Privacywet AVG

De Algemene Verordening Gegevensbescherming (AVG)  beschrijft hoe de privacy zo transparant mogelijk vertaald en geborgd dient te zijn. Het gaat dan niet alleen over de bewaartermijn van de gegevens maar ook om duidelijkheid over onder meer de volgende punten:

• het recht van betrokkene om inzage in zijn gegevens te krijgen, en het recht op rectificatie of wissen van de gegevens of beperking van de verwerking daarvan, en het recht tegen de verwerking (en/of overdracht) bezwaar te maken;
• het recht van betrokkene om zijn verleende toestemming in te trekken;
• het recht van betrokkene om binnen één maand zijn rechten te laten uitvoeren.

Voor verdere uitleg attendeer ik u op een informatieve site,  https://hulpbijprivacy.nl

=================================================================

 

PRIVACYSTATEMENT M.D. KOSTER

KOSTER PRAKTIJK VOOR PSYCHOTHERAPIE

BLOEMENDALSTRAAT 7, 8011 PJ ZWOLLE

 

M.D. Koster, gevestigd te Zwolle en ingeschreven bij de Kamer van Koophandel onder nummer 52112462, hecht belang aan de bescherming van persoonsgegevens. Dit privacystatement legt uit hoe M.D. Koster met informatie over een geïdentificeerde of identificeerbare natuurlijke persoon omgaat, zoals bedoeld in de Algemene verordening gegevensbescherming (AVG).

 
1.     Toepassing

Dit is van toepassing op de volgende categorieën natuurlijke personen van wie M.D. Koster persoonsgegevens verwerkt:

1. (potentiële) patiënten;
2. alle overige personen die met M.D. Koster contact opnemen of van wie M.D. Koster  persoonsgegevens verwerkt.

 
2.     Verwerking van persoonsgegevens

M.D. Koster verwerkt persoonsgegevens die:

1. een betrokkene zelf persoonlijk (tijdens een bespreking of bijeenkomst), telefonisch, of digitaal (via e-mail) heeft verstrekt, zoals contactgegevens of andere persoonsgegevens;
2. met toestemming van de betrokkene worden opgevraagd bij andere hulpverleners of verwijzers;
3. met schriftelijke toestemming gemaakte video-opnames tijdens sessies.

 
3.     Doeleinden verwerking

M.D. Koster verwerkt persoonsgegevens voor de volgende doeleinden:

1. het uitvoeren van een geneeskundige behandelovereenkomst en de declaratie voor verrichte werkzaamheden;
2. het onderhouden van contact, door uitnodigingen voor bijeenkomsten en informatie waar een betrokkene zelf om heeft gevraagd;

 
4.     Rechtsgrond

M.D. Koster verwerkt persoonsgegevens op basis van één van de volgende rechtsgronden:

1. toestemming van de betrokkene. Deze toestemming kan altijd weer worden ingetrokken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking;
2. uitvoering van -of met het oog op- het sluiten van een geneeskundige behandelovereenkomst, waaronder ook het declareren aan derden, zoals de zorgverzekeringsmaatschappij e.d.;
3. een wettelijke verplichting, zoals bijvoorbeeld de verplichting om een medisch dossier bij te houden of het BSN te registreren;
4. een gerechtvaardigd belang, zoals het gebruik van contactgegevens voor het uitnodigen voor een bijeenkomst.

 
5.        Verwerkers

M.D. Koster kan voor het verwerken van persoonsgegevens dienstverleners (verwerkers) inschakelen die uitsluitend volgens instructies van M.D. Koster persoonsgegevens verwerken.

M.D. Koster sluit met verwerkers een verwerkersovereenkomst die voldoet aan de eisen die de Algemene verordening gegevensbescherming (AVG) daaraan stelt.

 
6.        Persoonsgegevens delen met derden

M.D. Koster deelt persoonsgegevens met derden, als dat in het kader van de behandeling (bijvoorbeeld een verwijzing) is aangewezen of voor het voldoen aan een wettelijke verplichting nodig is. M.D. Koster deelt geen persoonsgegevens met derden voor commerciële doeleinden, tenzij bijeenkomsten samen met een andere organisatie worden georganiseerd. In dat geval worden uitsluitend noodzakelijke contactgegevens gedeeld.


