Privacyreglement zorg
Uw privacy staat voorop
I Inleiding
A Doel reglement
Het doel van het privacyreglement is een praktische uitwerking te geven aan de bepalingen van de Algemene Verordening Gegevensbescherming.
B Toepassingsgebied
Dit privacyreglement is van toepassing op de gehele (geautomatiseerde) verwerking van persoonsgegevens van de cliënt/ klant en nadere betrokkene(n).
De verwerking van persoonsgegevens van cliënt/ klant of betrokkene vindt plaats ten behoeve van de uitvoering van de zorg- en/ of dienstverlening aan cliënt/ klant, het voeren en/of beheren van de cliënten/ klanten administratie, het ontwikkelen en evalueren van beleid, het analyseren van incidenten en/of calamiteiten, het doen van advisering, een verantwoordelijke bedrijfsvoering, waaronder het kunnen voldoen aan wettelijke taken en/of verplichtingen.
Persoonsgegevens kunnen worden opgenomen in een persoonsregistratie op grond van:
- vrijwillige, ondubbelzinnige en expliciete toestemming van de cliënt/ klant;
- het uitvoeren van de zorg- en of dienstverleningsovereenkomst aan cliënt/ klant;
- een gerechtvaardigd (bedrijfs-)belang;
- het nakomen van wettelijke verplichten in het kader van goede zorgverlening;
- vitaal levensbelang van de cliënt/ klant;
- noodzakelijke gegevensverwerking met het oog op het belang van een derde of de verantwoordelijke, tenzij dat belang strijdig is met het belang van de cliënt (belangenafweging). Enkele wettelijke voorbeelden hiervan zijn bepalingen in relatie tot het doorbreken van het beroepsgeheim door de Inspecteurs van de Gezondheidszorg.
C Revisiebeheer
Revisie datum: 22 mei 2021
Wijziging: Eerste versie
Vastgesteld door: Elmas Aydin - Eigenaresse
D Evaluatie
Evaluatiedatum: 22 mei 2022
E Externe richtlijnen en bronnen
Wettelijk kader:
- Algemene Verordening Gegevensbescherming
- Europees Verdrag voor de Rechten van de Mens (EVRM)
- Grondwet
- Wet kwaliteit, klachten en geschillen zorg (Wkkgz)
- Meldplicht datalekken
F Bijbehorende documenten
Bijbehorende documenten
- Protocol datalekken
- Privacystatement website
- Disclaimer website
Registraties
- Excel- Verwerkingsregister
- Excel- Verzoekregister
- SoloPartners – Incident registratie
G Contactgegevens Functionaris gegevensbescherming
Telefonisch: 079-785 46 90
Per e-mail: info@pmuelegance.nl
II Definities
De volgende definities zijn beschreven in de Wet Bescherming Persoonsgegevens
Bestand - Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen
Betrokkene - Degene op wie een persoonsgegeven betrekking heeft
Bewerker - Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen
Derde - Ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken
Persoonsgegeven - Elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon
Ontvanger - Degene aan wie de persoonsgegevens worden verstrekt
Toestemming van de betrokkene - Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt
Verstrekken van persoonsgegevens - Het bekend maken of ter beschikking stellen van persoonsgegevens
Verwerker - Degene die persoonsgegevens verzamelt of verwerkt (namens) PMU Elegance
Verantwoordelijke - De natuurlijke persoon, rechtspersoon of ieder ander die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt
Verwerking van persoonsgegevens - Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens
Verzamelen van persoonsgegevens - Het verkrijgen van persoonsgegevens
III Privacyreglement
Artikel 1 Verzamelen en verwerken van gegevens
Voorafgaand aan het verzamelen van informatie deelt PMU Elegance het volgende mee aan de cliënt:
- Zijn / haar identiteit
- Het doel en de grond van de verwerking van persoonsgegevens
1.1 Via de website kunnen de volgende gegevens worden verzameld:
- Contactgegevens via een formulier (dient te worden beveiligd met Recaptcha en op de website moet een SSL-certificaat opgenomen zijn)
- Cookies
Wat gebeurt er na het verzamelen van de gegevens:
- Waar wordt het opgeslagen? Gegevens worden opgeslagen op de NAS. Hierop zit een beveiligde wachtwoord. Daarnaast heeft alleen de persoon die het verwerkt toegang tot deze map op de NAS.
- Hoe lang wordt het opgeslagen? Gegevens worden niet langer opgeslagen dan noodzakelijk is voor de wet of vanuit bewaarplicht.
- Wanneer wordt het vernietigd? Gegevens worden op verzoek van de klant vernietigd, mits dit niet in strijd is met de wet en de bewaarplicht. Anders worden de gegevens vernietigd wanneer de bewaartermijn is verstreken.
1.2 Persoonlijke en medische gegevens worden verzameld in het kader van goede zorgverlening. De volgende gegevens worden verzameld:
- Naam en achternaam
- Afspraak datum
- Foto’s van voor en na de behandeling
Wat gebeurt er na het verzamelen van de gegevens:
- Waar wordt het opgeslagen? De klantenkaart en foto’s worden bewaard op de NAS. Vanaf 1 januari 2020 tot twintig jaar na de laatste notitie in het dossier.
