Privacyreglement Fortagroep Uitwerking van de Wet geneeskundige behandelingsovereenkomst en de Wet bescherming persoonsgegevens

Transcriptie

1 Privacyreglement Fortagroep Uitwerking van de Wet geneeskundige behandelingsovereenkomst en de Wet bescherming persoonsgegevens De tien gouden privacyregels Inleiding Algemene bepalingen Art 1. Art 2. Art 3. Begripsbepalingen Reikwijdte Doel Rechtmatige verwerking persoonsgegevens Art 4. Art 5. Algemene voorwaarden Verwerking van persoonsgegevens Verwerking van gezondheidsgegevens Art 6. Regels voor de verwerking van bijzondere gegevens (gezondheidsgegevens) Organisatorische verplichtingen Art 7. Art 8. Art 9. Geheimhoudingsplicht Bewaren van gegevens Klachten Rechten van de betrokkenen Art 10. Art 11. Art 12. Art 13. Art 14. Art 15. Informatie verstrekking Recht op inzage en afschrift van opgenomen persoonsgegevens Recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens. Recht op verwijdering of vernietiging van opgenomen persoonsgegevens Recht op verzet tegen verwerking van persoonsgegevens Vertegenwoordiging Meldingsverplichting bij het CBP Art 16. Art 17. Geheel of gedeeltelijke geautomatiseerde persoonsgegevens Verantwoordelijkheden Overgangs- en slot bepalingen Art 18. Wijzigingen, inwerkingtreding en inzage van dit reglement Bijlage 1 Bewaartermijnen personeelsgegevens Privacyreglement, versie januari 2008 Pag. 1 /13

2 De tien gouden privacyregels Op basis van dit reglement zijn tien belangrijke regels opgesteld om de privacy van cliënten en personeel zoveel mogelijk te beschermen. 1. Dossiers (personeel en cliënten) worden goed op orde gehouden; 2. In dossiers (voor zover niet elektronisch) zitten geen losse bladen; 3. Het dossier blijft binnen het gebouw, tenzij dit de cliënt of personeelslid schade zou toebrengen; 4. Het dossier wordt na gebruik direct opgeborgen in de dossierkast; 5. Aan het einde van een werkdag worden alle dossiers teruggeplaatst in de dossierkast; 6. Dossierkasten zijn op slot of worden continu direct bewaakt, zodat wordt voorkomen dat onbevoegden toegang hebben tot de dossiers; 7. Er wordt geen vertrouwelijke cliëntinformatie verspreid of ingezien door derden zonder toestemming van de cliënt; 8. Ook wanneer er toestemming is gegeven door de betrokkene om vertrouwelijke informatie te versturen of in te zien, mag deze informatie niet onbeveiligd worden verstuurd via de externe e- mail; 9. Het cliëntendossier wordt minimaal en maximaal 10 jaar na afsluiten bewaard (papier en elektronisch) tenzij in het kader van goed hulpverlenerschap nodig is het dossier langer te bewaren. (Zie voor regels en uitzonderingen betreffende bewaartermijnen het dossierreglement). 10. Wachtwoorden zijn persoonlijk en worden dus niet aan derden verstrekt. Privacyreglement, versie januari 2008 Pag. 2 /13

3 Inleiding Binnen de gezondheidszorg zijn er twee wetten die belangrijk zijn bij het privacybeleid van een organisatie. Deze wetten zijn de WGBO (Wet geneeskundige behandelings-overeenkomst) en de WBP (Wet bescherming persoonsgegevens), welke elkaar op dit gebied aanvullen. Op enkele punten verschillen de wetten van elkaar. Daar waar dat het geval is gaat de WGBO vóór de WBP, indien de verwerking plaatsvindt in het kader van een behandelingsovereenkomst. Dit reglement is gebaseerd op de bovengenoemde wetten. Algemene bepalingen 1 1. Begripsbepalingen a. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. b. Gezondheidsgegevens Persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen. c. Verwerking van persoonsgegevens Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verspreiden, ter beschikking stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. d. Verstrekken van persoonsgegevens Het bekend maken of ter beschikking stellen van gegevens. e. Verzamelen van persoonsgegevens Het verkrijgen van persoonsgegevens. f. Bestand 2 Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een geografisch of functioneel bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. g. Verantwoordelijke 3 De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Voor de units binnen de Fortagroep is dit de afdelingsmanager. Een uitzondering vormen de verwerkingen die unitoverstijgend zijn (bijv. propsy). Hiervoor is de direktie verantwoordelijk. 1 In het reglement wordt in voetnoten verwezen naar corresponderende artikelen in de Wet bescherming persoonsgegevens; voor een uitgebreide toelichting op deze artikelen wordt kortheidshalve onder andere verwezen naar mr drs T.F.M. Hooghiemstra, Teksten en toelichting op de Wet bescherming persoonsgegevens, Koninklijke Vermande Het begrip bestand is van belang als criterium voor de afbakening van de reikwijdte van de WBP. Wat betreft de nietgeautomatiseerde verwerkingen vallen alleen gestructureerde dossiers onder het toepassingsbereik van de WBP. 3 Het begrip verantwoordelijke doelt op degene, die formeel-juridisch de zeggenschap over de verwerking heeft. Het gaat om degene, die bevoegd is doel en middelen vast te stellen. Privacyreglement, versie januari 2008 Pag. 3 /13