7.        Doorgifte buiten de EER

M.D. Koster geeft in beginsel geen persoonsgegevens door aan landen buiten de Europese Economische Ruimte (EER). Indien dit toch noodzakelijk mocht zijn, draagt M.D. Koster ervoor zorg dat de doorgifte alleen plaatsvindt als de Europese Commissie heeft aangegeven dat het betreffende land een passend beschermingsniveau biedt of als sprake is van passende waarborgen in de zin van de Algemene verordening gegevensbescherming (AVG).

8.        Bewaren van gegevens

M.D. Koster bewaart persoonsgegevens niet langer dan nodig is. M.D. Koster hanteert in beginsel de volgende bewaartermijnen:

1. medische gegevens: ten minste 20 jaar na het einde van de behandelovereenkomst;
2. (financieel-)administratieve gegevens: 7 jaar na vastlegging van de gegevens;

9.        Wijzigingen privacystatement

M.D. Koster kan dit privacystatement altijd wijzigen. Een actuele versie van het privacystatement wordt op de website van M.D. Koster gepubliceerd. Het is verstandig dit privacystatement regelmatig te raadplegen, zodat u bekend bent met eventuele wijzigingen.

10.     Rechten, vragen en klachten

U hebt het recht M.D. Koster te verzoeken persoonsgegevens in te zien, te rectificeren, te verwijderen, over te dragen, de verwerking te beperken en tegen de verwerking bezwaar te maken. Hierover kunt u contact opnemen met M.D. Koster door een e-mailbericht te sturen naar info@kosterpsychotherapie.nl.

 

Ook bij vragen of klachten over de wijze waarop M.D. Koster persoonsgegevens verwerkt, kunt u contact opnemen met M.D. Koster door een e-mailbericht te sturen naar info@kosterpsychotherapie.nl. Een klacht trachten wij naar tevredenheid op te lossen. Mocht dat niet lukken, dan kunt u zich wenden tot de Autoriteit Persoonsgegevens (AP).

===============================================================

PRIVACYBELEID M.D. KOSTER

KOSTER PRAKTIJK VOOR PSYCHOTHERAPIE

BLOEMENDALSTRAAT 7, 8011 PJ ZWOLLE

1.     Inleiding

 Dit is het privacybeleid van M.D.Koster. Dit privacybeleid heeft betrekking op het verwerken van (bijzondere) persoonsgegevens in het kader van zowel de zorgverlening als de (interne) bedrijfsvoering van M.D. Koster

 M.D. Koster is als zorgaanbieder verwerkingsverantwoordelijke. M.D. Koster bepaalt het doel en de middelen voor de verwerking van (bijzondere) persoonsgegevens. Dit document beschrijft de wijze waarop  M.D. Koster als verwerkingsverantwoordelijke met (bijzondere) persoonsgegevens omgaat, zodat aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG)wordt voldaan.

 Aan bod komen de volgende onderwerpen:

 Actualisatie en controle naleving privacybeleid;

1. Categorieën persoonsgegevens en doelen;
2. Organisatorische en technische maatregelen / beveiliging;
3. Informatieplicht;
4. Verwerkingsregister;
5. Verwerkers en ontvangers;
6. Bewaartermijnen;
7. Vooralsnog geen gegevensbeschermingseffectbeoordeling (DPIA);
8. Doorgifte buiten de EU;
9. Geen functionaris voor de gegevensbescherming;
10. Beveiligingsincidenten;
11. Rechten van betrokkenen.

2.     Actualisatie en controle naleving privacybeleid

 De verwerking van (bijzondere) persoonsgegevens binnen de praktijk van M.D. Koster dient in overeenstemming te blijven met de AVG en met elke verordening en wet- en regelgeving die de AVG aanvult, wijzigt of vervangt. Om die reden zal het privacybeleid periodiek worden geëvalueerd en zo nodig worden aangepast. Eveneens zal periodiek worden gecontroleerd of het privacybeleid door verwerkers van M.D. Koster daadwerkelijk wordt nageleefd.


3.     Categorieën persoonsgegevens en verwerkingsdoelen

 M.D. Koster verwerkt (bijzondere) persoonsgegevens van de volgende categorieën personen:

1. (potentiële) patiënten;
2. alle overige personen die met M.D. Koster contact opnemen of van wie M.D. Koster persoonsgegevens verwerkt.

  (potentiële) patiënten

M.D. Koster verwerkt (bijzondere) persoonsgegevens van (potentiële) patiënten, ten behoeve van identificatie van de patiënt en de uitvoering van de behandelovereenkomst. Voor identificatie gaat het om naam, contact- en adresgegevens, geboortedatum en kenmerk van het identiteitsbewijs en BSN van de patiënt. Voor de uitvoering van de behandelovereenkomst gaat het ook om andere persoonsgegevens, zoals medische gegevens.