- Aan wie en wanneer worden ze verstrekt? Gegevens worden op verzoek aan de klant verstrekt en de persoon die de gegevens verwerkt.
1.3 Verlies van persoonsgegevens of inzage door onbevoegden wordt geregistreerd in SoloPartners bij datalek registratie. Verlies van gegevens of het lekken van gegevens wordt gemeld bij:
- Degene wie het betreft
- Bij de Autoriteit Persoonsgegevens volgens de Meldplicht datalekken.
1.4 PMU Elegance is aansprakelijk voor schade of het nadeel indien (behandelaars van) PMU Elegance de regels uit dit privacyreglement of wettelijke kaders niet naleven.
1.5 Als er herhaalde verzoeken door een betrokkene komen of een ongegrond of buitensporig verzoek wordt gedaan kan PMU Elegance beslissen een redelijke administratieve vergoeding te vragen of het verzoek weigeren.
1.6 Als de betrokkene minderjarig is en de leeftijd van 16 jaar nog niet heeft bereikt wordt er geen behandeling verricht in welke vorm dan ook.
1.7 Bij aanvang van de behandeling wordt de identiteit van de cliënt gecontroleerd dit wordt niet opgenomen op documenten. Deze zijn niet noodzakelijk om te bewaren.
1.8 Bijzondere persoonsgegevens, zoals beschreven in artikel 1.10, mogen niet worden verwerkt tenzij dit nodig is met het oog op iemands gezondheid of in het kader van goede behandeling van de betrokkene.
Dit is ook niet verboden wanneer wordt vastgesteld onder welke voorwaarden en met welk doel dit wel mag worden verzameld.
PMU Elegance neemt in het verwerkingsregister op welke bijzondere gegevens verwerkt worden en neemt de benodigde technische en organisatorische maatregelen. De Functionaris Gegevensbescherming houdt hier intern toezicht op.
1.9 Het is in beginsel verboden onder andere de volgende bijzondere persoonsgegevens te verwerken over iemands:
- godsdienst of levensovertuiging
- ras
- politieke gezindheid
- gezondheid
- seksueel leven
- lidmaatschap vakvereniging
- strafrechtelijke persoonsgegevens.
Artikel 2 Verstrekken van persoonsgegevens
2.1 Aan de cliënt/ klant wordt medegedeeld aan wie zijn /haar persoonsgegevens kunnen worden verstrekt.
2.2 Persoonsgegevens kunnen worden verstrekt aan behandelaars die direct betrokken zijn bij de zorgverlening aan de cliënt/ klant voor zover dit noodzakelijk voor de uitoefening van hun taak.
2.3 Buiten de organisatie kunnen onder verantwoordelijkheid van Elmas Aydin, persoonsgegevens worden verstrekt aan:
• Vanwege wettelijke voorschriften.
2.4 Indien verantwoordelijke zonder toestemming van betrokkene of diens wettelijk vertegenwoordiger persoonsgegevens aan derden verstrekt, wordt de cliënt of diens wettelijk vertegenwoordiger daarvan onverwijld in kennis gesteld, tenzij dit gevaar oplevert voor personen en of zaken.
2.5 Een cliënt/ klant, die meent dat richting hem is of zal worden gehandeld in strijd met dit privacyreglement, heeft PMU Elegance een klachtenregeling, welke op de website is gepubliceerd. Het staat de cliënt ook vrij om gebruik te maken van de in de AVG genoemde mogelijkheden (waaronder het indienen van een klacht bij de Autoriteit Persoonsgegevens).
In afwijking van het ter zake in dat reglement gestelde, valt het einde van de termijn waarbinnen men een klacht kan indienen samen met het einde van de bewaartermijn zoals die genoemd in onderhavig reglement.
2.6 In het kader van interne -en externe audits wordt nadrukkelijk om schriftelijke toestemming gevraagd van de cliënt of diens vertegenwoordiger tot inzage in het dossier op de dag van de audit.
2.7 Nabestaanden hebben in beginsel geen inzagerecht in persoonsgegevens. Inzage in het dossier van een persoon die overleden is, mag alleen als de cliënt/ klant dit voor zijn of haar overlijden heeft vastgelegd, tenzij er een zwaarwegend belang is voor de nabestaande(n). Het inzagerecht wordt uitgebreid als er sprake is van een medische fout.
Artikel 3 Toegang en beveiliging van persoonsgegevens
3.1 Onverminderd eventuele wettelijke voorschriften hebben alleen toegang tot persoonsgegevens:
- Elmas Aydin, voor zover noodzakelijk in het kader van beheer;
- Backoffice medewerker;
- De behandelaar, voor zover noodzakelijk voor de uitoefening van zijn taak.
3.2 PMU Elegance draagt zorg voor de nodige voorzieningen van technische en organisatorisch aard ter beveiliging van een persoonsregistratie tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.