4 h. Bewerker Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen 4. i. Betrokkene Degene op wie een persoonsgegeven betrekking heeft of zijn vertegenwoordiger. j. Derde Iedereen, behalve: de betrokkene, de verantwoordelijke, de bewerker, of een persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken 5. k. Toestemming van de betrokkene Elke vrije, specifieke en op informatie berustende wilsuiting, waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. l. Het College bescherming persoonsgegevens Het College dat tot taak heeft toe te zien op de verwerking van persoonsgegevens. 2. Reikwijdte 6 Dit reglement is van toepassing op: a. de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, en b. de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 3. Doel 1. Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet bescherming persoonsgegevens, verder te noemen WBP. 2. Dit reglement is van toepassing binnen FortaGroep. 4 Bijvoorbeeld een salarisadministratiekantoor. 5 Bijvoorbeeld een huisarts. 6 Artikel 2 WBP Privacyreglement, versie januari 2008 Pag. 4 /13

5 Rechtmatige verwerking van persoonsgegevens 4. Voorwaarden voor rechtmatige verwerking 1. Persoonsgegevens worden in overeenstemming met dit reglement op een zorgvuldige wijze verwerkt Persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen Persoonsgegevens worden slechts verwerkt voor zover dit noodzakelijk is voor het doel waarvoor ze worden verwerkt. 4. De Raad van Bestuur draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking Verwerking van persoonsgegevens 10 Persoonsgegevens mogen slechts worden verwerkt indien aan een van onderstaande voorwaarden is voldaan: a. de betrokkene heeft voor de verwerking zijn toestemming gegeven 11 ; b. het is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is 12 ; c. het is noodzakelijk om een wettelijke verplichting na te komen 13 ; d. het is noodzakelijk ter voorkoming of bestrijding van ernstig gevaar voor de gezondheid van betrokkene 14 ; e. het is noodzakelijk voor de behartiging van een gerechtvaardigd belang van de Raad van Bestuur of van een derde én het belang van degene van wie de gegevens worden verwerkt prevaleert niet Artikel 6 WBP. 8 Artikel 9 WBP; bij de beoordeling of een verwerking onverenigbaar is met het doel moet men rekening houden met de verwantschap tussen doel van verwerking en het doel waarvoor de gegevens zijn verkregen, met de aard van de gegevens, met de gevolgen van de verwerking voor betrokkene, met de wijze waarop de gegevens zijn verkregen en de mate waarin jegens betrokkene passende waarborgen zijn genomen. 9 Artikel 13 WBP; passend in de zin van in overeenstemming met de stand van de techniek; tevens impliceert passend proportionaliteit: hoe gevoeliger de gegevens, hoe zwaardere eisen worden gesteld aan beveiliging. 10 Artikel 8 WBP. 11 Hierbij moet elke twijfel zijn uitgesloten over de vraag of de betrokkene zijn toestemming heeft gegeven en voor welke verwerkingen de toestemming is gegeven. De toestemming kan blijken uit woord of gedrag en hoeft niet schriftelijk te worden verkregen. Wel dient de betrokkene alvorens toestemming te geven goed geïnformeerd te zijn. 12 Bijvoorbeeld een overeenkomst in de zin van de Wet Geneeskundige Behandelingsovereenkomst. 13 De verantwoordelijke moet onderworpen zijn aan een wettelijke plicht bijvoorbeeld de wettelijk verplichte persoonsregistratie van werknemers o.g.v. Wet stimulering arbeidsdeelname minderheden. 14 Er is een dringende medisch noodzaak de gegevens van de betrokkene te verwerken; er is bijvoorbeeld direct medische hulp nodig en de betrokkene is buiten bewustzijn. 15 Dit is een algemene restbepaling: een rechtvaardig belang van de verantwoordelijke wordt aanwezig geacht in het geval dat de desbetreffende verwerking noodzakelijk is om zijn reguliere bedrijfsactiviteiten te verrichten. Voorbeeld; een schade verzekeraar dient voor een schadeclaim naast de gegevens van zijn cliënt ook de gegevens van de tegenpartij en van getuigen te verwerken. Privacyreglement, versie januari 2008 Pag. 5 /13