De opgenomen gegevens van een patiënt worden in het ICT-systeem van M.D. Koster opgeslagen.

  overige personen

In het kader van de behandeling, kan M.D. Koster ook gebruikmaken van gegevens afkomstig van andere hulpverleners.

 

4.     Organisatorische en technische maatregelen / beveiliging

Uitgangspunt voor M.D. Koster is dat niet meer (bijzondere) persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld, zowel intern als bij inschakeling van derde partijen. Voor beide gevallen heeft M.D. Koster passende technische en organisatorische maatregelen getroffen om persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking.

 

Interne maatregelen

M.D. Koster heeft de volgende interne technische en organisatorische maatregelen getroffen:

1.  het uitwisselen van vertrouwelijke informatie met andere zorgverleners dient (conform NEN 7510, NEN 7512 en NEN 7513) uitsluitend via een beveiligde verbinding (versleuteld mailverkeer, M.D. Koster gebruikt hiervoor ZIVVER) plaats te vinden. E-mailen met andere hulpverleners is alleen toegestaan voor algemene communicatie. Uitwisseling van vertrouwelijke informatie via (zakelijke of privé) e-mailaccounts van medewerkers of via applicaties als WhatsApp, Dropbox of WeTransfer is niet toegestaan;
2. vertrouwelijke informatie dient uitsluitend te worden opgeslagen in het ICT-systeem van de praktijk dat voldoet aan NEN 7510, NEN 7512 en NEN 7513 en niet daarbuiten. Het is ook niet toegestaan vertrouwelijke informatie naar externe gegevensdragers te kopiëren, tenzij dit noodzakelijk is en deze gegevens zijn versleuteld;
3. M.D. Koster ervoor zorg dat haar wachtwoord voor het ICT-systeem van de praktijk voldoende sterk is en periodiek wordt gewijzigd;
4. het is niet toegestaan apparatuur als laptops, tablets en mobiele telefoons onbeheerd buiten de praktijk achter te laten. Toegang tot dergelijke apparatuur dient te zijn afgeschermd met een wachtwoord;
5. inloggegevens dienen vertrouwelijk te worden behandeld en dienen niet met derden te worden gedeeld. Uitsluitend in voorkomende gevallen mogen inloggegevens vertrouwelijk met een collega worden gedeeld, zoals in geval van waarneming tijdens verlof. Deze inloggegevens staan ook vermeld in mijn praktijktestament zodat twee collega's in geval van mijn overlijden, praktijkzaken kunnen oppakken en afronden.
6. bij (dagelijks) vertrek van de praktijk dient M.D. Koster haar desktop computer volledig uit te loggen, af te sluiten en eventuele papieren dossiers volledig en veilig op te bergen;
7. het is niet toegestaan, zonder toestemming van M.D. Koster, software te downloaden en/of om firewalls of virusscanners aan te passen of te verwijderen;
8. een thuiscomputer van de zorgaanbieder waarmee verbinding wordt gemaakt met het netwerk van de praktijk (VPN-verbinding) dient te zijn voorzien van actieve wachtwoordbeveiliging, firewall en virusscanner. Veiligheidsupdates dienen tijdig te worden uitgevoerd. Er mag geen verbinding worden gelegd via openbare wifi-netwerken. Het is niet toegestaan vertrouwelijke informatie op de thuiscomputer op te slaan of om papieren dossiers of externe gegevensdragers (zoals een laptop, tablet of externe harde schijn) met vertrouwelijke informatie onbeheerd in een auto of elders buiten de praktijk achter te laten;
9. bij vertrek van de praktijk dient M.D. Koster te controleren of er nog medehuurders in het pand aanwezig zijn. De laatst aanwezige medehuurder zorgt ervoor dat alle ramen en deuren zijn gesloten en dat het alarm wordt geactiveerd;
10. toegang tot het pand is alleen mogelijk met aan M.D. Koster verstrekte sleutels. Sleutels mogen niet aan derden worden afgegeven.

 

M.D. Koster ziet toe op naleving van de hiervoor genoemde maatregelen.

  Verwerkers

Met verwerkers heeft M.D. Koster afspraken gemaakt over de te nemen technische en organisatorische maatregelen. Op grond van de vastgestelde risico’s die de persoonsgegevens en de aard van de verwerking met zich meebrengen, is het gewenste beveiligingsniveau bepaald.

