Inleiding
De AVG (GDPR) is de nieuwe wet ter bescherming van privacy en persoonsgegevens. Op grond van deze wet heeft een organisatie die met persoonsgegevens werkt bepaalde plichten en heeft degene van wie de gegevens zijn bepaalde rechten. Naast deze algemene wet gelden specifieke regels voor de privacy in de gezondheidszorg. Deze regels staan onder andere vermeld in de Wet Geneeskundige Behandelingsovereenkomst (WGBO). Dit privacyreglement is bedoeld om u te informeren over uw rechten en onze plichten die gelden op grond van de AVG en de WGBO.
Prognoz kan diverse persoonsgegevens van u vragen, registreren en vervolgens verwerken. Wanneer wij hier naar vragen, dit opslaan en verwerken dan is dat noodzakelijk om u medisch goed te kunnen behandelen en is dat nodig voor het financieel afhandelen van de behandeling. Daarnaast kan verwerking noodzakelijk zijn voor, bijvoorbeeld, de bestrijding van ernstig gevaar voor uw gezondheid of ter voldoening aan een wettelijke verplichting.
Begripsomschrijvingen
Persoonsgegeven(s): Ieder gegeven dat informatie verschaft over de identiteit van een persoon.
Gezondheidsgegeven(s): Alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen.
Bestand: Een gesorteerde verzameling van gegevens van verschillende personen (in dit geval cliënten).
Verwerken: Elke handeling die betrekking heeft op persoonsgegevens. Hieronder vallen in ieder geval: wijzigen, verzamelen, vastleggen, ordenen, bewaren, bijwerken, opvragen, raadplegen, gebruiken, samenbrengen, afschermen, uitwissen, vernietigen, verstrekken enzovoorts.
Verantwoordelijke: Degene die (formeel-juridisch) het doel en de middelen van de verwerking vaststelt.
Betrokkene: De persoon wiens persoonsgegevens worden verwerkt.
Vertegenwoordiger: Wettelijke vertegenwoordiger (bijvoorbeeld een ouder, voogd, of ander familielid) van een betrokkene die jonger is dan 16 jaar of onder curatele is gesteld.
Bewerker: Degene die in opdracht van de verantwoordelijke persoonsgegevens bewerkt.
Ontvanger: Degene aan wie de persoonsgegevens worden verstrekt.
Derden: ieder ander dan de betrokkene, Prognoz, de bewerker, of degene(n) die onder gezag van Prognoz of de bewerker gemachtigd is (zijn) om persoonsgegevens te verwerken.
Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens.
Informatie over Prognoz
Prognoz is gevestigd aan de Perzikengaarde 5 te Schiedam en ingeschreven onder inschrijvingsnummer 69125546 in het Handelsregister van de Kamer van Koophandel. Voor vragen over het privacy statement is Prognoz bereikbaar op telefoonnummer 0648748378. Ook kunt u contact opnemen per e-mail. Het e-mailadres is info@prognoz.nl. De contactgegevens van de Functionaris voor de Gegevensbescherming van Prognoz is de heer K. Kurit en is te bereiken onder nummer
0648748378
Reikwijdte
Dit privacyreglement is van toepassing op alle (persoons-) gegevens die Prognoz op welke manier dan ook verwerkt.
Doel
Het doel bij het verwerken van persoonsgegevens van cliënten / klanten is het zo breed mogelijk in kaart brengen van alle benodigde informatie over een cliënt / klant, zodat wij de dientverlening / zorgverlening hier zo goed mogelijk op kunnen laten aansluiten. Ook kunnen wij door informatie te verzamelen ons kwaliteitssysteem hanteren (en daarmee de kwaliteit van onze zorg verbeteren) en kunnen wij alle beslissingen omtrent onze dienst / zorg aan cliënten verantwoorden aan derden. Dit werkt in het voordeel van zowel onze cliënten / klanten, als onze medewerkers. Denk hierbij bijvoorbeeld maar aan de urenregistratie (waardoor de geleverde zorg verantwoord kan worden en personeel uitbetaald).
