Privacyreglement Rosorum

Transcriptie

1 Privacyreglement Rosorum Inleiding Privacy is een belangrijk recht. Dit recht is derhalve ook in een aantal wetten verankerd, bijvoorbeeld in de Wet Geneeskundige Behandeling Overeenkomst (WGBO) en de Wet Bescherming Persoonsgegevens (WBP). De WBP heeft tot doel de privacy rond het vastleggen en verstrekken van persoonsgegevens van geregistreerden te waarborgen en beoogt een behoorlijk en zorgvuldige omgang met de persoonsgegevens te verzekeren. Rosorum is verplicht een privacyreglement te hanteren, overeenkomstig de WBP en binnen het kader van de WGBO. Uiteraard is Rosorum gebonden aan zijn eigen reglement en verplicht het na te leven. Dit betekent dat zowel de directie als wel alle medewerkers, die betrokken zijn bij de verwerking van de persoonsgegevens dienen te handelen volgens het vastgestelde privacyreglement. De geregistreerde heeft het recht kennis te nemen van wat er geregistreerd wordt. Met behulp van dit inzagerecht kan hij 1 nagaan welke gegevens over hem voorkomen en wat de herkomst daarvan is. Hij kan desgewenst het dossier aanvullen met een eigen verklaring of gegevens laten corrigeren. Begripsomschrijvingen Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Zorggegevens Persoonsgegevens, direct of indirect betrekking hebbend op de lichamelijke of geestelijke gesteldheid van betrokkene. Bestand Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. Het servicedossier en het cliëntendossier zijn onderdeel van het bestand. Verantwoordelijke van de persoonsgegevens De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Verwerking van persoonsgegevens Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Het verstrekken van persoonsgegevens Het bekend maken of ter beschikking stellen van persoonsgegevens. Gebruiker Degene die, ten behoeve van de verantwoordelijke en daartoe geautoriseerd is, persoongegevens verwerkt: invoeren dan wel wijzigen van de persoonsgegevens. Verantwoordelijke De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Verantwoordelijke is dossierhouder. Betrokkene Degene op wie een persoonsgegeven betrekking heeft of zijn vertegenwoordiger. 1 Voor de leesbaarheid is hier gekozen voor de hij vorm Pagina 1 van 5

2 Vertegenwoordiger Degene die de betrokkene vertegenwoordigt en zijn belangen behartigt. Huishouden Een sociale eenheid, bestaande uit één of meer personen die in huiselijk verkeer onder één dak met elkaar samenwonen en een gemeenschappelijk zelfstandige huishouding voeren. Reikwijdte Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen, bijvoorbeeld servicedossier, cliëntdossier, financiële en administratieve gegevens, klachtenregistratie, personeelsgegevens etc. Doel Het doel van dit reglement is een praktische uitwerking te geven aan de bepalingen van de Wet Bescherming Persoonsgegevens, verder te noemen WBP. Dit reglement is van toepassing binnen Rosorum en heeft betrekking op de verwerkingen van persoonsgegevens. Rechtmatige verwerking van persoonsgegevens Voorwaarden voor rechtmatige verwerking Persoonsgegevens worden op behoorlijke en zorgvuldige wijze verwerkt en alleen voor de doeleinden waarvoor ze verkregen zijn. Persoonsgegevens mogen slechts worden verwerkt indien aan een van de onderstaande voorwaarden is voldaan: - de betrokkene voor de verwerking zijn toestemming heeft verleend, - dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor handelingen die op verzoek van de betrokkene worden verricht en die noodzakelijk zijn voor het sluiten van een overeenkomst, - dit noodzakelijk is om een wettelijke verplichting na te komen, - dit noodzakelijk is ter bestrijding van ernstig gevaar voor de gezondheid van betrokkene, - dit noodzakelijk is met het oog op het belang van de verantwoordelijke of van een derde en het belang van degene van wie de gegevens worden verwerkt niet prevaleert. Verwerking van de persoonsgegevens De persoonsgegevens worden deels geautomatiseerd en deels handmatig verwerkt. De handmatig verwerkte gegevens worden opgenomen in het servicedossier bij de cliënt en in het cliëntendossier op de afdeling cliëntenadministratie. De gegevens moeten noodzakelijk zijn voor een goede zorgverlening en een correcte financiële/administratieve afhandeling van dit proces. De bestanden kunnen ten hoogste de volgende gegevenscategorieën bevatten: Personalia en identificatiegegevens Zorg- en behandelgegevens Financiële en administratieve gegevens Organisatorische verplichtingen Geheimhoudingsplicht De gegevens worden alleen verwerkt door personen die door de verantwoordelijke daartoe gerechtigd zijn. Bij aanname worden medewerkers van Rosorum gewezen op hun geheimhoudingsplicht en de plicht dit reglement na te leven. De directie is eindverantwoordelijk voor de naleving van dit reglement. Bewaren Persoonsgegevens worden niet langer bewaard dan noodzakelijk is om de doelen te realiseren waarvoor ze verzameld zijn. De verantwoordelijke stelt vast hoe lang de opgenomen persoonsgegevens bewaard blijven, volgens de procedure Documentbeheer. Vernietiging en verwijdering van de betreffende persoonsgegevens dienen plaats te vinden binnen één jaar na afloop van de bewaartermijn, tenzij er een klacht is ingediend waarvoor de gegevens relevant zijn. Hetzelfde geldt voor een gerechtelijke procedure. Na de afhandeling van de klacht dan wel na afloop van de procedure vindt vernietiging plaats. Indien de betreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven. Beveiligen De verantwoordelijke draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsregistratie tegen verlies of aantasting van de gegevens en Pagina 2 van 5

