Privacy statement en Register van verwerkingsactiviteiten

1. PRIVACY STATEMENT

1.1 Per 25 mei 2018 zal de nieuwe wetgeving rondom het verwerken van persoonsgegevens in werking treden. Het betreft de Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische communicatie (2002/58/EG) de nationale wetkenner uitvoering van deze richtlijnen en/of in voorkomend geval, de verordening (EU) 2016/679 (De Algemene Verordening Gegevensbescherming) hierna te noemen de AVG.

1.2 Dit dient als inzicht en kader van de te ondernemen stappen

1.3. De osteopaat is een producent van een dienst en dient zich zoveel mogelijk aan te passen aan de privacywetgeving. Van iedere producent van diensten waar osteopaten ook onder vallen wordt verwacht dat zij een privacy statement maken. Dit is een reglement waaruit blijkt op welke wijze met alle factoren van privacy wordt omgegaan.

1.4 Er wordt door de Autoriteit Persoonsgegevens toezicht gehouden op de verwerking van persoonsgegevens op iedere producent van diensten, zo ook Osteopathie Verstraten. Deze Autoriteit Persoonsgegevens verwacht een grotere mate van bewustwording en dat steeds wordt gekeken in hoeverre bij de ontwikkeling en uitwerking van de dienst rekening wordt gehouden met het recht op bescherming van persoonsgegevens.

1.5 Het AVG proof maken van een praktijk geschiedt door het maken van deze privacy verklaring en het doorlopen van de volgende twee stappen:

– de externe verwerking
– de interne verwerking

2. De externe verwerking

2.1 Met externe verwerkers zijn afspraken gemaakt over de wijze waarop met het verwerken van persoonsgegevens wordt omgegaan.

De externe verwerkers en hun verwerkers activiteiten zijn:

  1. Rina Zwier – van de Sande – dagelijkse financiële administratie en e-mails: naam, adressen, hulpvraag en verloop
  2. Bureau Feith – Data, e-mails en website beheer
  3. Pioneer Software – programma: agenda, statussen, financiën en server beheer
  4. Sjaak Sneek – Snitsadvies – Financiële administratieve adviezen en afhandeling
  5. Francesco Agostino – Osteopaat DO – werkzaam als zelfstandige bij Osteopathie Verstraten heeft alleen inzage in de patiënten dossiers die hij behandelt.

2.2 Bijlage 1 bevat van deze verwerkers (1 ™ 5) de verwerkers overeenkomsten

2.3 Derden die zijdelings te maken hebben met persoonsgegevens zijn collega’s in de praktijk, met deze collega’s worden geheimhoudingsverklaringen getekend.

Bijlage 2 bevat geheimhoudingsverklaringen met derden die zijdelings inzicht krijgen in persoonsgegevens (collegae van de Praktijk Hoorn en Tanja Caradonna van de praktijk Amsterdam)

3. De interne verwerking

3.1 Er bestaat een register waarin wordt genoteerd en bijgehouden welke verwerkingsactiviteiten er worden verwerkt.

3.2 De osteopaat is wettelijk verplicht het BSN nummer te noteren in het dossier met gezondheidsgegevens van de patiënt en te gebruiken bij eventuele correspondentie met andere zorgverleners. De patiënt vraagt dit contact meestal zelf aan en is ook op de hoogte van dit contact. De patiënt geeft vooraf schriftelijk of digitaal toestemming voor het noteren en gebruiken van zijn BSN nummer en mogelijk contact met andere zorgverleners of verzekeringsmaatschappijen.

3.3 De wet wgbo bepaalt dat medische dossiers 15 jaar moeten worden bewaard. De osteopaat kiest er ook voor om ook adresgegevens 15 jaar te bewaren en na deze periode te verwijderen. Mocht de patient vragen om de gegevens eerder te vernietigen, dan zal aan deze vraag worden voldaan.