Grondslagen voor de gegevensverwerking
Natuurlijk verwerken wij niet zomaar alle gegevens. Er zijn bepaalde eisen en omstandigheden waaraan de verwerking van gegevens moeten voldoen. Zo gelden voor Prognoz de volgende voorwaarden waaronder gegevens mogen worden verwerkt:
* De betrokkene heeft ondubbelzinnig toestemming verleend;
* De verwerking is noodzakelijk voor de uitvoering of voorbereiding van een overeenkomst;
* De verwerking is noodzakelijk voor de uitvoering van een wettelijke verplichting;
* De verwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene (zoals een ernstig gevaar voor de gezondheid);
* De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang;
* De verwerking is noodzakelijk voor een goede vervulling van een publiekrechtelijke taak;
Daarnaast mogen de verwerkte gegevens niet bovenmatig zijn en moeten deze altijd juist, nauwkeurig, toereikend en ter zake dienend zijn. Daarom hanteren we bij Prognoz de volgende drie categorieën waaruit wij gegevens verzamelen:
- Personalia/identificatiegegevens,
- financiële/administratieve gegevens
- gezondheidsgegevens.
Informatieverstrekking
De betrokkene (zowel cliënt als werknemer) dient altijd geïnformeerd te worden over de verwerking van persoonsgegevens. Voor een cliënt geldt dat tijdens de intake duidelijk wordt gemaakt dat er sprake is van persoonsgegevens verwerking. Er gaat een kopie van dit reglement in het in Google drive, welke de cliënt in beheer houdt. Voor de medewerkers geldt dat tijdens een sollicitatiegesprek wordt aangegeven dat er persoonlijke gegevens van die (potentiële) werknemer worden verzameld. Zij krijgen een handboek mee, waarin ook dit privacy reglement is toegevoegd.
Verstrekken van persoonsgegevens
Binnen Prognoz worden persoonsgegevens van cliënten of medewerkers zonder toestemming van betrokkene verstrekt aan medewerkers indien dit voor hun taakuitoefening noodzakelijk is. Buiten Prognoz wordt er altijd afgewogen of het strikt noodzakelijk is om verzamelde persoonsgegevens te verstrekken. Onder andere op basis van het doel en de gevolgen van de verstrekking, de aard van de gegevens, de getroffen waarborgen en de verwachtingen van de betrokkene wordt er bekeken of het noodzakelijk is om gegevens te verstrekken.
Er zijn zes gronden waarop Prognoz persoonsgegevens zou mogen verstrekken aan derden. Deze zes gronden zijn: de toestemming (er moet altijd toestemming worden verleend), de overeenkomst (een overeenkomst moet kunnen worden nageleefd), de wettelijke verplichting (soms ben je wettelijk verplicht om een instantie van alle relevante informatie te voorzien), een vitaal belang van de betrokkene (in geval van een dringende medische noodzaak), de uitvoering van een publiekrechtelijk taak (dit geldt voor overheidsorganen) en het gerechtvaardigd belang (de rechten en het belang van de betrokkene moet worden afgewogen tegen het belang van het verstrekken van de gegevens). Indien Prognoz overgaat tot verstrekking van persoonsgegevens, moet er altijd sprake zijn van één van deze zes gronden.
Beroepsgeheim
Verstrekking van gegevens aan andere organisaties is niet toegelaten indien een ambts- of beroepsgeheim zich daartegen verzet. Indien dat het geval is, mag Prognoz uitsluitend met toestemming van de betrokkene de gevraagde informatie verstrekken. Er zijn echter ook een aantal uitzonderingen opgenomen, zoals wanneer medische gegevens verstrekt moeten worden aan personen die noodzakelijkerwijs bij de behandeling van een patiënt betrokken zijn, de zogenaamde ‘functionele eenheid’.
In beginsel is een organisatie niet verplicht om gegevens te verstrekken indien de politie hierom verzoekt, omdat de verzamelde persoonsgegevens in vertrouwen zijn verkregen. Er zijn echter uitzonderingen, namelijk wanneer de politie verzoekt om noodzakelijke gegevens ter voorkoming, opsporing of vervolging van strafbare feiten vervalt een aantal eisen uit de AVG. In deze situatie is een bedrijf genoodzaakt mee te werken aan het verzoek, zolang de politie kan uitleggen op welke wettelijke gronden de gegevens verstrekt dienen te worden. In de AVG zijn namelijk een aantal regelingen opgenomen op grond waarvan de werkgever verplicht is gegevens te verstrekken.
