderdandepatiëntdedoorbrekingvandegeheimhoudingsplichtrechtvaardigt,omdathetbewarenvanhetgeheimvoordepatiëntofdeanderernstignadeelofgevaaroplevert.Vaneenconflictvanplichtenisslechtsinzeeruitzonderlijkegevallensprake,hetmoetgaanomeennoodsituatie.Alhetmogelijkemoetgeprobeerdzijnomzonderdoorbrekingvandegeheimhoudingsplichthetprobleemoptelossen,terafwendingvangevaar.
ofe. wetenschappelijkonderzoek
Alleenonderbepaaldevoorwaardenkunnenmedischegegevensverstrektwordenvoorwetenschappelijkonderzoek.
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 16 van 22
6Overgangs-enslotbepalingen19.Wijzigingen,inwerkingtredingeninzagevanditreglement
1. WijzigingenvanditreglementwordenaangebrachtdoorStichtingVincere-GGZ.
Naam: R.Driessen,VoorzitterRaadvanBestuurNaamInstelling: StichtingVincere-GGZ
2. Dewijzigingeninhetreglementzijnvankrachtvierwekennadatzebekendzijngemaaktaanpatiënten.
3. Ditreglementisper1februari2016inwerkinggetredenenisbijStichtingVincere-GGZintezien.
4. Desgewenstkantegenkostprijseenafschriftvanditreglementwordenverkregen.
Ditreglementisvastgesteldop1februari2016doordeRaadvanBestuur.
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 17 van 22
1 Reglementvoorhetgebruikvannetwerk,e-maileninternetdoorwerknemersvanStichtingVincere-GGZ
2Rapportovertechnischeenorganisatorischemaatregelen:Blarkom,G.W.vanenBorking,drs.JJ.Beveiligingvanpersoonsgegevens,april2001,registratiekamer,achtergrondstudiesenverkenningen23.3 InhetreglementwordtinvoetnotenverwezennaarcorresponderendeartikelenindeWetbeschermingpersoonsgegevens.4 Het begrip bestand is van belang als criterium voor de afbakening van de reikwijdte van de WBP. Wat betreft de niet-geautomatiseerdeverwerkingenvallengestructureerdedossiersonderhettoepassingsbereikvandeWBP.5 Hetbegripverantwoordelijkedoeltopdegene,dieformeel-juridischdezeggenschapoverdeverwerkingheeft.Hetgaatomdegenediebevoegdisdoelenmiddelenvasttestellen.
6 Bijvoorbeeldeenexternsalarisadministratiekantoor.
7Ziebijlage.8 Bijvoorbeeldeenarts.
9 HetCBPzieteropgrondvandeWetbeschermingpersoonsgegevensalsonafhankelijkeinstantieoptoedatpersoonsgegevenszorgvuldigwordengebruiktenbeveiligd,endatdeprivacyvanburgersookindetoekomstvoldoendegewaarborgdblijft.HetCBPadviseertderegering,toetstgedragscodes,doetonderzoeknaartechnologischeontwikkelingen,geeftvoorlichting,behandeltklachten,beoordeeltverwerkingenvanpersoonsgegevens,entreedtzonodighandhavendop.HetCBPonderhoudtcontactenmetallerleiorganisatiesindesamenleving.HetCBPstimuleertdeeigenverantwoordelijkheidvanburgersenorganisatiesvooreenadequateprivacybeschermingenondersteuntdaarbijzelfreguleringbinnendewettelijkekaders.(www.cbpweb.nl)
10Artikel2WBP11 Bijvoorbeeld wachtlijstregistratie, personalia en medische gegevens van patiënten en patiënten, observatielijsten, financiële enadministratievegegevens,klachtenregistratie,archiefregistratie,personeelsgegevens,etc.12 Artikel6en7WBP.
