Privacy statement

Privacy statement en Register van verwerkingsactiviteiten

  1. PRIVACY STATEMENT

1.1 Per 25 mei 2018 zal de nieuwe wetgeving rondom het verwerken van persoonsgegevens in werking treden. Het betreft de Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische communicatie (2002/58/EG) de nationale wetkenner uitvoering van deze richtlijnen en/of in voorkomend geval, de verordening (EU) 2016/679 (De Algemene Verordening Gegevensbescherming) hierna te noemen de AVG.

1.2 Dit dient als inzicht en kader van de te ondernemen stappen

1.3. De osteopaat is een producent van een dienst en dient zich zoveel mogelijk aan te passen aan de privacywetgeving. Van iedere producent van diensten waar osteopaten ook onder vallen wordt verwacht dat zij een privacy statement maken. Dit is een reglement waaruit blijkt op welke wijze met alle factoren van privacy wordt omgegaan.

1.4 Er wordt door de Autoriteit Persoonsgegevens toezicht gehouden op de verwerking van persoonsgegevens op iedere producent van diensten, zo ook osteopathie verstraten. Deze Autoriteit Persoonsgegevens verwacht een grotere mate van bewustwording en dat steeds wordt gekeken in hoeverre bij de ontwikkeling en uitwerking van de dienst rekening wordt gehouden met het recht op bescherming van persoonsgegevens.

1.5 Het AVG proof maken van een praktijk geschiedt door het maken van deze privacy verklaring en het doorlopen van de volgende twee stappen:

            - de externe verwerking

            - de interne verwerking

2. De externe verwerking

2.1 Met externe verwerkers zijn afspraken gemaakt over de wijze waarop met het verwerken van persoonsgegevens wordt omgegaan.

De externe verwerkers en hun verwerkers activiteiten zijn:

  1. Rina Zwier - van de Sande - financiële administratie en emails: naam, adressen, hulpvraag en verloop
  2. Winifred Smit - emails: naam, adressen, hulpvraag en verloop
  3. GSE automatisering - Data en website beheer
  4. Pioneer Software - programma en server beheer
  5. Accountant Els Grootendorst en haar 2 assistenten - Financiele administratieve afhandeling
  6. Nieuwe website beheer Bureau Feith 2018

2.2 Bijlage 1 bevat van deze verwerkers (1 ™ 5) de verwerkers overeenkomsten

2.3 Derden die zijdelings te maken hebben met persoonsgegevens zijn collega’s in de praktijk, met deze collega’s worden geheimhoudingsverklaringen getekend.

Bijlage 2 bevat geheimhoudingsverklaringen met derden die zijdelings inzicht krijgen in persoonsgegevens (collegae van de Praktijk Hoorn en Tanja Caradonna van de praktijk Amsterdam) Ton van Engen

 

3. De interne verwerking

3.1 Er bestaat een register waarin wordt genoteerd en bijgehouden welke verwerkingsactiviteiten er worden verwerkt.

3.2  De osteopaat is wettelijk verplicht het BSN nummer te noteren in het dossier met gezondheidsgegevens van de patient en te gebruiken bij eventuele correspondentie met andere zorgverleners. De patient vraagt dit contact meestal zelf aan en is ook op de hoogte van dit contact. De patient geeft vooraf schriftelijk of digitaal toestemming voor het noteren en gebruiken van zijn BSN nummer en mogelijk contact met andere zorgverleners of verzekeringsmaatschappijen.

3.3 De wet wgbo bepaalt dat medische dossiers 15 jaar moeten worden bewaard. De osteopaat kiest er ook voor om ook adresgegevens 15 jaar te bewaren en na deze periode te verwijderen. Mocht de patient vragen om de gegevens eerder te vernietigen, dan zal aan deze vraag worden voldaan.

