P Versie : 004 Proceduresops Pagina : 1/9 Geldig Printdatum : 18-Aug-15

Transcriptie

1 Proceduresops Pagina : 1/9 Procedure Waarborgen van privacy

2 Proceduresops Pagina : 2/9 Ingangsdatum: januari Doel Procedure Algemeen Regelgeving om de privacy te waarborgen Privacy aangaande papieren gegevens Privacy aangaande telefonische informatie Privacy aangaande geautomatiseerde gegevens Privacy aangaande het ondergaan van onderzoeken Verklaring tot naleving van het privacyreglement Vastleggen van resultaten Verantwoordelijkheden... 4 Privacyreglement... 5 Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Artikel Bijlage A ex. art. 5.1 en Bijlage B... 9

3 Proceduresops Pagina : 3/9 1. Doel Deze procedure is van toepassing op alle contractmedewerkers, freelance medewerkers, medische dienstverleners, en personeel dat anderszins als "medewerker" werkzaamheden voor SHO verricht. Het privacyreglement is een reglement, waarin beschreven staat op welke wijze SHO met de gegevens van cliënten omgaat om de privacy van deze gegevens te waarborgen. Iedere medewerker dient hiervan op de hoogte te zijn. 2. Procedure 2.1 Algemeen Het privacyreglement is per in werking getreden en aangepast op Regelgeving om de privacy te waarborgen Privacy aangaande papieren gegevens Alleen medewerkers die in het kader van hun taak of functie cliëntengegevens nodig hebben, is het toegestaan de gegevens te gebruiken. Overige medewerkers dienen zich geen toegang tot de gegevens te verschaffen. Beschikbaar stellen van cliëntengegevens aan derden vindt slechts plaats onder de voorwaarde dat de betreffende persoon: o Een (para)medicus is. o Vanuit zijn functie aantoonbaar de medische gegevens nodig heeft. o De gegevens zo spoedig mogelijk retourneert. o Cliëntengegevens zijn tevens beschikbaar voor ouders (indien cliënt minderjarig is) van de cliënt. o De betreffende personen dienen zich te legitimeren en naam, functie en reden te noemen. o Zie ook hoofdstuk 3, artikel 6 lid 4 voor uitlenen van medische gegevens aan derden Privacy aangaande telefonische informatie Bij het verstrekken van telefonische informatie wordt zorg gedragen dat de informatie aan de juiste persoon wordt verstrekt, waarbij er voor zorg wordt gedragen dat voor andere cliënten deze informatie niet kenbaar wordt Privacy aangaande geautomatiseerde gegevens Geautomatiseerde systemen zijn zodanig ingericht dat slechts de medewerkers die hier in het kader van hun functie toegang toe moeten hebben, hier gebruik van kunnen maken. Geautomatiseerde systemen zijn, indien mogelijk, zodanig beveiligd, dat derden niet zonder toestemming in de databestanden kunnen kijken. Slechts op persoonlijke code hebben medewerkers toegang tot de databestanden. Verzending van uitslagen via geautomatiseerde systemen is slechts toegestaan als is gewaarborgd dat dit een veilige methode is en hiermee niet de privacy wordt geschonden Privacy aangaande het ondergaan van onderzoeken Bij het uitvoeren van een onderzoek of bloedafname wordt zorg gedragen dat de privacy gewaarborgd wordt. Bijvoorbeeld door geluidsisolatie en het sluiten van deuren voor de start van een onderzoek. Lichaamsmaterialen worden alleen gebruikt voor het doel waarvoor deze zijn afgestaan Verklaring tot naleving van het privacyreglement Iedere medewerker dient voor aanvang van de aanstelling het privacyreglement te ondertekenen voor kennisname en naleving hiervan Vastleggen van resultaten De wijze van benadering van cliëntengegevens is vastgelegd in het privacyreglement. De wijze van waarborgen van de privacy in de dagelijkse werkzaamheden is als onderdeel van de betreffende procedures beschreven.

4 Proceduresops Pagina : 4/9 De individuele verklaring tot naleving van het privacyreglement is vastgelegd door ondertekening. 3. Verantwoordelijkheden Iedere medewerker is verantwoordelijk voor het naleven van het privacyreglement. De Raad van Bestuur is verantwoordelijk om in de dagelijkse bedrijfsvoering rekening te houden met de privacy van cliënten. Elke leidinggevende is verantwoordelijk dat bij de dagelijkse werkwijzen de privacy van cliënten gerespecteerd wordt en de clustermanager ICT is verantwoordelijk voor een zodanige opzet van geautomatiseerde systemen en de wijze van de in de systemen opgeslagen data, dat de privacy gewaarborgd kan worden.