6 Verwerking van gezondheidsgegevens 6. Regels voor de verwerking van bijzondere gegevens (gezondheidsgegevens) 16 Gegevens betreffende de gezondheid worden slechts verwerkt indien aan een van de volgende voorwaarden is voldaan: a. De verwerking geschiedt door hulpverleners, instellingen of voorzieningen in de gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel beheer van de instelling noodzakelijk is. b. De verwerking geschiedt op verzoek van de verzekeraar voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico, dan wel voor zover dat noodzakelijk is voor de uitvoering van een verzekeringsovereenkomst. c. De bijzondere gegevens worden verwerkt als noodzakelijke aanvulling op gezondheidsgegevens, met het oog op een goede behandeling of verzorging van de betrokkene 17. d. De verwerking gebeurt ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid 18. Dit kan zonder toestemming van de cliënt indien: het vragen van toestemming in redelijkheid niet mogelijk is, bijvoorbeeld door de grootte van het onderzoek, of het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd. Daarnaast is verwerking pas mogelijk indien: het onderzoek een algemeen belang dient, en het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd, en de betrokken patiënt tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt, en de gegevens anoniem worden verwerkt. e. Gegevens betreffende erfelijke eigenschappen 19 worden slechts verwerkt wanneer de verwerking plaats vindt met betrekking tot de betrokkene bij wie de erfelijke gegevens worden verkregen, tenzij: een zwaarwegend geneeskundig belang prevaleert of de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek. 16 De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven is op grond van artikel 16 WBP verboden. Ook strafrechtelijke en aanverwante gegevens behoren tot deze categorie. De artikelen 17 tot en met 23 bepalen onder welke voorwaarden dit algemene verbod niet geldt. Voor gezondheidszorggegevens is dat in artikel 21 vastgelegd. 17 Artikel 21 lid 3 WBP Gegevens als godsdienst of levensovertuiging kunnen bijvoorbeeld van belang zijn bij psychiatrische ziektebeelden. Ook een gegeven als ras kan een belangrijke determinant zijn bij diagnosestelling. Deze bepaling blijft strikt beperkt tot de verwerking door hulpverleners, instellingen of voorzieningen binnen de gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is. 18 Dit onderdeel is gebaseerd op artikel 7:458 BW (WGBO), dat meer bescherming biedt dan het bepaalde in artikel 23 lid 2 WBP, dat eveneens over wetenschappelijk onderzoek gaat. 19 Artikel 21, lid 4 WBP. Privacyreglement, versie januari 2008 Pag. 6 /13

7 Organisatorische verplichtingen 7. Geheimhoudingsplicht De gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht Bewaren van gegevens 1. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor het doel waarvoor zij worden verzameld en verwerkt. 2. Persoonsgegevens mogen langer worden bewaard dan noodzakelijk voor de verwezelijking van de doeleinden waarvoor zij worden verzameld of worden verwerkt, wanneer zij geanonimiseerd worden of wanneer ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard Een overzicht van de bewaartermijn van verwerkingen van personeelsgegevens opgesteld door dhr. Gerzon, GGZ Nederland, is als bijlage toegevoegd aan dit reglement. 4. De bewaartermijn voor medische gegevens is tien jaar, gerekend vanaf het moment van afsluiting van de behandeling van de betrokkene, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit 22. Zie voor een verdere uitwerking het dossierreglement. 9. Klachtenbehandeling 23 Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij zich wenden tot: de Directie; de Klachtencommissie 24 ; het College bescherming persoonsgegevens en conform de WBP verzoeken een onderzoek in te stellen of de wijze van gegevensverwerking door de Raad van Bestuur in overeenstemming is met de Wet bescherming persoonsgegevens Art 9 lid 4 WBP. Voorbeeld is het geheimhoudingsplicht van de hulpverlener, neergelegd in art. 457 WGBO. Voor niethulpverleners geldt vaak dat in de arbeidsovereenkomst een geheimhoudingsbepaling is opgenomen. 21 Art. 10 lid 2 WBP 22 Art. 454 lid 3 WGBO geeft een specifieke invulling voor de bewaartermijn van medische gegevens. In de praktijk wordt de regel gehanteerd dat de 10 jaar termijn aanvangt op het tijdstip dat de behandeling is afgerond. 23 Hoofdstuk 8 van de WBP heeft betrekking op de rechtsbescherming. Van bepaalde beslissingen kan in beroep worden gegaan bij de (bestuurs)rechter. Zie de artikelen 45 tot en met 50. Een voorbeeld van een dergelijke beslissing is de weigering tot aanvulling, correctie of verwijdering. 24 Dit geldt alleen voor cliënten. Zodra een cliëntenvertrouwenspersoon is aangesteld, kan de betrokkene zich in eerste instantie tot deze persoon wenden. 25 Art. 60 WBP Privacyreglement, versie januari 2008 Pag. 7 /13

