Privacyreglement AVG

Vooraf

De privacybescherming van onze cliënten heeft voor ons grote waarde. Wij doen er dan ook alles aan om deze privacy te beschermen en zorgvuldig om te gaan met de gegevens van onze cliënten. Als wij gegevens met andere partijen delen, bijvoorbeeld vanwege de vergoeding van de zorg door gemeenten of verzekeraars, zorgen we dat dit bekend is bij cliënten en binnen de wettelijke kaders gebeurt. Wij hebben ook een uitzondering op de privacybescherming van onze cliënten. En dat is wanneer de veiligheid van cliënten, hun netwerk of de samenleving acuut in gevaar is. Wij zien het in dat geval als onze professionele verantwoordelijkheid om alles te doen om deze situatie te keren. Overigens voorziet de wetgeving op deze uitzondering.

Onze organisatie vindt principieel dat dossiers behoren aan de cliënt zelf en dat wij onze dossiervorming in alle openheid met de cliënt moeten delen.

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) / Nederlandse Uitvoeringswet AVG (NUAVG) van toepassing, die regels bevat ter bescherming van (natuurlijke) personen in verband met de verwerking van hun gegevens.

Begripsbepalingen

  • Bestand Elk gestructureerd geheel van persoonsgegevens
  • Betrokkene Wettelijke aanduiding van degene, over wie persoonsgegevens in de persoonsregistratie zijn opgenomen, i.c. de cliënt. In dit reglement wordt de term cliënt gebruikt. Als de cliënt een wettelijk vertegenwoordiger heeft, kunnen de rechten van cliënt ingevolge dit reglement door de wettelijk vertegenwoordiger worden uitgeoefend.
  • Wettelijk vertegenwoordiger De persoon die wettelijk bevoegd is om beslissingen te nemen voor iemand die dat zelf niet kan. Bij minderjarigen zijn de ouders met het ouderlijk gezag de wettelijke vertegenwoordigers. Als de ouders ontheven zijn van ouderlijk gezag en er sprake is van voogdij, dan is de voogd de wettelijk vertegenwoordiger. Bij volwassenen zijn curatele, beschermingsbewind en mentorschap verschillende maatregelen om mensen te beschermen die zelf niet goed beslissingen kunnen nemen. Bijvoorbeeld als gevolg van een verstandelijke beperking, verslaving of dementie.
  • Derde Elke persoon of instantie die geen betrokkene, verantwoordelijke, verwerker, of een persoon is die namens de verantwoordelijke of de verwerker persoonsgegevens verwerkt.
  • Elektronisch dossier Het digitale systeem dat ingezet wordt voor de verwerking van cliëntgegevens. Gegevens worden centraal bewaakt en beveiligd, er is geen lokale opslag van elektronische gegevens.
  • Cliëntportaal Het digitale systeem dat ingezet wordt om gegevens uit te wisselen tussen de zorgorganisatie enerzijds en de cliënt/familie of wettelijke vertegenwoordigers anderzijds en die hen in staat te stelt hun zorgplan en (medische) gegevens in te zien.
  • Medewerker Degenen die binnen de zorginstelling betrokken zijn bij de zorg voor de cliënt en toegang hebben tot de persoonsgegevens indien en voor zover dat noodzakelijk voor de uitvoering van hun werkzaamheden.
  • Ontvanger Een persoon of instantie, al dan niet een derde, aan wie persoonsgegevens worden verstrekt
  • Persoonsgegeven Een gegeven dat herleidbaar is tot een individuele natuurlijke persoon.
  • Verstrekken van gegevens Het bekend maken of ter beschikking stellen van persoonsgegevens die in de persoonsregistratie zijn opgenomen.
  • Verwerker Een natuurlijke persoon of rechtspersoon die/dat ten behoeve en in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder onder diens rechtstreeks gezag te staan. Kyan Baaz is een verwerker voor de aangesloten zorginstellingen.
  • Verwerking Alles wat we met persoonsgegevens doen (een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens);
  • Verwerkingsverantwoordelijke Een natuurlijke persoon of rechtspersoon die/dat bepaalt hoe en waarom er persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke is de (rechts)persoon, i.c. de zorginstelling, die de verantwoordelijk is voor het naleven van de privacywetgeving en dit reglement.