3.4 De patient heeft volgens de wet AVG recht op

-Informatie over de verwerkingen

-Inzage in zijn gegevens

-Correctie van de gegevens als deze niet kloppen

-Verwijdering van de gegevens en het recht om vergeten te worden

-Beperking van de gegevensverwerking

-Verzet tegen de gegevensverwerking

-Op overdracht van zijn gegevens (dataportabiliteit) om niet onderworpen te worden aan een geautomatiseerde besluitvorming

 

4.  Datalekken

4.1 een datalek in de zin van AVG is een inbreuk in verband met persoonsgegevens. Het is een inbreuk op de beveiliging die leidt tot vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

4.2 Ieder datalek moet aan de AP (Autoriteit Persoonsgegevens) gemeld worden, tenzij onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze melding dient binnen 72 uur te geschieden bij de AP via het melkloket datalekken Autoriteit op persoonsgegevens https://datalekken.autoriteitpersoonsgegevens.nl.

4.3 Tevens zal de osteopaat dit melden bij de betrokkenen indien er sprake is van een hoog risico van inbreuk op de persoonsgegevens.

4.4 Mocht er sprake zijn van een datalekken in de praktijk van de osteopaat, dan staan deze in een overzicht genoteerd met de feiten omtrent de inbreuk en de gevolgen daarvan, in dit overzicht gedocumenteerd, eveneens de genomen corrigerende maatregelen.

 

5. Privacyverklaring

5.1 Iedere organisatie dient een Privacyverklaring op te stellen en dient een risico-analyse op te stellen.

5.2 Het AVG. - 10 stappenplan

            1. Bewustwording

            2. Rechten van betrokkenen

            3. Overzicht verwerkingen

            4. Data protection impact assessment (DPIA)

            5. Privacy  by design & privacy by default

            6. Functionaris voor de gegevensbescherming

            7. Meldplicht datalekken

            8. Verwerkersovereenkomsten

            9. Leidende toezichthouder

            10. Toestemming

5.3 Voor de organisatie in kwestie wordt een leidraad gegeven hoe met de diverse facetten om te gaan

5.4 De vestigingsplaats van het bedrijf ligt in Nederland en de werkzaamheden worden op Nederlands grondgebied verricht. De leidende toezichthouder voor de praktijk van de osteopaat is daarom de Autoriteit Persoonsgegevens te Nederland.

5.5 Een DPIA is alleen verplicht wanneer er sprake is van gegevensverwerking met waarschijnlijk een hoog privacyrisico. Binnen de AVG worden drie situaties besproken:

            - systemisch en uitvoerig persoonlijke aspecten evalueren

            - op grote schaal bijzondere persoonsgegevens verwerken

            - op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied

De werkgroep van Europese privacytoezichthouders heeft een lijst van 9 criteria opgesteld om nader te bezien of een DPIA nodig is. De volgende criteria zouden van toepassing kunnen zijn op de praktijk van osteopaten en dient een individuele analyse aan ten grondslag liggen

            - gevoelige gegevensverwerking

            - grootschalige gegevens verwerking

            - gegevensverwerking over kwetsbare personen

5.6 Verwerkt de praktijk op dusdanige schaal gezondheid gegevens van patiënten, dan dient deze een FG (functionaris voor de gegevens bescherming) aan te stellen. De individuele osteopaat behoeft geen inschakeling van en FG, een grotere osteopatenpraktijk zou die verplichting wel kunnen hebben.

5.7 De vraag hoe uitvoerig een privacyverklaring dient te zijn, hangt af van de mate waarin gegevens worden verwerkt. Het feit dat osteopaten bijzondere gegevens over de gezondheid van patiënten verwerken, legt een extra verantwoordelijkheid op de osteopaat om diens privacybeleid goed uitgewerkt te hebben.

 

Register van Verwerkingsactiviteiten van

Esther Verstraten | Osteopathie Verstraten | Drieboomlaan 164 | 1624 BR | Hoorn

Esther Verstraten | Osteopathie Verstraten | Overtoom 570 | 1074  .. | Amsterdam

  1. Doel

1.1 Op 25 mei 2018 zal de nieuwe Privacywetgeving in werking treden. Onderdeel daarvan is de verordening (EU) 2016/679, de Algemene Verordening Gegevensbescherming (AVG). Deze verordening schrijft voor dat iedere organisatie waarin persoonsgegevens worden verwerkt een register van verwerkingen opstelt. Met onderhavige register wordt aan die verplichting voldaan.