5 Proceduresops Pagina : 5/9 Privacyreglement Artikel 1 Reikwijdte van het reglement. Dit reglement is van toepassing op de registratie van cliëntgegevens van SHO. Artikel 2 Verantwoordelijke van de persoonsregistratie. SHO is de verantwoordelijke van de persoonsregistratie. Artikel 3 Bewerker van de persoonsregistratie. 1. Voor het bewerken van de registratie kan SHO zich laten bijstaan door rekencentra en andere instellingen. 2. Met bewerkers, als bedoeld in lid 1, worden bindende afspraken gemaakt ten aanzien van de beveiliging van de registratie, alsmede ten aanzien van geheimhoudingsverplichtingen. Artikel 4 Doelstellingen van de registratie. 1. Het verstrekken aan (para-)medici van uitslagen over onderzoek van hun cliënten. Dit onderzoek gebeurt in hun opdracht. 2. Het ter beschikking stellen van een gedeelte van de in de registratie opgenomen gegevens ten behoeve van onderzoek en statistiek. Hieronder kan mede begrepen worden het beschikbaar stellen ten behoeve van onderzoek door derden. Artikel 5 Opgenomen gegevens. 1. De gegevens, die in de registratie worden opgenomen, zijn vermeld in bijlage A van dit reglement. 2. De gegevens, die ten behoeve van het in artikel 4 lid 2, gestelde doel ter beschikking worden gesteld, zijn eveneens opgenomen in bijlage A van dit reglement. 3. De gegevens in lid 1 worden verkregen uit schriftelijke of mondelinge informatie door de aanvrager van het onderzoek, zo nodig aangevuld met schriftelijke of mondelinge informatie van degene die in de registratie wordt opgenomen. Artikel 6 Toegang tot de gegevens. 1. Toegang tot de gegevens hebben alleen zij, die in het kader van de uitoefening van hun taak deze toegang behoeven. 2. Personen, als bedoeld in het vorige lid, zijn gebonden aan de plicht tot geheimhouding. 3. Voor medewerkers van SHO geldt de hiertoe in de CAO Ziekenhuizen genoemde regelgeving en de eigen regelgeving. 4. Uitwisseling van cliëntengegevens met derden vindt plaats voor zover dit in het kader van de dienstverlening van SHO noodzakelijk is en uitsluitend met inachtneming van de geldende privacy wetgeving. Met deze derden worden door SHO bindende afspraken gemaakt ten aanzien van de beveiliging van de registratie, alsmede ten aanzien van geheimhoudingsverplichtingen. 5. Anderen hebben, behoudens ter uitvoering van hun wettelijk opgelegde taken, geen toegang tot de registratie. 6. Van gegevens, waar van bekend is dat ze onjuist zijn en waarvoor geldt dat correctie niet mogelijk is, mag geen gebruik worden gemaakt.