3 tegen onbevoegde kennisgeving, wijziging of versterking daarvan. Gelijke plicht rust op de bewerker voor het geheel of gedeelte van de faciliteiten die hij onder zich heeft. Dossiers met medische en/of psychologische gegevens worden tenminste in afgesloten kasten bewaard. Rechten van de betrokkenen Vertegenwoordiging Personen jonger dan 16 jaar en personen ouder dan 16 jaar die niet tot een redelijke waardering van hun belangen ter zake in staat zijn, worden vertegenwoordigd conform de regeling die daartoe in de wet op de geneeskundige behandelingsovereenkomst is opgenomen. Informatieplicht Bij het verkrijgen van de persoonsgegevens, deelt de verantwoordelijke zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd mee. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig. Deze voorlichting kan mondeling of schriftelijk gebeuren. In het servicedossier wordt melding gemaakt van het bestaan van het Privacyreglement. Recht op inzage en afschrift van persoonsgegevens De betrokkene of diens vertegenwoordiger heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende persoonsgegevens. Hij dient daartoe een verzoek in de bij de dossierhouder. De procedure is als volgt: - Een verzoek tot inzage wordt door de betrokkene schriftelijk ingediend bij de verantwoordelijke. - De beheerder draagt zorg voor de behandeling van dit verzoek. - De beheerder informeert vooraf een eventueel betrokken gebruiker over het verzoek. - Inzage vindt plaats binnen een maand na ontvangst van het verzoek. - Inzage kan indien de betrokkene dat wil, plaatsvinden onder begeleiding van een medewerker van de instelling. - Voor inzage plaats kan hebben dient de betrokkene of diens vertegenwoordiger zich te legitimeren. De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de betrokkene. Indien door de dossierhouder inzage wordt geweigerd, wordt deze weigering schriftelijk meegedeeld, binnen 4 weken, voorzien van een duidelijke motivatie. Indien inzage niet kan worden verleend zonder dat daarbij inzage wordt gegeven in de gegevens van andere personen dan de verzoeker, al dan niet behorend tot het huishouden van de verzoeker, kan geen inzage worden verleend alvorens die andere personen toestemming voor de inzage hebben verleend. Wanneer de verzoeker dit wenst verstrekt de dossierhouder of beheerder een afschrift van de gevraagde gegevens. Hiervoor gemaakte kosten kunnen in rekening worden gebracht. Recht op correctie of aanvulling van persoonsgegevens De betrokkene of diens vertegenwoordiger kan verzoeken zijn persoonsgegevens te corrigeren of aan te vullen wanneer de gegevens feitelijk niet juist zijn, voor het doel van de registratie onvolledig of niet ter zake doende zijn, dan wel indien de gegevens in strijd met dit reglement of een wettelijk voorschrift zijn opgenomen. Een verzoek wordt schriftelijk bij de verantwoordelijke ingediend. Het verzoek bevat de aan te brengen wijzigingen. Indien de verantwoordelijke van oordeel is dat een verzoek gegrond is, draagt hij er zorg voor dat de noodzakelijke correct of aanvulling binnen twee maanden nadat het verzoek is ontvangen plaatsvindt, waarna hij de verzoeker dit schriftelijk meedeelt. Wanneer de betrokkene dit wenst kan degene die de onjuiste, niet ter zake doende of onvolledige gegevens heeft verstrekt, van de correctie of aanvulling op de hoogte gebracht worden. Indien de dossierhouder van oordeel is dat het verzoek niet of niet geheel gegrond is, deelt hij dit binnen twee maanden, voorzien van een duidelijke motivatie, mee aan de verzoeker. Recht op verwijdering of vernietiging van persoonsgegevens De betrokkene of diens vertegenwoordiger kan de dossierhouder verzoeken zijn persoonsgegevens te vernietigen. Dit verzoek wordt schriftelijk ingediend. Pagina 3 van 5