8 Rechten van de betrokkenen 10. Informatieverstrekking aan de betrokkene Indien bij de betrokkene de persoonsgegevens worden verkregen, deelt de verantwoordelijke voor het moment van verkrijging de betrokkene mede: zijn identiteit; de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, tenzij de betrokkene daarvan reeds op de hoogte is De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen Recht op inzage en afschrift van opgenomen persoonsgegevens De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens. 2. De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt. 3. Afschriften van persoonsgegevens worden aan de betrokkene kosteloos verstrekt. 4. Recht op inzage of afschrift kan worden geweigerd als dit noodzakelijk is in het belang van de bescherming van de persoonlijke levenssfeer van een ander. 12. Recht op afscherming, aanvulling en correctie van opgenomen persoonsgegevens 1. Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens De betrokkene kan verzoeken om correctie of afscherming van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen 31. In de WBGO is echter opgenomen dat de gegevens in het cliëntendossier mogen niet worden gecorrigeerd. De cliënt kan middels een aanvulling zijn mening in het dossier laten opnemen. 3. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot correctie of aanvulling schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed. 4. De verantwoordelijke draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd. 13. Recht op verwijdering of vernietiging van opgenomen persoonsgegevens Art. 33 WBP 27 Deze algemene kennisgeving kan geschieden door het uitreiken van een informatiebrochure waarin wordt aangegeven voor welk doel de instelling persoonsgegevens verwerkt. 28 Bij het aangaan van een behandelingsovereenkomst is het vanzelfsprekend dat de cliënt aan de arts persoonsgegevens overlegt. Wanneer er voldaan wordt aan de informatieplicht van de arts (art. 450) en aan het toestemmingsvereiste van de cliënt (450 WGBO) is de informatie-verstrekking gewaarborgd. Behalve de verwerking van medische gegevens in de artscliënt relatie moet de verantwoordelijke de cliënt informeren over alle verwerkingen van zijn persoonsgegevens. Dit kan geschieden door een informatieve folder. 29 Artikel 35 WBP en 456 WGBO. 30 Artikel 454, tweede lid WGBO 31 Art. 36 WBP. 32 Artikel36 WBP en 455 WGBO. Privacyreglement, versie januari 2008 Pag. 8 /13