6 Proceduresops Pagina : 6/9 Artikel 7 Verstrekken van gegevens uit de registratie door de verantwoordelijke. 1. De verantwoordelijke verstrekt slechts gegevens uit de registratie aan personen, die deze gegevens behoeven voor de uitoefening van hun taak. 2. Personen, als bedoeld in het vorige lid, zijn gebonden aan de plicht tot geheimhouding. 3. De verantwoordelijke verstrekt gegevens uit de registratie aan personen en instanties die belast zijn met de uitvoering van hen wettelijk opgelegde taken. 4. Aan anderen worden geen gegevens uit de registratie verstrekt, tenzij hiervoor de uitdrukkelijke schriftelijke toestemming van betrokkene verkregen is. 5. Verstrekken van gegevens blijft, behoudens verstrekking ingevolge een wettelijk voorschrift, achterwege indien de juistheid van de gegevens niet vaststaat. Artikel 8 Beveiliging. 1. De verantwoordelijke draagt zorg voor de adequate technische en organisatorische beveiliging van de registratie. 2. Artikel 3 lid 2 is van overeenkomstige toepassing. 3. Binnen de organisatie van de verantwoordelijke wordt een persoon aangesteld, die toeziet op de naleving van beveiligingsmaatregelen. 4. De verantwoordelijke draagt er zorg voor dat binnen zijn organisatie afdoende maatregelen worden getroffen tegen onbevoegd gebruik of misbruik en tegen verlies of diefstal van de gegevens. Artikel 9 Bewaartermijnen van gegevens, berustend bij verantwoordelijke. 1. Gegevens, die herleidbaar zijn tot een individuele persoon, worden niet langer bewaard dan 15 jaar na afloop van het laatste contact tussen cliënt en SHO. Ten behoeve van de registratie van zuiver medische gegevens (laboratoriumuitslagen, biometrische gegevens etc.) kunnen langere bewaartermijnen gelden, indien dit wettelijk vereist is. 2. De in lid 1 genoemde termijn is niet van toepassing op niet tot de persoon herleidbare gegevens of indien op grond van een wettelijke bepaling een langere bewaartermijn voorgeschreven is. 3. Na afloop van de bewaartermijn worden de gegevens die herleidbaar zijn tot een individuele persoon, uit de registratie verwijderd, waarna vernietiging van de gegevens plaatsvindt. Artikel 10 Inzagerecht van betrokkene. 1. Op schriftelijk verzoek van een betrokkene wordt inzage in de op hem of haar betrekking hebbende gegevens verleend. 2. De inzage vindt plaats bij SHO na identificatie van de betrokkene. 3. Cliëntengegevens zijn tevens beschikbaar voor ouders (indien cliënt minderjarig is) van de cliënt. 4. De inzage, als bedoeld in het eerste lid, vindt plaats binnen 15 werkdagen na ontvangst van het verzoek. Artikel 11 Kopierecht van betrokkene. 1. Aan betrokkene wordt desgewenst een volledig afschrift van de over hem of haar opgenomen gegevens verstrekt. 2. Het afschrift, als bedoeld in het vorige lid, wordt verstrekt binnen 15 werkdagen na ontvangst van het schriftelijk verzoek. 3. De verantwoordelijke brengt, indien hij een overzicht, als bedoeld in het eerste lid, aan de aanvrager ter beschikking stelt, een bijdrage in rekening. De bijdrage wordt aan de hand van het Besluit kostenvergoeding betrokkenen vastgesteld.

7 Proceduresops Pagina : 7/9 Artikel 12 Correctierecht van betrokkene. 1. Een betrokkene kan schriftelijk verzoeken om feitelijk onjuiste gegevens te laten verbeteren. 2. Het verzoek om verbetering wordt gericht aan de verantwoordelijke van de registratie en vermeldt de aan te brengen wijzigingen. 3. De verantwoordelijke geeft opdracht om de feitelijk onjuiste gegevens te verbeteren. 4. De verbetering, als bedoeld in het eerste lid, vindt plaats binnen 15 dagen na ontvangst van het verzoek. Artikel 13 Aanvullingsrecht van betrokkene. 1. Een betrokkene kan schriftelijk verzoeken om onvolledige gegevens in de registratie aan te vullen. 2. Het verzoek om aanvulling wordt gericht aan de verantwoordelijke van de registratie en vermeldt de aan te brengen aanvulling. 3. De verantwoordelijke geeft opdracht om de aanvulling in de registratie op te nemen. 4. De aanvulling, als bedoeld in het eerste lid, vindt plaats binnen 15 werkdagen na de ontvangst van het verzoek. Artikel 14 Recht op blokkering van verdere verstrekking van gegevens van betrokkene. 1. Een betrokkene kan schriftelijk verzoeken om gegevens te blokkeren voor verdere verstrekking aan derden. 2. Het verzoek op blokkering wordt gericht aan de verantwoordelijke van de registratie. 3. De verantwoordelijke geeft opdracht om voor de blokkering van verdere verstrekking van gegevens van de betrokkene zorg te dragen, met dien ten verstande dat feitelijke onderzoeksgegevens welke in opdracht van de aanvrager door SHO, dan wel in opdracht van SHO door een derde zijn verricht, uitgesloten zijn van blokkering voor de betreffende aanvrager en / of de betreffende derde. 4. De blokkering van gegevens, als bedoeld in het eerste lid, vindt plaats binnen 15 werkdagen na ontvangst van het verzoek. Artikel 15 Recht op verwijdering van gegevens van betrokkene. 1. Een betrokkene kan schriftelijk verzoeken om niet ter zake doende gegevens uit de registratie te laten verwijderen en vernietigen. 2. Het verzoek om verwijdering en vernietiging wordt gericht aan de verantwoordelijke van de registratie en vermeldt de te verwijderen gegevens. 3. De verantwoordelijke geeft opdracht om voor de verwijdering en vernietiging zorg te dragen, met dien verstande dat feitelijke onderzoeksgegevens welke in opdracht van de aanvrager door SHO, dan wel in opdracht van SHO door een derde partij zijn verricht, uitgesloten zijn van verwijdering. 4. De verwijdering en vernietiging, als bedoeld in het eerste lid, vindt plaats binnen 15 werkdagen na ontvangst van het verzoek. Artikel 16 Protocolplicht. 1. Van toegang tot de gegevens als bedoeld in artikel 6 lid 3, houdt de verantwoordelijke aantekening bij. 2. Van verstrekkingen van gegevens als bedoeld in artikel 7 lid 3, houdt de verantwoordelijke aantekening bij. 3. De in de vorige leden bedoelde aantekeningen bevatten de datum van toegang of verstrekking, het doel waarvoor deze plaats vond, de naam van de persoon of instantie die toegang had of gegevens verstrekt kreeg en de gegevens waartoe toegang werd verleend of die werden verstrekt. 4. De gegevens, als bedoeld in het vorige lid, worden tenminste tot een jaar na de datum van protocollering bewaard. 5. Het inzagerecht als bedoeld in artikel 10, alsmede het kopierecht als bedoeld in artikel 11, is mede van toepassing op protocolgegevens als bedoeld in dit artikel.