3.3 De bewaartermijn van het medisch dossier is 20 jaar en dat gaat in op het moment dat de laatste wijziging in het dossier is aangebracht.
3.4 Vernietiging vindt plaats binnen een termijn van een jaar na afloop van de bewaartermijn, tenzij er een klacht is ingediend waarbij de gegevens betrokken zijn of een gerechtelijke procedure een langere bewaarplicht oplegt of tenzij specifieke wetten anders vermelden.
3.5 De bewaartermijn kan door Elmas Aydin worden verlengd na toestemming van de cliënt/ klant.
3.6 Als de bewaartermijn van de persoonsgegevens is verstreken of de betrokkene een verzoek doet tot verwijdering vóór het verstrijken van de bewaartermijn, worden de desbetreffende (medische) gegevens binnen een termijn van drie maanden verwijderd.
Artikel 4 Cliëntrechten privacygegevens
4.1 De betrokkene heeft het recht bezwaar te maken tegen opname en vastlegging van op hem/haar betrekking hebbende persoonsgegevens. PMU Elegance gaat slechts over tot het opnemen van de bedoelde gegevens als en voor zover dit voor het verlenen van de zorg en de bedrijfsvoering noodzakelijk is of op grond van een wettelijk voorschrift vereist is.
4.2 Als PMU Elegance aan het verzoek van de betrokkene niet of slechts gedeeltelijk gehoor kan geven, wordt dit schriftelijk binnen dertig dagen, en gemotiveerd door Elmas Aydin medegedeeld.
4.3 De betrokkene heeft het recht op inzage van zijn persoonsgegevens. Hij zal zich hierbij dienen te legitimeren.
4.4 Inzage kan slechts geweigerd worden op grond van artikel 41 van de Algemene Verordening Gegevensbescherming als:
- het verzoek de openbare veiligheid in het geding brengt;
- ter voorkoming van strafbare feiten of de opsporing daarvan;
- ter bescherming van rechten van vrijheid van anderen.
Deze weigering dient binnen vier weken met motivatie schriftelijk door Elmas Aydin aan de cliënt te worden medegedeeld.
4.5 De betrokkene heeft recht op een afschrift van de cliënt/ klant persoonsgegevens. Elmas Aydin kan voor het afschrift een vergoeding vragen. Het verzoek tot een afschrift wordt ingediend bij PMU Elegance. PMU Elegance verstrekt het afschrift binnen vier weken na ontvangst van het verzoek. Bij afgifte dient de cliënt/ klant zich te legitimeren.
4.6 De betrokkene kan PMU Elegance schriftelijk verzoeken de hem betreffende persoonsgegevens te verbeteren, aan te vullen of te verwijderen, als deze feitelijk onjuist zijn, voor het doel van de registratie onvolledig of niet ter zake dienend zijn.
PMU Elegance bericht de cliënt/ klant binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan kan voldoen.
PMU Elegance draagt zorg voor een deugdelijke vaststelling van de identiteit van de cliënt/ klant.
PMU Elegance is gehouden de beslissing tot verbetering, aanvulling of verwijdering zo spoedig mogelijk, echter binnen 30 dagen te laten uitvoeren.
4.7 Op schriftelijk verzoek van een betrokkene gaat PMU Elegance over tot verbetering, aanvulling, verwijdering en/of afscherming van de over de verzoeker verwerkte persoonsgegevens, als en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend zijn of meer omvatten dan voor het doel van de registratie nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek van betrokkene bevat de aan te brengen wijzigingen.
- PMU Elegance deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Als hij daaraan niet of niet geheel wil voldoen, motiveert hij dat. Verzoeker heeft in dit verband de mogelijkheid zich te wenden tot partijen zoals beschreven in artikel 4.8.
PMU Elegance draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming binnen 14 werkdagen, en wanneer dit redelijkerwijs niet mogelijk blijkt anders zo spoedig mogelijk nadien, wordt uitgevoerd.
4.8 Als de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd, kan hij zich richten tot:
- Directie van PMU Elegance
- Klachtenfunctionaris
- Klachtencommissie
- Rechtbank
- Autoriteit Persoonsgegevens
Artikel 5 Gebruik van sociale media
5.1 Voor het gebruik van beeld en geluid (zoals foto’s van betrokkene(n), wordt vooraf schriftelijke toestemming gevraagd aan de betrokkene.
5.2 PMU Elegance legt nadere regels vast over het gebruik van social media en apps die gebruikt worden voor communicatie, zoals WhatsApp. PMU Elegance houdt hierbij rekening met het feit dat deze bedrijven gebruikers onvolledig informeren over het gebruik van persoonsgegevens en daarmee in strijd kunnen handelen met de Nederlandse privacywetgeving, terwijl deze onverkort voor hen van toepassing is.
Artikel 6 Emailverkeer
6.1 PMU Elegance stelt nadere regels vast over het e-mailgebruik waarin medische gegevens of persoonsgegevens van cliënten/ klanten staan.
Artikel 7 Vaststellen en wijziging reglement
7.1 Dit reglement is vastgesteld op 22 mei 2021 door Elmas Aydin.