13 Artikel9WBP;bijdebeoordelingofeenverwerkingonverenigbaarismethetdoelmoetmenrekeninghoudenmetdeverwantschaptussendoelvanverwerkingenhetdoelwaarvoordegegevenszijnverkregen,metdeaardvandegegevens,metdegevolgenvandeverwerkingvoorbetrokkene,metdewijzewaaropdegegevenszijnverkregenendematewaarinjegensbetrokkenepassendewaarborgenzijngenomen.14 Artikel11WBP.15 Artikel8WBP.
16 Alsdeverantwoordelijkedeondubbelzinnigetoestemmingvandebetrokkenemoetverkrijgenmoetelketwijfelzijnuitgeslotenoverdevraagofdebetrokkenezijntoestemmingheeftgegevenenvoorwelkeverwerkingendetoestemmingisgegeven.Detoestemmingkanblijkenuitwoordofgedragenhoeftnietschriftelijktewordenverkregen.Weldientdebetrokkenealvorenstoestemmingtegevengoedgeïnformeerdtezijn.17 BijvoorbeeldeenbehandelingsovereenkomstindezinvandeWGBO(art.7:466BW)18 Deverantwoordelijkemoetonderworpen zijnaaneenwettelijkeplichtbijvoorbeelddewettelijk verplichtepersoonsregistratie vanwerknemerso.g.v.Wetstimuleringarbeidsdeelnameminderheden.
19 Eriseendringendemedischenoodzaakdegegevensvandebetrokkeneteverwerken;erisbijvoorbeelddirectmedischehulpnodigendebetrokkeneisbuitenbewustzijn.
20HierbijdienenookdeverantwoordelijkeninhetkadervandewetBopztewordenbetrokken.21 Ditiseenalgemenerestbepaling:eenrechtvaardigbelangvandeverantwoordelijkewordtaanweziggeachtinhetgevaldatdedesbetreffendeverwerkingnoodzakelijkisomzijnregulierebedrijfsactiviteitenteverrichten.Voorbeeld;eenschadeverzekeraardientvooreenschadeclaimnaastdegegevensvanzijnpatiëntookdegegevensvandetegenpartijenvangetuigentekunnenverwerken,tenzijnabelangenafweginghetbelangvandetegenpartijprevaleert.
22 Deverwerkingvanpersoonsgegevensbetreffendeiemandsgodsdienstoflevensovertuiging,ras,politiekegezindheid,gezondheid,seksuelelevenisopgrondvanartikel16WBPverboden.Ookstrafrechtelijkeenaanverwantegegevensbehorentotdezecategorie.Deartikelen17totenmet23bepalenonderwelkevoorwaardenontheffingwordtverleend.Voorgezondheidsgegevensisdatinartikel21vastgelegd.23 Bv.rechtvandeaangeklaagdeopeeneerlijkproces
24Artikel23WBP.25 Artikel21lid3WBP.26 Artikel23WBP.27 Ditonderdeelisgebaseerdopartikel7:458BW(WGBO).DeWGBObiedtmeerbeschermingenheeftdaarmeevoorrangophetbepaaldeinartikel23lid2WBP,dateveneensoverwetenschappelijkonderzoekgaat.28 Artikel21,lid4WBP.29 Art9lid4WBP.Eenvoorbeeldisdegeheimhoudingsplichtvandehulpverlenerneergelegdinart.457WGBO.30 Art.10WBP.
31Art.10lid2WBP32 Indepraktijkwordtderegelgehanteerddatdedossiers30jaarwordenbewaard,vooruitlopendopnieuwewetgeving;ditopadviesvandeKNMG(september2010).33 Art.454lid3WGBOgeefteenspecifiekeinvullingvoordebewaartermijnvanmedischegegevensDebewaartermijnvangtaanophettijdstipdatdebehandelingisafgerond.34 BijStichtingVincere-GGZishetprotocolInformatiebeveiligingvantoepassing.35Artikel13WBP;passendindezinvaninovereenstemmingmetdestandvandetechniek;tevensimpliceertpassendeproportionaliteit:hoegevoeligerdegegevens,destezwaarderdeeisendiewordengesteldaanbeveiliging.36 Hoofdstuk8vandeWBPheeftbetrekkingopderechtsbescherming.Erkanopbepaaldebeslissingeninberoepwordengegaanbijde(bestuurs-)rechter.Ziedeartikelen45totenmet50WBP.
