PRIVACYBELEID A.L.J.M. Damen
1. Inleiding
Dit is het privacybeleid van A.L.J.M. Damen. Dit privacybeleid heeft betrekking op het verwerken van (bijzondere) persoonsgegevens in het kader van zowel de zorgverlening als de (interne) bedrijfsvoering van A.L.J.M. Damen.
A.L.J.M. Damen is als zorgaanbieder verwerkingsverantwoordelijke. A.L.J.M. Damen bepaalt het doel en de middelen voor de verwerking van (bijzondere) persoonsgegevens. Dit document beschrijft de wijze waarop A.L.J.M. Damen als verwerkingsverantwoordelijke met (bijzondere) persoonsgegevens omgaat, zodat aan de vereisten van de Algemene verordening gegevensbescherming (‘AVG’) wordt voldaan.
Aan bod komen de volgende onderwerpen:
2. Actualisatie en controle naleving privacybeleid;
3. Categorieën persoonsgegevens en doelen;
4. Organisatorische en technische maatregelen / beveiliging;
5. Informatieplicht;
6. Verwerkingsregister;
7. Verwerkers en ontvangers;
8. Bewaartermijnen;
9. Vooralsnog geen gegevensbeschermingseffectbeoordeling (DPIA);
10. Doorgifte buiten de EU;
11. Geen functionaris voor de gegevensbescherming;
12. Beveiligingsincidenten;
13. Rechten van betrokkenen.
2. Actualisatie en controle naleving privacybeleid
De verwerking van persoonsgegevens binnen Psychologenpraktijk Element dient in overeenstemming te
blijven met de AVG en met elke verordening en wet- en regelgeving die de AVG aanvult, wijzigt of
vervangt. Om die reden zal het privacybeleid periodiek worden geëvalueerd en zo nodig worden
aangepast. Eveneens zal periodiek worden gecontroleerd of het privacybeleid door medewerkers en
verwerkers van A.L.J.M. Damen daadwerkelijk wordt nageleefd.
3. Categorieën persoonsgegevens en verwerkingsdoelen
A.L.J.M. Damen verwerkt persoonsgegevens van de volgende categorieën personen:
a. (potentiële) patiënten;
b. bezoekers aan de praktijk van A.L.J.M. Damen;
c. bezoekers van www.psychologenpraktijkelement.nl;
d. deelnemers aan bijeenkomsten van A.L.J.M. Damen;
e. alle overige personen die met A.L.J.M. Damen contact opnemen of van wie A.L.J.M. Damen
persoonsgegevens verwerkt.
a. (potentiële) patiënten
A.L.J.M. Damen verwerkt persoonsgegevens van (potentiële) patiënten, ten behoeve van
identificatie van de patiënt en de uitvoering van de behandelovereenkomst. Voor identificatie gaat
het om naam, contact- en adresgegevens, geboortedatum en kenmerk van het identiteitsbewijs en
BSN van de patiënt. Voor de uitvoering van de behandelovereenkomst gaat het ook om andere (bijzondere) persoonsgegevens, zoals medische gegevens.
De opgenomen gegevens van een patiënt worden in het EPD (Incura) van A.L.J.M. Damen
opgeslagen. Dit systeem is een online versie, wat betekent dat er geen vertrouwelijke gegevens op de computer zelf staan.
b. bezoekers aan de praktijk van A.L.J.M. Damen.
Er worden geen beelden gemaakt door een camera o.i.d.
c. bezoekers van www.psychologenpraktijkelement.nl
kunnen via de site contact opnemen met A.L.J.M. Damen. De mail zal binnenkort versleuteld worden.
d. Er worden geen bijeenkomsten georganiseerd door A.L.J.M. Damen .
e. Overige personen
A.L.J.M. Damen heeft geen medewerkers in dienst. Er is sprake van een solo-praktijk. In het kader van de behandeling, kan A.L.J.M. Damen ook gebruikmaken van gegevens afkomstig van andere hulpverleners.