Reikwijdte reglement

Dit reglement is van toepassing op de papieren en/of geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens van cliënten en hun netwerk van de bij Kyan Baaz aangesloten zorginstellingen.

Plichten van de zorginstelling

De zorginstelling zorgt ervoor dat de verwerking van persoonsgegevens voldoet aan de volgende beginselen:

  • De verwerking is rechtmatig, behoorlijk en transparant
  • De verwerking is gebonden aan de benoemde doeleinden
  • De gegevens zijn toereikend, ter zake dienend en beperkt tot het noodzakelijke
  • De gegevens zijn juist
  • De gegevens worden niet langer bewaard dan nodig
  • De gegevens zijn goed beveiligd en worden zorgvuldig en vertrouwelijk behandeld.

De zorginstelling geeft uitvoering aan deze beginselen door:

– (De uitvoering van) dit privacyreglement

– Het bijhouden van een register van verwerkingsactiviteiten

– Het aanstellen van een functionaris voor gegevensbescherming (bij Kyan Baaz)

– Passende beveiligingsmaatregelen te treffen van organisatorische en technische aard om de persoonsgegevens te beschermen tegen verlies of aantasting en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.

– Ingeval van een datalek het protocol Datalekken uit te voeren

Legitimiteit gegevensverwerking

Grondslagen

Persoonsgegevens mogen alleen worden verwerkt voor gerechtvaardigde, in de wet genoemde, doelen. Iedere verwerking van persoonsgegevens door de zorginstellingen is minimaal op één van onderstaande wettelijke grondslagen gebaseerd:

  • De gegevensverwerking is noodzakelijk voor de uitvoering van de zorgovereenkomst tussen zorginstelling en cliënt of voor het sluiten van de overeenkomst.
  • De gegevensverwerking is noodzakelijk om een wettelijke verplichting van de zorginstelling na te komen.
  • De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de zorginstelling of een derde, tenzij dat belang strijdig is met het belang van degene van wie de gegevens worden verwerkt en dát belang voorgaat.
  • De gegevensverwerking is noodzakelijk in verband met een vitaal belang van cliënt (deze is juridisch of fysiek niet in staat toestemming te geven).
  • De cliënt/ de vertegenwoordiger(s) heeft ondubbelzinnige toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden.

Het Burgerservicenummer (BSN) mogen (en moeten) de zorginstellingen gebruiken op basis van de Wet gebruik Burgerservicenummer in de zorg

Opgenomen gegevens

De persoonsregistratie kan ten hoogste de volgende gegevenscategorieën bevatten:

  1. Algemene gegevens (inclusief leefsituatie en gegevens gezin/netwerk), personalia en identificatiegegevens
  2. Middelen- en maatregelenregistratie
  3. Medische/paramedische gegevens
  4. Pedagogische/psychologische gegevens
  5. Financiële/administratieve gegevens
  6. Gegevens van strafrechtelijke aard

Bewaartermijn van opgenomen gegevens

We bewaren persoonlijke informatie alleen zolang als nodig is voor de doeleinden waarvoor het is verzameld en in overeenstemming met de geldende wet- en regelgeving. We hanteren passende procedures voor het verwijderen of anonimiseren van informatie wanneer deze niet langer nodig is.
Bewaartermijn jeugd: 20 jaar, Wmo: 15 jaar, Wlz en Zvw: 20 jaar.

Toegang tot en Verstrekking van persoonsgegevens

De zorginstelling mag niet zomaar persoonsgegevens doorgeven aan personen of andere organisaties. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met de doeleinden waarvoor de gegevens zijn verzameld.