37Art.60WBP.38 Art.33WBP39 Dezealgemenekennisgevinggeschiedtdoorhetuitreikenvaneeninformatiebrochurewaarinwordtaangegevenvoorwelkdoeldeinstellingpersoonsgegevensverwerkt.
40 Bijhetaangaanvaneenbehandelingsovereenkomstishetvanzelfsprekenddatdepatiëntaandeartspersoonsgegevensoverlegt.Wanneerervoldaanwordtaandeinformatieplichtvandearts(art.448enaanhettoestemmingsvereistevandepatiënt(450WGBO)is
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 18 van 22
deinformatieverstrekkinggewaarborgd.Behalvedemedischegegevensindearts-patiëntrelatiemoetdeverantwoordelijkedepatiëntinformerenoveralleverwerkingenvanzijnpersoonsgegeven).DitgeschiedtbijStichtingVincere-GGZdooreeninformatiebrochure.41 Art.34WBP42 Denkhierbijaangegevensverkregenvannaastbetrokkenenengegevensverkregenihkvbemoeizorg.
43Bijhetaangaanvaneenbehandelingsovereenkomstishetvanzelfsprekenddatdepatiëntaandeartspersoonsgegevensoverlegt.Wanneerervoldaanwordtaandeinformatieplichtvandearts(art.448enaanhettoestemmingsvereistevandepatiënt(450WGBO)isdeinformatieverstrekkinggewaarborgd.Behalvedemedischegegevensindearts-patiëntrelatiemoetdeverantwoordelijkedepatiëntinformerenoveralleverwerkingenvanzijnpersoonsgegeven).DitgeschiedtbijStichtingVincere-GGZdooreeninformatiebrochure.44 Artikel35WBPen456WGBO.45 HetbesluitkostenvergoedingWBP(Besluitvan13juni2001totvaststellingvandevergoedingvandekostenalsbedoeldindeartikelen39en40vandeWetbeschermingpersoonsgegevens)geefthiervoorrichtlijnen.
Art.39lid1:Aaninzageinhetdossierzijngeenkostenverbonden.Dekostenvoorhetverstrekken(papierofcd-rom)bedragen:€0,23perbladzijdemeteenmaximumvan€4,50vooreenafschriftvanminderdan100pagina’s.Bovende100pagina’s(papier)zijndekosten€22,50totaal.46 Artikel454,tweedelidWGBOenartikel36WBP47 Artikel455WGBOenartikel36WBP(deWBPspreektvanverwijderen)48 Art.56lid3wetBopz
49StrengereuitwerkingvanbegripToestemminguitWBPdoorEuropeseprivacytoezichthouders,14-07-2011,www.cpbweb.nl.50 Dehiergenoemdecategorieënvanmeerderjarighandelingsonbekwamenenminderjarigeniseensamenvoegingvanart.450lid2WGBO(toestemmingsvereistebijminderjarigen)enart.465WGBO(vertegenwoordigingvandewilsonbekwamepatiënt)Artt.26,39,45wetBopz,MeldcodeKindermishandeling,2008,KNMG-publicatie,Handreikinggegevensuitwisselingindebemoeizorg,2007,KNMG-publicatie.