Er zijn ook situaties waarin bedrijven niet verplicht zijn om gegevens te verstrekken. Indien de politie niet aangeeft op grond van welke wettelijke regeling de informatie verstrekt dient te worden, is het niet verplicht om aan dit verzoek te voldoen. In veel gevallen mag een bedrijf dan zelfs niet eens meewerken, vanwege het vertrouwen waarmee de gegevens zijn verzameld. Om deze reden dienen medewerker van Prognoz altijd om een schriftelijk informatieverzoek van de politie te vragen, waarin duidelijk de grond van een wettelijke regeling wordt vermeld. Het kan voorkomen dat de politie verzoekt om een vrijwillige medewerking. Hier moet altijd worden afgewogen of het gerechtvaardigd is om de persoonsgegevens alsnog te vertrekken. Dit dient altijd te kunnen worden verantwoord en getoetst op grond van bovenstaande (uitzonderings-) gronden uit de AVG. Als er gegevens worden verstrekt aan de politie dient de betrokkene hier altijd van op de hoogte te worden gesteld.
Aansprakelijkheid
In Prognoz persoonsgegevens aan de politie verstrekt zonder dat dit mag of wij daartoe verplicht zijn, kan de betrokkene Prognoz daarvoor aansprakelijk stellen. Dus als de politie ons vraagt om gegevens te verstrekken, zullen wij altijd zoveel mogelijk informatie van hen vragen en, indien nodig, bedenktijd om het verzoek van de politie te kunnen overwegen. Hierbij zullen wij tevens juridisch advies inwinnen.
Rechten van de betrokkene
Elke betrokkene heeft het recht op inzage in zijn persoonsgegevens. Indien er door een betrokkene een verzoek tot inzage wordt gedaan, dient dit altijd schriftelijk te worden ingediend bij het bestuur van Prognoz. Hier wordt schriftelijk op gereageerd, tenzij een gewichtig belang van de betrokkene een andere vorm vergt. De gevraagde inzage en/of het gevraagde afschrift zal uiterlijk binnen vier weken plaatsvinden. Een verzoeker dient zich in zulke gevallen altijd te legitimeren voor inzage. Voor verstrekking van een schriftelijk afschrift mag een financiële vergoeding in rekening worden gebracht, ter hoogte van maximaal €4,50.
Als de betrokkene Prognoz om inzage verzoekt, dienen wij de betrokkene op een duidelijke manier te informeren welke gegevens wij van hem gebruiken, wat het doel is van dit gebruik en aan wie zij deze informatie hebben verstrekt. Indien er gegevens aan de politie zijn versterkt (waarbij er wel of geen sprake is van verplichting) is het altijd verstandig om dit schriftelijk te doen. Daarnaast wordt altijd in onze eigen administratie vastgelegd welke exacte gegevens zijn verstrekt aan de politie.
Tevens heeft de betrokkene recht op afscherming van gegevens. Dat wil zeggen dat hij of zij mag verzoeken om bepaalde gegevens af te schermen voor derden. Een verzoek hiertoe dient schriftelijk te worden ingediend.
Ook mag een betrokkene zich verzetten tegen het verwerken van zijn of haar gegevens. Ook dit dient schriftelijk te worden ingediend bij Prognoz.
Correctie van persoonsgegevens
De betrokkene kan de verantwoordelijke van Prognoz schriftelijk verzoeken de opgenomen persoonsgegevens te verbeteren, aan te vullen, te verwijderen, af te schermen of op een andere manier er voor te zorgen dat de onjuiste gegevens niet langer worden gebruikt. Hierbij moet er sprake zijn van feitelijke onjuistheden, een onvolledig of niet ter zake dienend doel van verwerking of
in strijd met een wettelijk voorschrift. Een verzoek tot correctie bevat in ieder geval de aan te brengen wijzigingen. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of en in hoeverre hij aan het verzoek zal voldoen. Een eventuele (gedeeltelijke) weigering op dit verzoek zal te allen tijde moeten worden onderbouwd door redenen van afwijzing. De verantwoordelijke draagt zorg dat de beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd.
In geval van correctie van de gegevens zal de verantwoordelijke derden aan wie de (onjuiste) gegevens zijn verstrekt van de wijziging op de hoogte stellen, voor zover dit redelijkerwijs mogelijk is.
Beveiliging van gegevensverwerking
De verantwoordelijke binnen Prognoz neemt passende technische en organisatorische voorzorgsmaatregelen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan. Zo mogen medewerkers van Prognoz alleen die persoonsgegevens inzien die voor hun taakuitoefening noodzakelijk zijn. Computers zijn beveiligd met wachtwoorden, zodat ongeautoriseerd personeel hier geen toegang toe heeft. Daarnaast wordt er een back-up opgeslagen van alle gegevens die Prognoz tot haar beschikking heeft, zodat deze nooit verloren kunnen gaan.