4. Organisatorische en technische maatregelen / beveiliging
Uitgangspunt voor A.L.J.M. Damen is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld, zowel intern als bij inschakeling van derde partijen. Voor beide gevallen heeft A.L.J.M. Damen passende technische en organisatorische maatregelen getroffen om persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking.
Interne maatregelen A.L.J.M. Damen heeft de volgende interne technische en organisatorische maatregelen getroffen:
a. het uitwisselen van vertrouwelijke informatie met andere zorgverleners dient (conform NEN7510 , NEN 7512 en NEN 7513) uitsluitend via een beveiligde verbinding (versleuteld mailverkeer) plaats te vinden. Er wordt gebruik gemaakt van zorgdomein. Ook wordt gebruikt gemaakt van een beveiligde app applicatie Ziilo. E-mailen met andere hulpverleners is alleen toegestaan voor algemene communicatie. Uitwisseling van vertrouwelijke informatie via (zakelijke of privé) e-mailaccounts van medewerkers of via applicaties als WhatsApp, Dropbox of WeTransfer is niet toegestaan;
b. vertrouwelijke informatie dient uitsluitend te worden opgeslagen in het ICT-systeem (lees EPD) van de praktijk dat voldoet aan NEN 7510, NEN 7512 en NEN 7513 en niet daarbuiten. Het is ook niet toegestaan vertrouwelijke informatie naar externe gegevensdragers te kopiëren, tenzij dit noodzakelijk is en deze gegevens zijn versleuteld;
c. het is niet toegestaan apparatuur als laptops, tablets en mobiele telefoons onbeheerd buiten de praktijk achter te laten. Toegang tot dergelijke apparatuur dient te zijn afgeschermd met een wachtwoord;
d. een thuiscomputer van de zorgaanbieder zelf of van een medewerker waarmee verbinding wordt gemaakt met het netwerk van de praktijk (VPN-verbinding) dient te zijn voorzien van actieve wachtwoordbeveiliging, firewall en virusscanner. Veiligheidsupdates dienen tijdig te worden uitgevoerd. Er mag geen verbinding worden gelegd via openbare wifi-netwerken. Het is niet toegestaan vertrouwelijke informatie op de thuiscomputer op te slaan of om papieren dossiers of externe gegevensdragers (zoals een laptop, tablet of externe harde schijn) met vertrouwelijke informatie onbeheerd in een auto of elders buiten de praktijk achter te laten; A.L.J.M. Damen ziet op naleving van de hiervoor genoemde maatregelen. Steekproefsgewijs kunnen (proportionele) controles worden uitgevoerd.
e. Met verwerkers heeft A.L.J.M. Damen afspraken gemaakt over de te nemen technische en organisatorische maatregelen. Op grond van de vastgestelde risico’s die de persoonsgegevens en de aard van de verwerking met zich meebrengen, is het gewenste beveiligingsniveau bepaald. Door A.L.J.M. Damen ingeschakelde verwerkers zijn verplicht A.L.J.M. Damen alle informatie te verstrekken die nodig is om de nakoming van de verplichtingen als verwerker aan te tonen en audits, waaronder inspecties, door A.L.J.M. Damen of een door A.L.J.M. Damen gemachtigde controleur mogelijk te maken en er aan bij te dragen.
5. Informatieplicht
A.L.J.M. Damen informeert betrokkenen over hoe met persoonsgegevens wordt omgegaan. Voor personen die niet aan A.L.J.M. Damen zijn verbonden, is om die reden een extern privacystatement opgesteld. Dit privacystatement is op de website van A.L.J.M. Damen gepubliceerd.
6. Verwerkingsregister
Naam en contactgegevens praktijk
Psychologenpraktijk Element
Lovinklaan 6
6821HX Arnhem
06-39010616
Toon.damen@kpnmail.nl
contactpersoon: A.L.J.M. Damen
Doelen waarvoor persoonsgegevens verwerkt worden:
- Verlenen van zorg (GGZ).
- Beschrijving van personen van wie gegevens verwerkt worden. Zie 3.
- Beschrijving van de categorieën van persoonsgegevens.