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 19 van 22
Bijlage1behorendbijhetReglementverwerkingvangegevensvanpatiëntenbinnenStichtingVincere-GGZ,noot7.UitbestedingaaneenderdeexternepartijVoordeuitbestedingaaneenderdeexternepartijdie(delenvaneen)verwerkingvangegevensvanpatiënten
uitvoeren,isonderstaandeprocedurevankracht.Alvorens de verwerking kan worden uitbesteed, dient door Stichting Vincere-GGZ en de bewerker een
overeenkomst tezijnondertekend,waarin isvastgelegdonderverantwoordelijkheidvanwelke functionaris(-
sen)degegevensuitwisselingplaatsvindt.Ookvastgelegdmoetzijnwelkemaatregelen(*)eraanbeidekantenzijngenomenomdepersoonsgegevenste
beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking, wat de duur van de
gegevensuitwisselingisenwanneerenopwelkewijzedegegevenswordenvernietigd.StichtingVincere-GGZ
blijft de verantwoordelijke voor de gegevens. Het gaat in de meeste gevallen om identificeerbare
persoonsgegevens.DaaromdienendezegegevenstijdensdeuitwisselingzoweldoorStichtingVincere-GGZals
doordebewerkertewordenversleuteld.Alsversleutelingvangegevensnietmogelijkis,zullendegegevensop
eenandereveiligemaniermoetenwordenverzonden.De functioneelbeheerdervaneen informatiesysteem
dientervoortezorgendatdeuitwisselingvandegegevensopeenveiligewijzeplaatsvindt.
(*)Beveiligingsmaatregelenbestaanuit:Organisatorischemaatregelen:datzijnmaatregelenvoordeinrichtingvandeorganisatieenvoorhetverwerken
vanpersoonsgegevenszoals:- toekenningverantwoordelijkhedenenbevoegdheden- instructies/trainingen- calamiteitenplan
Technischemaatregelen:datzijnlogischeenfysiekemaatregeleninenrondomhetinformatiesysteemzoals:
- toegangscontrole- vastleggenvangebruikvanback-upsen- eventueelvoorzieningendieondernaamPrivacyEnhancingTechnologie(PET)bekendstaan(ditzijn
technischverankerdemaatregelenterbeschermingvandeprivacy).
DoelvandeverwerkingenDedoelstellingvandeafzonderlijkeverwerkingvanpersoonsgegevensisalsvolgt:
ElektronischPatientenDossier(Careweb)Dehoofddoelstellingvandezeverwerkingis:· ondersteuningeninstandhoudingvanzorgprocessenenvastleggenvanproductiemetbetrekkingtotzorg
aanpatiënten;
Denevendoelstellingvandezeverwerkingzijn:· bevorderenvandekwaliteitvandezorg;· vastleggenbeschikbaarstellenvaninformatiet.b.v.eendoelmatigbeleidenbeheervandeinstelling;· voldoenaanwettelijkeverplichtingenenvoorschriften;· ondersteuningbijwetenschappelijkonderzoek;
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 20 van 22
· ondersteuningbijintercollegialetoetsing;· ondersteuningbijagenderingpatiëntencontactenvoorhulpverleners;· ondersteuningbijdeelektronischedossiervoering.
IndeverwerkingopgenomengegevensInhetalgemeenzullenalleendiegegevenswordenopgenomendienoodzakelijkzijnbijdebehandelingvande
patiëntenendeadministratieveverwerkingvandebehandeling.Onderstaandeopsommingiseenindicatievandegegevensdieindeverwerkingenwordenopgenomen.
· Algemenepatiëntgegevens· Financiële-enadministratievegegevens· Gezondheidsgegevens· Juridischegegevens(indienvantoepassing)· Bijzonderepersoonsgegevens(godsdienstoflevensovertuiging,landvanherkomst,gezondheid)· Behandelplangegevens· Inschrijfgegevens· Anamnese/intakegegevens· Onderzoeksgegevens· Diagnostiekgegevens· Maatschappelijkegegevens· DagelijksebehandelrapportagesGegevensuitwisselingmetexterneinstantiesHetisberoepsbeoefenarenniettoegestaanpersoonsgegevenspere-mailteversturenbuitenStichtingVincere-
GGZ.Uitwisselingvangegevensmetexterneinstantiesisveiligwanneerditschriftelijkofperfaxgebeurt.