Prognoz maakt gebruik van Google drive om uw gegevens te registreren. Voor de beveiliging van de gegevens van cliënten en medewerkers verwijzen wij naar de privacy policy van Google drive. Deze is opgenomen in het KMS als zijnde E-04 Externe bestanden Google Privacy Policy NL d.d. 18-12-17. Op 22 januari 2019 wordt een geüpdatete versie van Google Drive Privacybeleid van kracht.
Bewaartermijnen gegevens
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor deze zijn verzameld of verwerkt. Met inachtneming van de wettelijke voorschriften heeft Prognoz de bewaartermijn van de in de registratie(s) opgenomen persoonsgegevens van cliënten in eerste aanleg vastgesteld op vijf jaar vanaf het moment dat deze zijn vervaardigd. Persoonsgegevens van medewerkers worden tevens vijf jaar nadat de medewerker uit dienst is getreden bewaard.
Verantwoordelijkheid van de bewerker
De verantwoordelijke verplicht de bewerker dit privacy reglement na te leven. De bewerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Ook de bewerker treft de benodigde maatregelen om de gegevens te beveiligen.
Anonieme gegevens
Indien de persoonsgegevens zijn geanonimiseerd kan de verantwoordelijke beslissen om deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de registratie. Geanonimiseerd houdt in dit kader in dat de verstrekte gegevens redelijkerwijs niet tot de individuele persoon herleidbaar zijn.
Personeelsgegevens
Tijdens de sollicitatieprocedure mag de werkgever aan de sollicitant enkel vragen stellen over aspecten die voor de functie en/of voor de functievervulling relevant zijn. De ingewonnen informatie dient vertrouwelijk en zorgvuldig te worden behandeld. Als een werkgever inlichtingen of strafrechtelijke gegevens over de sollicitant wil inwinnen bij derden, zal hij vooraf toestemming moeten vragen aan de sollicitant. De beoogde informatie moet direct verband houden met de te vervullen vacature en mag geen onevenredige inbreuk maken op de persoonlijke levenssfeer van de sollicitant. Resultaten van een psychologische test of de uitslag van een medische keuring mogen alleen na toestemming van de sollicitant aan de werkgever, de opdrachtgever, verstrekt worden.
Indien de sollicitant hierom verzoekt, dient de werkgever de persoonsgegevens uiterlijk vier weken na beëindiging van de sollicitatieprocedure te verwijderen. Tenzij de sollicitant toestemming geeft om deze gegevens voor een langere periode (na beëindiging van de sollicitatieprocedure) te bewaren.
Bij een faillissement, fusie of overname mogen personeelsdossiers worden overgedragen aan een ander bedrijf mits wordt voldaan aan de volgende waarborgen om de privacybelangen van de werknemers te beschermen:
- De overdracht wordt aangekondigd in een daarvoor geschikt medium, zoals een info-mail, schriftelijke notificatie of personeelsblad.
- De werknemers krijgen de mogelijkheid bepaalde gegevens te laten verwijderen en bezwaar aan te tekenen tegen de overdracht. Indien geen bezwaar is aangetekend, kan worden uitgegaan van veronderstelde toestemming van de werknemer voor de overdracht.
- Alleen de gegevens die noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst mogen worden overgedragen. In een dergelijk geval zullen personeelsdossiers moeten worden opgeschoond en niet meer relevante gegevens moeten worden verwijderd.
Klachten over de verwerking en bewaking van persoonsgegevens
Als u vermoedt dat uw persoonsgegevens zijn verwerkt op een manier die in strijd is met de privacywet, dan kunt u een privacy klacht indienen bij de Autoriteit Persoonsgegevens (AP). Zij nemen iedere klacht in behandeling. De manier waarop zij dat doen verschilt per klacht. U ontvangt altijd een reactie van de AP op uw klacht.
Let op: u kunt alleen een klacht indienen over de verwerking van uw eigen persoonsgegevens, niet over de gegevens van iemand anders. Voor meer informatie over wanneer, waarover en hoe u een klacht kunt indienen zie; https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen-bij-de-ap
U kunt ons ook een tip geven. Een tip beschouwen we als een belangrijk signaal voor ons toezicht, maar leidt niet tot een individueel onderzoek. Een tip geven kunt u ook anoniem doen, een klacht indienen niet.
Twijfelt u of u een klacht wilt of kunt indienen bij de AP, dan kunt u bellen met 088 – 1805 250. Heeft u een klacht over spam? Geef die dan niet door aan de AP, maar aan de Autoriteit Consument & Markt (ACM). Dit doet u via Spamklacht.nl.