8 Proceduresops Pagina : 8/9 Artikel 17 Weigering van de verantwoordelijke. 1. Een weigering van de verantwoordelijke om te voldoen aan het recht op inzage, kopie, correctie, aanvulling of verwijdering, is met redenen omkleed. 2. Een weigering, als bedoeld in het vorige lid, wordt aan de betrokken betrokkene schriftelijk meegedeeld binnen 15 werkdagen na ontvangst van het betreffende verzoek van de betrokkene. 3. Indien de verantwoordelijke weigert te voldoen aan een verzoek van een betrokkene, staat deze de rechtsgang, als bedoeld in de Wet bescherming persoonsgegevens, open. Artikel 18 De verantwoordelijke is aansprakelijk voor eventuele schade als gevolg van het niet naleven van dit reglement. Artikel 19 Slotbepalingen. 1. Indien een wijziging optreedt in de doelstellingen van de registratie, dan wel in de opgenomen gegevens, als bedoeld in bijlage A en B of in het gebruik dat van de gegevens wordt gemaakt, dient dit reglement te worden aangepast. 2. Aanpassing van het reglement kan slechts plaatsvinden door de verantwoordelijke van de registratie. 3. Bijlagen bij dit reglement worden geacht integraal onderdeel van het reglement uit te maken. 4. Taken en bevoegdheden van personen, voortvloeiend uit dit reglement, dienen te worden opgenomen in de verklaring als bedoeld in artikel 6 lid 2 en in artikel 7 lid De bepalingen in dit reglement laten de rechten van betrokkene en de plichten van de verantwoordelijke op grond van de Wet Bescherming persoonsgegevens onverlet. 6. In gevallen waarin dit reglement niet voorziet, beslist de verantwoordelijke van de registratie. 7. Dit reglement wordt ter inzage gelegd bij de verantwoordelijke. 8. Dit reglement treedt in werking op Nadien gewijzigd per 19 januari Dit reglement kan worden aangehaald als: Privacyreglement van SHO.

9 Proceduresops Pagina : 9/9 Bijlage A ex. art. 5.1 en 5.2 Cliëntengegevens: Burger Service Nummer (BSN). Naam. Adres. Postcode en woonplaats. Telefoonnummer. Geslacht. Geboortedatum. Meerling Aanvragende huisarts met adresgegevens. Datum contact. Aangevraagd onderzoek. Reden van aanvraag (functie- en beeldvormend onderzoek). Anamnestische gegevens (functie- en beeldvormend onderzoek). Relevante medicatie (functie- en beeldvormend onderzoek). Onderzoeksresultaten. Advies aan de behandelend arts (biometrie). Verzekeringswijze, evt. verzekeraar en inschrijfnummer. Gefactureerd bedrag. Openstaand bedrag. Aanvragers van onderzoek, verzekeraars Reden aanvraag. Verzekeringsgegevens. Burger Service Nummer (BSN). Naam. Adres. postcode en woonplaats. Telefoonnummer. Bijlage B Verklaring als bedoeld in artikel 6 lid 2 en artikel 7 lid 2 van het privacyreglement van SHO. Ondergetekende, verklaart dat hij alle gegevens over bij SHO geregistreerde personen, welke hem bij het verkrijgen van toegang tot de registraties en/of voor de uitvoering van de werkzaamheden ter kennis komen, met volstrekte geheimhouding zal behandelen. Naam Geboorte datum Handtekening Datum