DeWBPbepaaltdatdeuitwisselingvangegevensslechtsvolgensstrikteregelsmagplaatsvinden,metnamewat
betreftdeprivacyendebeveiligingvandeuittewisselengegevens.BinnenStichtingVincere-GGZvindtuitwisselingvanvertrouwelijkeofoppersonenherleidbaregegevens(**)
met externe instanties plaats. Hierbij wordt, uitgaande dat er een grondslag (***) is om de gegevens te
verstrekken, de ontvangende derde partij de nieuwe verantwoordelijke voor de gegevens. Er hoeft geen
overeenkomst tewordenafgeslotenhoedenieuweverantwoordelijkemetdegegevensomgaat.Denieuwe
verantwoordelijkemoetzichhoudenaanderegelsvandeWBPenishiervoordanzelfverantwoordelijk.Onder
nieuweverantwoordelijkevaltbijvoorbeelddeCIZ-medewerker(centraleindicatiestellingzorg)diebetrokkenis
bijeenindicatiestellingvaneenpatiëntvanStichtingVincere-GGZ.
(**)Hetbetrefthierpersoonsgegevens(zoalsnaam,adres,woonplaats,geboortedatum,verzekeringsgegevens,financiëlegegevens,medischegegevensenz.)vanpatiënten.Hetkunnenzowelelektronischalsoppapiervastgelegdegegevensbetreffen.(***)RechtmatigegrondslagDeverwerkingvanpersoonsgegevens(iselkehandelingdiemetpersoonsgegevensverrichtkanworden)moet
berusten op een in de WBP genoemde grondslag, zoals: toestemming, overeenkomst, wettelijke plicht,
gerechtvaardigd belang van de organisatie. Voor bijzondere gegevens (godsdienst, ras, politieke gezindheid,
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 21 van 22
gezondheid, seksuelegeaardheid, lidmaatschapvaneenvakvereniging, strafrechtelijkegegevensengegeven
overonrechtmatigofhinderlijkgedragwaarvooreenverbodisopgelegd)geldenstrikterenormen(zieart.16
t/m23vandeWBP).
Bovenstaandemoetinachtgenomenwordendooriederemedewerkerdiebetrokkenisbijdeuitwisselingvan
gegevens(zoalsdehoofdbehandelaars,artsenofbehandelaren).Maarmetnamedefunctioneelbeheerdersvan
deoperationeleinformatiesystemenbinnenStichtingVincere-GGZ,dieperiodiekgegevensmoetenuitwisselen
/verstrekkenuithetinformatiesysteem,hebbeneenverantwoordelijkerolindeze.
Instanties/personenwaarmeegegevenswordenuitgewisseldAanonderstaandeinstanties/personenwordenpersoonsgegevensverstrektc.q.uitgewisseld:· Diverseapotheken,tenbehoevevandeverstrekking/leveringvanmedicijnen–opbasisvandeWgbo
· TelePsyt.b.v.diagnostiek
· Tetrat.b.v.medicatieverstrekking
· InfinitCaret.b.v.ROM· Justitie(ParketenRechtbank)–opbasisvandewetBopz· Medebehandelaarszoalshuisartsen,medischespecialistenenz.–opbasisvandewetBig,Wgbo· Betrokkenhulpverleners,verwijzers,nazorginstellingenenanderepersonenmetinstemmingvanpatiënt–
opbasisvandewetBigenWgbo· Klachtbehandelingenklachtregistratie–opbasisvandeWKCZendewetBopz· InspectievoordeGezondheidszorg–opbasisvandeKwaliteitswetZorginstellingen· Incidentenregistratie. Centrale en decentrale commissie patiëntveiligheid (incidenten). Deze gegevens
wordendermategeaggregeerddatzeredelijkerwijsnietmeertotindividuelenatuurlijkepersonenzijnte
herleiden–opbasisvandeKwaliteitswetZorginstellingen· DiverseZorgverzekeraars,teneindedefinanciëleafhandelingvandebehandelingmogelijktemaken-op
basisvandeZorgverzekeringsweten/ofAWBZ· CentraleIndicatiestellingZorg–opbasisvandeAWBZ· Wachtlijstregistratie–opbasisvandeAWBZ· DBC-GGZOnderhoud–opbasisvandewetmarktordeninggezondheidszorg· Stadsdeelgemeentenopbasisvansamenwerkingscontracten· Bemoeizorgpartners(politie,uitkeringsinstantie,woningbouwvereniging,ggd,gemeente,
nutsbedrijven)–opbasisvantoestemming,enhandreikinggegevensuitwisselingindebemoeizorg,2007· UWVinhetkadervandeSUWI-wet· Bureau Jeugdzorg en de Raad voor de Kinderbescherming (op basis van de uitvoering Meldcode
kindermishandeling),Wetopdejeugdzorg.