1.2 Een osteopaat verwerkt persoonsgegevens van diens patiënten. Naast identificatiegegevens van de patient wordt een medisch dossier aangelegd. Het betreft dus privacy gevoelige informatie.

2. Beveiliging

2.1 Om er zeker van te zijn dat deze gegevens zo veilig mogelijk verwerkt worden is gebruik gemaakt van de volgende beveiliging.

  • naam ICT bedrijf en contactpersoon

1. GSE Automatisering, De Corantijn 87 E, 1689 AN ZWAAG contactpersoon: Jeffrey Poen

2. Pioneer Software

  • naam van beveiligingsprogramma waarmee gegevens worden afgeschermd, wijze van pseudonimisering en versleuteling van persoonsgegevens, het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen:, een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. Technische maatregelen zijn bijv. Het toepassen van encryptie, het opzetten van een firewall of het opslaan van gegevens in beveiligde omgevingen. Bij organisatorische maatregelen kan gedacht worden aan het beperken van de toegang tot gegevens tot bepaalde medewerkers (autorisatiebeleid)

1. Pioneer Software CLINIC OFFICE met helpdesk

  • Voorgaande specifieke vereisten blijken ook uit beveiliging van de verwerkersovereenkomst zoals met de genoemde ICT bedrijven wordt afgesloten.
  • De genoemde ICT bedrijven maken gebruik van de volgende ISO certificeringen en/of goedgekeurde gedragscodes en verwerken welke gegevens van de patient:
  1. GSE
  2. Pioneer Software
  • Derden waar patiënten gegevens mee wordt gedeeld, de gegevens die worden gedeeld en op welke wijze de veiligheid van het delen van die gegevens is gewaarborgd.
  1. Ton van Engen, IT hulp voor computerinstellingen, WIFI-netwerk Hoorn

2.1 Buiten de genoemde systemen zal geen ander systeem gebruikt worden om gegevens te verwerken. Patientengegevens zullen niet op andere datatransmitters zoals laptops, usbsticks, harde schijf geplaatst worden.

 

3. Ontvangers van data

3.1 Patiëntengegevens zullen enkel na afgegeven machtiging door de patient worden verstrekt aan derden. Het betreft dan derden waaraan de patient schriftelijk toestemming heeft gegeven om met de patient afgestemde gegevens te verstrekken. Dit kunnen artsen zij , andere zorgverleners, advocaten of andere juridische dienstverleners zijn.

3.2 In het dossier van de patient zal nauwkeurig worden bijgehouden welke gegevens op verzoek van de patient met derden zijn gedeeld.

3.3 Indien gegevens internationaal worden gedeeld, zal dit in principe door de patient zelf worden gedaan, nu daarvoor extra waarborgen gelden.

 

4. Categorieën van persoonsgegevens en bewaartermijnen

Alle medische gegevens en gegevens welke nodig zijn om de medische gegevens goed te bewaren, kennen een wettelijke bewaartermijn van 15 jaren (op grond van de Wet op de geneeskundige behandelovereenkomst Wgbo)

Bewaartermijn 15 jaar

  • Naam adres, woonplaats, Emailadres, telefoon, geboortedatum
  • Medische historie
  • Tractus anamnese (hart/vaten, longen, spijsvertering,urogenitaal, hormonaal)
  • Anamnese (omschrijving klacht, duur, bijkomende klachten)
  • Onderzoek (biomechanisch, respiratoir, circulatie, bio-energetisch, metabool, neurologisch, biopsychosociaal)
  • Osteopatische diagnose
  • Verwachtingen tot herstel, indicatie voor osteopathie
  • Consult (journaal en behandeling)
  • Documenten indien van toepassing (verwijzer, doorverwijzing, verslag aan derden op verzoek patient, verslag lab, onderzoek, röntgen, ander onderzoek)

Bewaartermijn 5 jaar

- BSN

- huisarts

  • verzekering, polisnummer
  • Gewicht, lengte hobby, sport
  • Wijze waarop patient bij osteopaat terecht is gekomen
  • Welke taal de patient spreekt
  • Familie situatie, familie leden