A.L.J.M. Damen verwerkt zowel gewone als bijzondere persoonsgegevens. De gewone persoonsgegevens zijn: NAW, geboortedatum, BSN, email, telefoonnummer. De bijzondere persoonsgegevens zijn gezondheidsgegevens en gegevens betreffende leefomstandigheden, opleiding, werk. Deze informatie draagt ten allen tijde bij aan het doel (verlenen van zorg).
Datum wissen gegevens
Zie 8.
Categorieën van ontvangers aan wie u persoonsgegevens verstrekt
Informatie wordt (met toestemming van de cliënt) verstrekt aan:
- Huisartsen/andere verwijzers
- POH-GGZ
- Zorgverzekeraars
- Overige hulpverleners (om informatie op te vragen of bij een doorverwijzing informatie door te
geven)
Zie ook 7.
Beschrijving technische en organisatorische maatregelen
Zie 4.
7. Verwerkers en ontvangers
Verwerkers
A.L.J.M. Damen kan bij het verwerken van persoonsgegevens gebruikmaken van externe dienstverleners. Deze dienstverleners verwerken uitsluitend persoonsgegevens op instructie van A.L.J.M. Damen. Met deze partijen heeft A.L.J.M. Damen verwerkersovereenkomsten gesloten. In deze overeenkomsten zijn afspraken vastgelegd over onder meer de aard en doeleinden van de verwerking, het soort persoonsgegevens dat wordt verwerkt, geheimhoudingsplicht, instructies
over de verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van subverwerkers, privacyrechten van betrokkenen, audits en controle alsook het retourneren en/of verwijderen van persoonsgegevens door de verwerker.
A.L.J.M. Damen maakt gebruik van de volgende verwerkers:
- Incura
- Dataspeed
- JPO
Ontvangers
A.L.J.M. Damen verstrekt persoonsgegevens van betrokkenen aan derden wanneer dat noodzakelijk is in het kader van de uitvoering van de behandelovereenkomst of in geval van een wettelijke verplichting. Daarbuiten worden geen persoonsgegevens aan derden verstrekt zonder voorafgaande uitdrukkelijke toestemming van de betrokkene.
8. Bewaartermijnen
A.L.J.M. Damen vernietigt persoonsgegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden. De persoonsgegevens worden in dat geval verwijderd.
A.L.J.M. Damen hanteert in beginsel de volgende bewaartermijnen:
- a. medische gegevens: ten minste 20 jaar na het einde van de behandelovereenkomst;
- b. (financieel-)administratieve gegevens: 7 jaar na vastlegging van de gegevens;
- c. gegevens van medewerkers en zzp’ers, anders dan (financieel-)administratieve gegevens: 5 jaar na uitdiensttreding respectievelijk na het einde van de overeenkomst van opdracht;
- d. bezoekers van de website en ontvangers van nieuwsbrieven: 5 jaar na het laatste bezoek aan de website respectievelijk na uitschrijving voor de nieuwsbrief, tenzij eerder bezwaar wordt gemaakt in welk geval tot vernietiging zal worden overgegaan.
9. Vooralsnog geen gegevensbeschermingseffectbeoordeling (DPIA)
In uitzonderingsgevallen zou sprake kunnen zijn van het uitvoeren van een DPIA. In dat geval voert A.L.J.M. Damen voor elke nieuwe verwerking van persoonsgegevens een DPIA uit, indien deze een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, gelet op de aard, de omvang, de context en de doeleinden daarvan.
10. Doorgifte buiten EER
A.L.J.M. Damen geeft in beginsel geen persoonsgegevens door aan landen buiten de Europese Economische Ruimte (EER).
11. Geen functionaris voor de gegevensbescherming
Een verwerkingsverantwoordelijke dient een functionaris voor de gegevensbescherming (FG) aan te wijzen, onder meer in geval deze hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens (zoals medische gegevens). ‘Hoofdzakelijk belast’ heeft betrekking op de kernactiviteiten van de verwerkingsverantwoordelijke. De Artikel 29-werkgroep definieert kernactiviteiten als processen die essentieel zijn om de doelen van de organisatie te bereiken, of die tot de hoofdtaken van de organisatie horen. A.L.J.M. Damen heeft geen FG aangesteld aangezien geen sprake is van een grootschalige verwerking van bijzondere persoonsgegevens en er sprake is van een solopraktijk.