Bijzondere categorieën persoonsgegevens, waaronder gegevens over de (psychische) gezondheid van de cliënt, vallen onder de geheimhoudingsplicht van de betrokken hulpverlener(s) en worden in principe niet aan anderen doorgegeven. Onderstaand is aangegeven wanneer dat wél mag.

De zorginstelling registreert zowel welke medewerkers binnen de eigen instelling (en bij eventuele verwerkers) toegang hebben gehad tot het cliëntdossier, als aan welke derden bijzondere categorieën persoonsgegevens zijn verstrekt. Cliënt kan aan de zorginstelling een overzicht vragen van de personen die toegang hebben gehad tot zijn gegevens.

 

Toegang tot persoonsgegevens

Binnen de zorginstelling waarmee cliënt een zorgovereenkomst heeft gesloten, hebben toegang tot het cliëntdossier degenen die direct bij de zorg zijn betrokken en hun vervangers. Ook andere medewerkers van de zorginstelling, zoals officemanager, directeur of medewerkers van de backoffice (financiën, boekhouding, zorgadministratie, kwaliteitsfunctionarissen ) hebben toegang tot cliëntgegevens maar alléén voor zover dit noodzakelijk is voor hun werkzaamheden (administratie, beheer van de instelling, genereren managementinformatie , declaratie van de zorg, beoordelen kwaliteit e.d.)
Kyan Baaz verwerkt deze gegevens uitsluitend binnen de kaders (gegevenscategorieën, grondslagen en doeleinden)

Verstrekking van gegevens aan derden

Bijzondere categorieën persoonsgegevens van cliënten kunnen alleen buiten de instelling worden verstrekt:

  • Als de cliënt daarvoor toestemming heeft gegeven aan de hand van de toestemmingsformulier van Kyan Baaz. Welke tijdens de opstart fase word gedeeld met client en/of wettelijke vertegenwoordiger, Dit geldt in de regel als gegevens worden verstrekt aan personen of instanties die direct betrokken zijn bij de zorgverlening aan de cliënt. Er worden alleen gegevens verstrekt voor zover noodzakelijk voor de uitoefening van hun taak. Tot betrokken hulpverleners buiten de instelling wordt ook gerekend de lokale toegang van de gemeente als deze bij de uitvoering van de zorg betrokken is;
  • Op basis van een wettelijk voorschrift, bijvoorbeeld op basis van de Wet Maatschappelijke Ondersteuning, de Wet langdurige zorg, de Zorgverzekeringswet of de Jeugdwet. Als de cliënt niet wil dat er voor de financiering van de zorg inhoudelijke gegevens met de gemeente of zorgverzekeraar worden gedeeld, meldt deze dat bij de zorginstelling (opt-out regeling). De wettelijke voorschriften omvatten ook wettelijke meldrechten, zoals de mogelijkheid voor zorgverleners om (liefst met maar indien noodzakelijk zonder toestemming van cliënt) een melding te doen bij Veilig Thuis of de Verwijsindex jeugd;
  • Bij een ‘conflict van plichten’. Een conflict van plichten ontstaat als het bewaren van het beroepsgeheim ernstig nadeel of gevaar oplevert voor cliënt of iemand anders. Van een conflict van plichten is alleen in uitzonderlijke gevallen sprake, het moet gaan om een noodsituatie. De zorgverlener moet al het mogelijke geprobeerd hebben om het probleem op te lossen zonder doorbreking van het beroepsgeheim. En de zorgverlener moet eerst proberen om toch toestemming van cliënt te krijgen om gevoelige gegevens door te geven. De zorgverlener moet het doorbreken van het beroepsgeheim kunnen verantwoorden; de afwegingen van de zorgverlener bij het doorbreken van het beroepsgeheim worden vastgelegd in het cliënt dossier.
  • Aan wettelijk vertegenwoordigers voor zover dit nodig is om hun toestemming te vragen voor een behandeling. Bijvoorbeeld als het gaat om de behandeling van een meerderjarige, wilsonbekwame cliënt of van een kind onder de 16 jaar. De zorgverlener vraagt dan toestemming aan de wettelijk vertegenwoordiger(s). In het geval van een kind zijn dit meestal een of beide ouders. Zorgverleners mogen geen gegevens verstrekken aan wettelijk vertegenwoordigers als dit in strijd is met goed hulpverlenerschap, bijvoorbeeld als verstrekking tegen het belang van het kind ingaat.