3.4 De patiënt heeft volgens de wet AVG recht op

-Informatie over de verwerkingen
-Inzage in zijn gegevens
-Correctie van de gegevens als deze niet kloppen
-Verwijdering van de gegevens en het recht om vergeten te worden
-Beperking van de gegevensverwerking
-Verzet tegen de gegevensverwerking
-Op overdracht van zijn gegevens (dataportabiliteit) om niet onderworpen te worden aan een geautomatiseerde besluitvorming

4. Datalekken

4.1 Een datalek in de zin van AVG is een inbreuk in verband met persoonsgegevens. Het is een inbreuk op de beveiliging die leidt tot vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

4.2 Ieder datalek moet aan de AP (Autoriteit Persoonsgegevens) gemeld worden, tenzij onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze melding dient binnen 72 uur te geschieden bij de AP via het melkloket datalekken Autoriteit op persoonsgegevens.

4.3 Tevens zal de osteopaat dit melden bij de betrokkenen indien er sprake is van een hoog risico van inbreuk op de persoonsgegevens.

4.4 Mocht er sprake zijn van een datalekken in de praktijk van de osteopaat, dan staan deze in een overzicht genoteerd met de feiten omtrent de inbreuk en de gevolgen daarvan, in dit overzicht gedocumenteerd, eveneens de genomen corrigerende maatregelen.

5. Privacyverklaring

5.1 Iedere organisatie dient een Privacyverklaring op te stellen en dient een risico-analyse op te stellen.

5.2 Het AVG. – 10 stappenplan

  1. Bewustwording
  2. Rechten van betrokkenen
  3. Overzicht verwerkingen
  4. Data protection impact assessment (DPIA)
  5. Privacy by design & privacy by default
  6. Functionaris voor de gegevensbescherming
  7. Meldplicht datalekken
  8. Verwerkersovereenkomsten
  9. Leidende toezichthouder
  10. Toestemming

5.3 Voor de organisatie in kwestie wordt een leidraad gegeven hoe met de diverse facetten om te gaan

5.4 De vestigingsplaats van het bedrijf ligt in Nederland en de werkzaamheden worden op Nederlands grondgebied verricht. De leidende toezichthouder voor de praktijk van de osteopaat is daarom de Autoriteit Persoonsgegevens te Nederland.

5.5 Een DPIA is alleen verplicht wanneer er sprake is van gegevensverwerking met waarschijnlijk een hoog privacyrisico. Binnen de AVG worden drie situaties besproken:

  • systemisch en uitvoerig persoonlijke aspecten evalueren
  • op grote schaal bijzondere persoonsgegevens verwerken
  • op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied

De werkgroep van Europese privacytoezichthouders heeft een lijst van 9 criteria opgesteld om nader te bezien of een DPIA nodig is. De volgende criteria zouden van toepassing kunnen zijn op de praktijk van osteopaten en dient een individuele analyse aan ten grondslag liggen

  • gevoelige gegevensverwerking
  • grootschalige gegevensverwerking
  • gegevensverwerking over kwetsbare personen

5.6 Verwerkt de praktijk op dusdanige schaal gezondheid gegevens van patiënten, dan dient deze een FG (functionaris voor de gegevens bescherming) aan te stellen. De individuele osteopaat behoeft geen inschakeling van en FG, een grotere osteopatenpraktijk zou die verplichting wel kunnen hebben.

5.7 Verwerkt de praktijk op dusdanige schaal gezondheid gegevens van patiënten, dan dient deze een FG (functionaris voor de gegevens bescherming) aan te stellen. De individuele osteopaat behoeft geen inschakeling van en FG, een grotere osteopatenpraktijk zou die verplichting wel kunnen hebben.

Register van Verwerkingsactiviteiten van

Esther Verstraten | Osteopathie Verstraten | Drieboomlaan 164 | 1624 BR | Hoorn

Esther Verstraten | Osteopathie Verstraten | Overtoom 570 | 1054 LN | Amsterdam

1. Doel
1.1 Op 25 mei 2018 zal de nieuwe Privacywetgeving in werking treden. Onderdeel daarvan is de verordening (EU) 2016/679, de Algemene Verordening Gegevensbescherming (AVG). Deze verordening schrijft voor dat iedere organisatie waarin persoonsgegevens worden verwerkt een register van verwerkingen opstelt. Met onderhavige register wordt aan die verplichting voldaan.

1.2 Een osteopaat verwerkt persoonsgegevens van diens patiënten. Naast identificatiegegevens van de patiënt wordt een medisch dossier aangelegd. Het betreft dus privacy gevoelige informatie.