Door M.D. Koster ingeschakelde verwerkers zijn verplicht M.D. Koster alle informatie te verstrekken die nodig is om de nakoming van de verplichtingen als verwerker aan te tonen en audits, waaronder inspecties, door M.D. Koster of een door M.D. Koster gemachtigde controleur mogelijk te maken en er aan bij te dragen.

 

  5.     Informatieplicht

 M.D. Koster informeert betrokkenen over hoe met (bijzondere)persoonsgegevens wordt omgegaan. Voor personen die niet aan M.D. Koster zijn verbonden, is om die reden een extern privacystatement opgesteld. Dit privacystatement is op de website van M.D. Koster gepubliceerd.

 

  6.     Verwerkingsregister

 M.D. Koster houdt een verwerkingsregister bij. Dit register bevat een beschrijving van onder meer de verwerkingsdoeleinden, categorieën betrokkenen en ontvangers, bewaartermijnen en beveiligingsmaatregelen. In het verwerkingsregister worden verwerkingsactiviteiten per categorie betrokkene en per categorie persoonsgegeven bijgehouden.

Het verwerkingsregister (Excel-bestand) is opgenomen in het ICT-systeem van de praktijk. 

 

  7.     Verwerkers en ontvangers

  Verwerkers

M.D. Koster kan bij het verwerken van (bijzondere) persoonsgegevens gebruikmaken van externe dienstverleners. Deze dienstverleners verwerken uitsluitend (bijzondere) persoonsgegevens op instructie van M.D. Koster. Met deze partijen heeft M.D. Koster verwerkersovereenkomsten gesloten. In deze overeenkomsten zijn afspraken vastgelegd over onder meer de aard en doeleinden van de verwerking, het soort persoonsgegevens dat wordt verwerkt, geheimhoudingsplicht, instructies over de verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van subverwerkers, privacyrechten van betrokkenen, audits en controle alsook het retourneren en/of verwijderen van persoonsgegevens door de verwerker.

M.D. Koster maakt gebruik van de volgende verwerkers:

 

Mijndomein Webhosting,

support@mijndomein.nl

 

Epos Zilos ZGP Services, Hoogmadeseweg 58, 2351 CV Leiderdorp.

info@eposzilos.nl , 06-52223358.

 

Qualizorg B.V., Maagdenburgstraat 22, 7421ZC Deventer.

info@reflectum.nl , 0570-820219.

 

ZIVVER, Overschiestraat 186-J, 1062 XK Amsterdam.

contact@zivver.com , 085-0160555

 

Ontvangers

M.D. Koster verstrekt (bijzondere) persoonsgegevens van betrokkenen aan derden wanneer dat noodzakelijk is in het kader van de uitvoering van de behandelovereenkomst, de uitvoering van een (arbeids)overeenkomst of in geval van een wettelijke verplichting. Daarbuiten worden geen persoonsgegevens aan derden verstrekt zonder voorafgaande uitdrukkelijke toestemming van de betrokkene. 

8.     Bewaartermijnen

M.D. Koster vernietigt persoonsgegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden. De persoonsgegevens worden in dat geval verwijderd.

 

M.D. Koster hanteert in beginsel de volgende bewaartermijnen:

 medische gegevens: ten minste 20 jaar na het einde van de behandelovereenkomst;

1. (financieel-)administratieve gegevens: 7 jaar na vastlegging van de gegevens;

9.     Vooralsnog geen gegevensbeschermingseffectbeoordeling (DPIA)

In uitzonderingsgevallen zou sprake kunnen zijn van het uitvoeren van een DPIA. In dat geval voert M.D. Koster voor elke nieuwe verwerking van persoonsgegevens een DPIA uit, indien deze een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, gelet op de aard, de omvang, de context en de doeleinden daarvan.

10.   Doorgifte buiten EER

M.D. Koster geeft in beginsel geen (bijzondere) persoonsgegevens door aan landen buiten de Europese Economische Ruimte (EER). Indien dit toch noodzakelijk mocht zijn, draagt M.D. Koster ervoor zorg dat de doorgifte alleen plaatsvindt als de Europese Commissie heeft aangegeven dat het betreffende land een passend beschermingsniveau biedt of als sprake is van passende waarborgen in de zin van de AVG.