Met familieleden van wilsonbekwame cliënten worden alleen gegevens gedeeld als de wettelijk vertegenwoordiger daar toestemming voor heeft gegeven.

Rechten cliënt

Principieel uitgangspunt is dat dossiers behoren aan de cliënt zelf en dat de zorginstelling de dossiervorming in alle openheid met de cliënt deelt. Zorginstelling en cliënt werken immers samen aan zo goed mogelijke resultaten van de hulp.

De wet geeft cliënten een aantal specifieke rechten ten aanzien van de gegevensverwerking door de zorginstelling. Deze worden onderstaand toegelicht. De cliënt kan op basis van deze rechten een schriftelijk (dat kan ook digitaal) verzoek doen aan de zorginstelling. De zorginstelling biedt daarnaast de mogelijkheid aan client zijn gegevens en zorgplan in te zien middels een clientportaal. Bij verzoeken tot verwijdering of beperking van gegevens, of bij bezwaar tegen de gegevensverwerking, geeft de cliënt de beweegredenen bij het verzoek. De zorginstelling reageert (na vaststelling van de identiteit van de verzoeker/ cliënt) binnen een maand op verzoeken. Als dat aan de orde is, laat de zorginstelling binnen een maand weten of gezien de complexiteit van het verzoek of de hoeveelheid verzoeken, extra tijd, uiterlijk 2 maanden extra, nodig is. Een weigering op een verzoek wordt altijd gemotiveerd door de zorginstelling. Daarbij wijst deze de cliënt op diens recht om een klacht in te dienen, inclusief een klacht bij de Autoriteit Persoonsgegevens.

Verzoeken van cliënten en de reactie van de zorginstelling worden opgeslagen in het dossier van cliënt.

Bij het uitoefenen van onderstaande rechten geldt ten aanzien van minderjarigen en onder curatele gestelde personen het volgende:

  • Bij minderjarigen tot 12 jaar worden de rechten door de wettelijk vertegenwoordiger, doorgaans zijn dit de ouders, uitgeoefend;
  • Bij minderjarigen in de leeftijd van 12 tot en met 15 jaar worden de rechten door de minderjarige en diens wettelijke vertegenwoordiger uitgeoefend;
  • Minderjarigen vanaf 16 jaar dan kunnen zelf de rechten uitoefenen;
  • Betreft het een persoon die onder curatele is gesteld dan worden de rechten door de wettelijk vertegenwoordiger uitgeoefend.

Recht op rectificatie

De cliënt kan verzoeken om correctie of aanvulling van zijn of haar gegevens, als deze feitelijk onjuist of voor het doel van de registratie onvolledig zijn. Dit kan hij ook doen via het ECD Extranet.

Als de gegevens van cliënt zijn gedeeld met andere partijen, dan zorgt de zorginstelling ervoor dat deze partijen op de hoogte worden gesteld van de wijziging of aanvulling, tenzij dit onmogelijk blijkt of onevenredige inspanning vergt.

Recht op verwijdering en recht om vergeten te worden

De cliënt kan verzoeken om (een deel van) zijn gegevens te laten verwijderen als:

  • De persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verwerkt;
  • De cliënt de toestemming intrekt waarop de verwerking berust in en er geen andere rechtsgrond is voor de verwerking;
  • De persoonsgegevens onrechtmatig zijn verwerkt;
  • Op basis van een wettelijke verplichting, die op de zorgaanbieder rust, de persoonsgegevens moeten worden gewist.