2. Beveiliging

2.1 Een osteopaat verwerkt persoonsgegevens van diens patiënten. Naast identificatiegegevens van de patiënt wordt een medisch dossier aangelegd. Het betreft dus privacy gevoelige informatie.

  • naam ICT bedrijf en contactpersoon
    Bureau Feith, Pand Noord, Meeuwenlaan 100, Amsterdam | WEBSITE EN EMAIl BEHEER
  • Pioneer Software | AGENDA, PATIENTENGEGEVENS EN SERVER BEHEER

naam van beveiligingsprogramma waarmee gegevens worden afgeschermd, wijze van pseudonimisering en versleuteling van persoonsgegevens, het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen:, een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. Technische maatregelen zijn bijv. Het toepassen van encryptie, het opzetten van een firewall of het opslaan van gegevens in beveiligde omgevingen. Bij organisatorische maatregelen kan gedacht worden aan het beperken van de toegang tot gegevens tot bepaalde medewerkers (autorisatiebeleid)

1. Pioneer Software CLINIC OFFICE met helpdesk

Voorgaande specifieke vereisten blijken ook uit beveiliging van de verwerkersovereenkomst zoals met de genoemde ICT bedrijven wordt afgesloten.

  • De genoemde ICT bedrijven maken gebruik van de volgende ISO certificeringen en/of goedgekeurde gedragscodes en verwerken welke gegevens van de patient:
    • Bureau Feith
    • Pioneer Software
  • Derden waar patiënten gegevens mee wordt gedeeld, de gegevens die worden gedeeld en op welke wijze de veiligheid van het delen van die gegevens is gewaarborgd.
    • Ton van Engen, IT hulp voor computerinstellingen, WIFI-netwerk Hoorn

2.1 Buiten de genoemde systemen zal geen ander systeem gebruikt worden om gegevens te verwerken. Patiëntengegevens zullen niet op andere datatransmitters zoals laptops, usbsticks, harde schijf geplaatst worden.

3. Ontvangers van data

3.1 Patiëntengegevens zullen enkel na afgegeven machtiging door de patiënt worden verstrekt aan derden. Het betreft dan derden waaraan de patiënt schriftelijk toestemming heeft gegeven om met de patiënt afgestemde gegevens te verstrekken. Dit kunnen artsen zij, andere zorgverleners, advocaten of andere juridische dienstverleners zijn.

3.2 In het dossier van de patiënt zal nauwkeurig worden bijgehouden welke gegevens op verzoek van de patiënt met derden zijn gedeeld.

3.3 Indien gegevens internationaal worden gedeeld, zal dit in principe door de patiënt zelf worden gedaan, nu daarvoor extra waarborgen gelden.

4. Categorieën van persoonsgegevens en bewaartermijnen

Alle medische gegevens en gegevens welke nodig zijn om de medische gegevens goed te bewaren, kennen een wettelijke bewaartermijn van 15 jaren (op grond van de Wet op de geneeskundige behandelovereenkomst Wgbo)

Bewaartermijn 15 jaar

  • Naam adres, woonplaats, Emailadres, telefoon, geboortedatum
  • Medische historie
  • Tractus anamnese (hart/vaten, longen, spijsvertering, urogenitaal, hormonaal)
  • Anamnese (omschrijving klacht, duur, bijkomende klachten)
  • Onderzoek (biomechanisch, respiratoir, circulatie, bio-energetisch, metabool, neurologisch, bio-psychosociaal)
  • Osteopatische diagnose
  • Verwachtingen tot herstel, indicatie voor osteopathie
  • Consult (journaal en behandeling)
  • Documenten indien van toepassing (verwijzer, doorverwijzing, verslag aan derden op verzoek patiënt, verslag lab, onderzoek, röntgen, ander onderzoek

Bewaartermijn 5 jaar

  • huisarts
  • BSN
  • verzekering, polisnummer
  • Gewicht, lengte hobby, sport
  • Wijze waarop patient bij osteopaat terecht is gekomen
  • Welke taal de patient spreekt
  • Familie situatie, familie leden
Het NRO beschermt en waarborgt de kwaliteit van de osteopatische zorg, geeft algemene informatie en is het aanspreekpunt bij klachten.
Het NVO zet zich in voor wetenschappelijke erkenning van ons vak en behartigt de belangen van osteopaten.