4 De dossierhouder bericht de verzoeker binnen vier weken na ontvangst van het schriftelijke verzoek tot vernietiging schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is voorzien van een duidelijke motivatie. De dossierhouder draagt er zorg voor dat een besluit tot vernietiging van gegevens binnen vier weken wordt uitgevoerd. Van deze vernietiging wordt een aantekening gemaakt in het (lege) dossier. De dossierhouder stelt alle instanties en personen van de vernietiging op de hoogte die in een eerder stadium van hem gegevens ontvingen over de betrokkene. Verstrekken van de persoonsgegevens Binnen de instelling kunnen, zonder toestemming van de betrokkene, persoonsgegevens worden verstrekt, voor zover voor hun taakuitvoering noodzakelijk: Aan degene die rechtstreeks betrokken zijn bij de zorgverlening. Aan de leidinggevende van de dossierhouder. Aan personen en instanties, wier taak het is om de zorgverlening te controleren en te toetsen. Buiten de instelling kunnen, zonder toestemming, persoonsgegevens verstrekt worden, voor zover voor de taakuitvoering noodzakelijk: Aan degene die rechtstreeks betrokken zijn bij de zorgverlening en zorgovereenkomst. Aan zorgverzekeraars, gemeenten. Aan instanties aan wie werk is uitbesteed, zoals salarisadministratie. Indien een wettelijk voorschrift daartoe verplicht. Alleen wanneer niet met het verstrekken van geanonimiseerde gegevens kan worden volstaan. In het kader van wetenschappelijk onderzoek betreffende de dienst- en zorgverlening van de verantwoordelijke of diens medewerkers. Indien persoonsgegevens zodanig zijn geanonimiseerd, dat zij redelijkerwijs niet door de ontvanger tot individuele personen herleidbaar zijn, kunnen deze gegevens worden verstrekt ten behoeve van wetenschappelijk onderzoek en aan instanties voor statistiek. In alle andere gevallen is voor verstrekking van persoonsgegevens vooraf de schriftelijke toestemming van de betrokkene of diens vertegenwoordiger vereist. De dossierhouder houdt een registratie bij van deze gegevensverstrekking. De in deze registratie vermelde gegevens worden één jaar bewaard, tenzij zij in het kader van een procedure langer bewaard moeten blijven. Mededeling van verstrekking De dossierhouder deelt de geregistreerde op diens verzoek binnen een maand schriftelijk mee of in het jaar voorafgaand aan het verzoek persoonsgegevens zijn verstrekt. Indien dit is gebeurd, wordt tevens vermeld aan wie deze persoonsgegevens zijn verstrekt en wordt inzicht verschaft in de aard van de verstrekte persoonsgegevens. Toegang tot en beveiliging van persoonsgegevens Toegang tot de persoonsgegevens hebben: De dossierhouders die bij de zorg- en dienstverlening betrokken zijn. Ook hun vervangers hebben toegang tot de persoonsgegevens. De medewerkers die bij de administratieve verwerking betrokken zijn; medewerkers van de personeelsadministratie en medewerkers van de cliëntenadministratie. De beheerders of leidinggevende van de dossierhouder, uit hoofde van hun functie. De persoonsgegevens in de geautomatiseerde systemen zijn beveiligd. De systemen zijn alleen toegankelijk met een wachtwoord. Wachtwoorden zijn alleen bekend bij de persoon aan wie het wachtwoord toebehoort. Persoonsgegevens op papier, zoals cliëntendossiers en personeelsdossier worden in afgesloten kasten bewaard. Iedereen die met persoonsgegevens werkt heeft een geheimhoudingsplicht ongeacht beroep of functie, ook na beëindiging van het dienstverband met Rosorum. Bewaartermijnen Voor alle persoonsgegevens die in de dossiers bewaard worden geldt een bewaartermijn overeenkomstig de WGBO, van 15 jaar, tenzij langer bewaren uit de zorg van een goed hulpverlener voortvloeit. Pagina 4 van 5

5 De persoonsgegevens worden vernietigd binnen één jaar na afloop van de bewaartermijn, tenzij rekening moet worden gehouden met een lopende of te verwachten klachtenprocedure. De bewaartermijn kan door de dossierhouder worden verlengd na toestemming van de betrokkene. Klachten inzake naleving van dit reglement Wanneer de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere redenen heeft tot klagen met betrekking tot de wijze waarop verwerking van gegevens die op zijn persoon betrekking hebben, heeft plaatsgevonden, dan dient hij zich in eerste instantie te wenden tot de dossierhouder. Indien de klacht met betrekking tot de wijze waarop de verwerking van de persoonsgegevens heeft plaatsgevonden niet bevredigend geregeld is, kan de betrokkene gebruik maken van de klachtenregeling zoals die is vastgelegd in het Klachtenreglement van Rosorum. Het indienen van een schriftelijke klacht aan de directie dient binnen twee maanden na de ontvangst van het antwoord van de dossierhouder of, indien de verantwoordelijke niet heeft geantwoord, binnen twee maanden na datum van de klachtmelding, te gebeuren. Het College Bescherming Persoonsgegevens kan om advies gevraagd worden. De betrokkene heeft de mogelijkheid een beroep op de rechter te doen. Looptijd en wijziging van het reglement Dit reglement is van kracht voor onbepaalde tijd. Wijzigingen in het reglement worden volgens de procedure documentbeheer uitgevoerd. Eindverantwoordelijk is de directeur van Rosorum. Pagina 5 van 5