12. Beveiligingsincidenten
A.L.J.M. Damen heeft passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beëindigen en de schade zo veel mogelijk te beperken, dient als volgt te
worden gehandeld.
Bij elk incident met betrekking tot persoonsgegevens zal A.L.J.M. Damen beoordelen:
– of sprake is van een incident dat betrekking heeft op (bijzondere) persoonsgegevens;
– welke maatregelen genomen moeten worden om het incident te beëindigen en de gevolgen te beperken;
– of inschakeling van een externe partij is benodigd om bij de oplossing van het incident te assisteren;
– of het incident aan de AP dient te worden gemeld;
– of degenen op wie de persoonsgegevens betrekking hebben, over het incident dienen te
worden ingelicht;
– welke maatregelen er genomen moeten worden om herhaling van het incident te voorkomen.
A.L.J.M. Damen documenteert alle inbreuken in verband met persoonsgegevens in het datalekkenregister. Voor het geval dat een (potentieel) incident waarvan een door A.L.J.M. Damen ingeschakelde verwerker eerder op de hoogte is geraakt, is in de verwerkersovereenkomst bepaald dat de verwerker A.L.J.M. Damen zo snel mogelijk bericht. Ook zijn er afspraken gemaakt over het oplossen van het incident en het verstrekken van nadere gegevens.
13. Rechten van betrokkenen
Rechten die een betrokkene volgens de AVG in zijn algemeenheid heeft, zijn het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op vrdraagbaarheid, het recht van bezwaar en het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming. A.L.J.M. Damen heeft zodanige technische maatregelen genomen dat aan een gerechtvaardigde uitoefening van deze rechten gevolg kan worden gegeven.
Verzoeken van betrokkenen met betrekking tot persoonsgegevens worden door A.L.J.M. Damen afgewikkeld. Verzoeken en de afhandeling daarvan worden opgeslagen in een afzonderlijke map in het ICTsysteem. Na ontvangst van een verzoek zal A.L.J.M. Damen eerst de identiteit van de verzoeker vaststellen, aan de hand van naam, contact- en adresgegevens, identiteitsbewijs en geboortedatum. Nadat de identiteit van de verzoeker is vastgesteld, zal A.L.J.M. Damen aan de verzoeker bevestigen dat er binnen één maand op het verzoek zal worden gereageerd. Als blijkt dat het verzoek complex is, kan deze termijn met maximaal twee maanden worden verlengd. Over verlenging van de termijn informeert A.L.J.M. Damen de verzoeker binnen de eerste maand.
A.L.J.M. Damen stelt vast welk recht de verzoeker inroept en verzamelt in dat kader de benodigde gegevens A.L.J.M. Damen beoordeelt of aan het verzoek van de verzoeker kan worden voldaan, mede gelet op het beroepsgeheim en de wettelijke bewaarplicht. De behandelaar legt zijn bevindingen in een verslag vast. Het verslag wordt opgeslagen in een map van het ICT-systeem van de praktijk, dat speciaal voor het verzoek is aangelegd.
In beginsel worden aan de verzoeker voor de behandeling van het verzoek geen kosten in rekening gebracht. Niettemin kan de verzoeker een redelijke vergoeding op basis van de administratieve kosten in rekening worden gebracht, bijvoorbeeld in geval van herhaalde (ongegronde) verzoeken of als meer dan één kopie van een dossier wordt verlangd.
Als het verzoek wordt gehonoreerd en het verzoek heeft betrekking op rectificatie, wissing of beperking van de verwerking, dienen ook de externe partijen die de persoonsgegevens hebben ontvangen van het verzoek in kennis te worden gesteld. A.L.J.M. Damen stelt vast of daarvan sprake is en noteert de derde partijen in zijn verslag. Dergelijke kennisgevingen aan externe partijen laat A.L.J.M. Damen achterwege als dit onmogelijk blijkt of onevenredig veel inspanning vergt.
Arnhem, 17-08-2022