Een verzoek tot vernietiging van gegevens mag alleen worden geweigerd als:

  • De wet zich tegen de vernietiging verzet;
  • Een derde een aanmerkelijk belang heeft bij bewaring van die gegevens.
  • De cliënt een procedure tegen de hulpverlener heeft aangespannen of het waarschijnlijk is dat hij dit zal doen;
  • In het dossier gegevens over (vermoedens van) kindermishandeling staan. Dan kunnen deze gegevens op grond van de Meldcode Huiselijk Geweld en Kindermishandeling alleen op verzoek van het kind zelf worden vernietigd en uitsluitend als het kind de leeftijd van 16 jaar heeft bereikt en wilsbekwaam ter zake kan worden geacht;
  • De zorgaanbieder de gegevens nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
  • Om redenen van algemeen belang op het gebied van volksgezondheid.

Een beslissing over een verzoek tot verwijdering van gegevens vindt altijd plaats na overleg met de betrokken hulpverlener(s). Wanneer er sprake is van veiligheidsaspecten of mogelijk juridische procedures, vechtscheiding o.i.d. dan weegt het belang van de bewaarplicht zwaarder dan het belang van de cliënt.

De zorginstelling zorgt ervoor dat een beslissing tot verwijdering zo spoedig mogelijk wordt uitgevoerd. De zorginstelling informeert daarnaast iedere ontvanger aan wie persoonsgegevens zijn verstrekt, over de verwijdering van persoonsgegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.

Bij vernietiging van het dossier worden de BSN-NAW-gegevens en data waarop gesprekken hebben plaatsgevonden bewaard i.v.m. controle door de financier (verzekering, justitie, gemeente e.d.) Hiervoor is de wettelijke bewaartermijn 7 jaar na sluiting van het dossier.

Intrekken van gegeven toestemming

Wanneer verwerking van persoonsgegevens is gebaseerd op toestemming van de cliënt, kan de cliënt deze toestemming altijd weer intrekken. Het intrekken van de toestemming gebeurt op dezelfde manier als het verlenen van de toestemming, namelijk schriftelijk en ondertekend.

Zodra toestemming wordt ingetrokken, mogen persoonsgegevens niet langer op basis daarvan worden verwerkt. Intrekking van toestemming tast niet de rechtmatigheid aan van verwerkingen die op basis van toestemming hebben plaatsgevonden voorafgaand aan de intrekking daarvan.

Recht op bezwaar

De cliënt kan bezwaar maken tegen de verwerking van gegevens als de zorginstelling die verwerkt op grond van de behartiging van de gerechtvaardigde belangen van de zorgaanbieder of van een derde.

De zorginstelling zal dan stoppen met de gegevensverwerking, tenzij er sprake is van dwingende gerechtvaardigde gronden voor de verwerking die zwaarder wegen dan de belangen, vrijheden en rechten van de cliënt of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

Zo lang nog niet duidelijk is of de gronden van de zorginstelling zwaarder wegen, worden de betreffende gegevens niet verwerkt.

Klachten

Als de cliënt van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, meldt hij dit bij de zorginstelling. Als dit voor de cliënt niet leidt tot een voor hem acceptabel resultaat, heeft de cliënt de mogelijkheid gebruik te maken van de binnen de instelling functionerende regeling voor onafhankelijke klachtenbehandeling (zie Klachtenreglement). De cliënt kan zich ook tot de Autoriteit Persoonsgegevens wenden met het verzoek te bemiddelen, te adviseren in zijn geschil met de zorginstelling of om een klacht in te dienen. Daarnaast heeft de cliënt altijd de mogelijkheid een beroep te doen op de rechter.

info@kyanbaaz.nl

Deze privacyverklaring is voor het laatst bijgewerkt op 8 Oktober 2024.