Privacyreglement Wijzigingsdatum 1 februari 2016 Documentnr. P4010
Proceseigenaar Bestuur Pagina 22 van 22
Bijlage2BewarenvandossiersDemanierwaaropbijStichtingVincere-GGZpapierenpatiëntengegevenswordenopgeslagenenbewaard,kanpersector/locatieverschillen.Eenorganisatiemoettechnische,organisatorischeenelektronischevoorzieningentreffen,zegtdewet.Eenhulpverlenermoeteenpatiëntdaarookdesgevraagdoverkunneninlichten.Elektronischedossiers:Ookhiermoetdeorganisatievoldoenaantechnische,organisatorischeenelektronischevereisten.OmtoegangtekrijgentothetEPDdientautorisatietewordenverkregen.Perfunctiewordtbekekenwordenwiewaarvoorgeautoriseerdwordt.BinnenStichtingVincere-GGZwordthiervooreenautorisatiematrixgehanteerd.Papierendossiers:Watbetekenendeverplichtevoorzieningen:Denkaanmaatregelenzoalseenafsluitbaredossierruimtemettoegangsbeveiliging,ofcontroletoegangmetwachtwoordbv.BewaartermijnHoofdregelNaastdeverplichtingeendossierbijtehouden,rustopdehulpverlenerdeverplichtingeendossiertebewaren.Bewarenvanhetdossierhoudtonderandereindattoegangtothetdossiermogelijkmoetzijnenblijvenvoordaartoegeautoriseerdepersonen.DeKNMGadviseerdeinfebruari2010omvooruitlopendopeenbewaartermijnvan30jaar,hieraloptesturen.StichtingVincere-GGZsluitzichhierbijaan.Naafloopvandebewaartermijnmoetendegegevensinbeginselvernietigdworden.Uitzonderingenopdebewaartermijn:
a. Als dat redelijkerwijs voortvloeit uit de zorg van een goed hulpverlener is langer bewarenmogelijk.
b. Wettelijkeplicht:Medischekeuringsgegevens–gegevensbewarenzolanghetnoodzakelijkisvoorhetdoelwaarvoordekeuringisgedaan.
c. Bopz-gegevens:wettelijkebewaartermijnvan5jaarnabeëindigingvandegedwongenopname.
d. Verzoekvandepatiënt:depatiëntkanverzoekendegegevenslangertebewarendan30jaar,maarhijkanookomvernietigingverzoeken,waarbijdebewaartermijnkorterdan30jaarwordt.Bopz-gegevenskunnenechternietvernietigdwordenalsde5jaartermijnnognietisverstreken.
e. Geanonimiseerde gegevens kunnen langer worden bewaard, i.h.k.v. wetenschappelijkonderzoek.
f. Belangvananderen:verdedigingvoorjuridischeprocedures,erfelijkeaandoeningen.Bewaartermijnvandedocumentendienietinhetdossiermogenwordenbewaard:
- Correspondentieoverschadeclaimsentuchtzaken:15jaar.KanwordenbewaardineenWord-bestandopdeafdeling.- Correspondentieoverklachten:5jaar.Wordtbewaarddoorklachtenfunctionaris.- Incidentmeldingen:2jaar.WordenelektronischbewaarddoorVIM-commissie.