 

11.   Geen functionaris voor de gegevensbescherming

Een verwerkingsverantwoordelijke dient een functionaris voor de gegevensbescherming (FG)aan te wijzen, onder meer in geval deze hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens (zoals medische gegevens). ‘Hoofdzakelijk belast’ heeft betrekking op de kernactiviteiten van de verwerkingsverantwoordelijke. De Artikel 29-werkgroep definieert kernactiviteiten als processen die essentieel zijn om de doelen van de organisatie te bereiken, of die tot de hoofdtaken van de organisatie horen.

M.D. Koster heeft geen FG aangesteld aangezien geen sprake is van een grootschalige verwerking van bijzondere persoonsgegevens (zie handleiding).


12.   Beveiligingsincidenten

M.D. Koster heeft passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beëindigen en de schade zo veel mogelijk te beperken, dient als volgt te worden gehandeld.

 

Bij elk incident met betrekking tot persoonsgegevens zal M.D. Koster beoordelen:

-        of sprake is van een incident dat betrekking heeft op (bijzondere) persoonsgegevens;

-        welke maatregelen genomen moeten worden om het incident te beëindigen en de gevolgen te beperken;

-        of inschakeling van een externe partij is benodigd om bij de oplossing van het incident te assisteren;

-        of het incident aan de AP dient te worden gemeld;

-        of degenen op wie de persoonsgegevens betrekking hebben, over het incident dienen te worden ingelicht;

-        welke maatregelen er genomen moeten worden om herhaling van het incident te voorkomen.

 

M.D. Koster documenteert alle inbreuken in verband met persoonsgegevens in het datalekkenregister. 

Voor het geval dat een (potentieel) incident waarvan een door M.D. Koster ingeschakelde verwerker eerder op de hoogte is geraakt, is in de verwerkersovereenkomst bepaald dat de verwerker M.D. Koster zo snel mogelijk bericht. Ook zijn er afspraken gemaakt over het oplossen van het incident en het verstrekken van nadere gegevens.

 

  13.   Rechten van betrokkenen

Rechten die een betrokkene volgens de AVG in zijn algemeenheid heeft, zijn het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid, het recht van bezwaar en het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming. M.D. Koster heeft zodanige technische maatregelen genomen dat aan een gerechtvaardigde uitoefening van deze rechten gevolg kan worden gegeven.

Verzoeken van betrokkenen met betrekking tot persoonsgegevens worden door M.D. Koster  afgewikkeld.

Verzoeken en de afhandeling daarvan worden opgeslagen in een afzonderlijke map in het ICT-systeem.

Na ontvangst van een verzoek zal M.D. Koster eerst de identiteit van de verzoeker vaststellen, aan de hand van naam, contact- en adresgegevens, identiteitsbewijs en geboortedatum.

Nadat de identiteit van de verzoeker is vastgesteld, zal M.D. Koster aan de verzoeker bevestigen dat er binnen één maand op het verzoek zal worden gereageerd. Als blijkt dat het verzoek complex is, kan deze termijn met maximaal twee maanden worden verlengd. Over verlenging van de termijn informeert M.D. Koster de verzoeker binnen de eerste maand.

M.D. Koster stelt vast welk recht de verzoeker inroept en verzamelt in dat kader de benodigde gegevens. M.D. Koster beoordeelt of aan het verzoek van de verzoeker kan worden voldaan, mede gelet op het beroepsgeheim en de wettelijke bewaarplicht. De behandelaar legt zijn bevindingen in een verslag vast. Het verslag wordt opgeslagen in een map van het ICT-systeem van de praktijk, dat speciaal voor het verzoek is aangelegd.

In beginsel worden aan de verzoeker voor de behandeling van het verzoek geen kosten in rekening gebracht. Niettemin kan de verzoeker een redelijke vergoeding op basis van de administratieve kosten in rekening worden gebracht, bijvoorbeeld in geval van herhaalde (ongegronde) verzoeken of als meer dan één kopie van een dossier wordt verlangd.

Als het verzoek wordt gehonoreerd en het verzoek heeft betrekking op rectificatie, wissing of beperking van de verwerking, dienen ook de externe partijen die de persoonsgegevens hebben ontvangen van het verzoek in kennis te worden gesteld. M.D. Koster stelt vast of daarvan sprake is en noteert de derde partijen in zijn verslag. Dergelijke kennisgevingen aan externe partijen laat M.D. Koster achterwege als dit onmogelijk blijkt of onevenredig veel inspanning vergt.