9 1. De betrokkene kan schriftelijk verzoeken om verwijdering of vernietiging van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen. Voor verwerkingen die vallen onder de WGBO gelden de bovenstaande voorwaarden niet. 2. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot verwijdering of vernietiging schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed. 3. De verantwoordelijke verwijdert of vernietigt de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is. 14. Recht op verzet tegen de verwerking van persoonsgegevens 1. Indien gegevens het voorwerp zijn van verwerking op grond van artikel 5 lid e, kan de betrokkene daartegen bij de verantwoordelijke te allen tijde verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden. 2. De verantwoordelijke beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is, beëindigt hij terstond de verwerking. 3. De verantwoordelijke kan voor het in behandeling nemen van een verzet een vergoeding van kosten verlangen, die niet hoger mag zijn dan een bij of krachtens algemene maatregel van bestuur vast te stellen bedrag. De vergoeding wordt teruggegeven in het geval het verzet gegrond wordt bevonden. 15. Vertegenwoordiging Indien de betrokkene jonger is dan twaalf jaar, treden de ouders, die het ouderlijk gezag uitoefenen, dan wel de voogd op in plaats van de betrokkene. 2. Hetzelfde geldt voor de betrokkene die de leeftijd heeft van twaalf tot achttien jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake. 3. Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders of voogd op. 4. Een betrokkene van zestien jaar en ouder die in staat is tot een redelijke waardering van zijn belangen is geheel handelingsbekwaam en hoeft zich niet te laten vertegenwoordigen. 5. Indien de betrokkene ouder is dan achttien jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, treedt involgorde als hier weergegeven, als vertegenwoordiger voor hem op: - indien de betrokkene onder curatele staat of ten behoeve van hem het mentorschap is ingesteld; de curator of mentor. - indien de betrokkene deze schriftelijk heeft gemachtigd, de persoonlijk gemachtigde. - indien de persoonlijk gemachtigde ontbreekt of niet optreedt; de echtgenoot of andere levensgezel van de betrokkene. - indien deze persoon dat niet wenst of ontbreekt; een kind, broer of zus van de betrokkene. 33 De hier genoemde categorieën van meerderjarig handelingsonbekwamen en minderjarigen is een samenvoeging van art. 450 lid 2 WGBO (toestemmingsvereiste bij minderjarigen) en art. 465 WGBO (vertegenwoordiging van de wilsonbekwame cliënt) Privacyreglement, versie januari 2008 Pag. 9 /13

10 Meldingsverplichtingen bij het CBP 16. Geheel of gedeeltelijk geautomatiseerde gegevens Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of samenhangende doeleinden bestemd is, wordt alvorens met de verwerking wordt aangevangen gemeld bij het College bescherming persoonsgegevens. 2. De niet geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of samenhangende doeleinden bestemd is, wordt gemeld indien deze is onderworpen aan voorafgaand onderzoek. 3. Enkele verwerkingen zijn vrijgesteld van melding. Deze uitzonderingen worden beschreven in het Vrijstellingsbesluit. Ondanks deze vrijstelling moeten deze verwerkingen wel aan de wet voldoen. Het vrijstellingsbesluit kan worden nagelezen op Verantwoordelijkheden De verantwoordelijke zoals beschreven in artikel 1 van dit reglement is verantwoordelijk voor een tijdige melding van een nieuwe verwerking van persoonsgegevens of een wijziging in een bestaande verwerking van persoonsgegevens. De verwerking moet alvorens met de verwerking wordt aangevangen, worden gemeld bij het College Bescherming Persoonsgegevens. Jaarlijks vindt er een inventarisatie plaats van de wijzigingen in de verwerkingen van persoonsgegevens. De directie is verantwoordelijk voor deze inventarisatie. Overgangs- en slotbepalingen 18. Wijzigingen, inwerkingtreding en inzage van dit reglement 1. Wijzigingen van dit reglement worden aangebracht door de verantwoordelijke. 2. De wijzigingen in het reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan betrokkenen. 3. Dit reglement treedt in werking per 1 maart 2004 en is bij de verantwoordelijke in te zien. 4. Desgewenst kan een afschrift van dit reglement worden verkregen via het secretariaat aan de stationstraat 75 te Rhoon. 34 art. 27 WBP Privacyreglement, versie januari 2008 Pag. 10 /13

11 Bijlage 1 Bewaartermijnen personeelsgegevens Bob Gerzon GGZ Nederland De Nederlandse wetgeving rond bewaartermijnen van personeelsgegevens is zeer ingewikkeld. Vandaar dit overzicht. Wet bescherming persoonsgegevens De Wet bescherming persoonsgegevens (WBP) is van toepassing op alle vormen van personeelsgegevens. Deze wet bepaald dat persoonsgegevens niet langer in identificeerbare vorm mogen worden bewaard dan noodzakelijk is voor het doel waarvoor zij zijn vastgelegd. Mogelijke doelen kunnen zijn: personeelsregistratie, personeelsbeoordeling, training en opleiding, management development, management/leidinggeven, interne controle, bedrijfsbeveiliging, etc. Gegevens moeten worden vernietigd of geanonimiseerd als het doel is bereikt. De bewaartermijn is dus gekoppeld aan het doel van de registratie. Echter, als de gegevens niet meer nodig zijn in de actieve registratie, mogen zij worden overgebracht naar een archief (passieve registratie). Een archief heeft echter een veel beperkter gebruiksdoel (referenties, historisch, statistisch, en wetenschappelijk onderzoek). De bewaartermijn van persoonsgegevens in een archief is oneindig. Vrijstellingsbesluit WBP Op het bovenstaande is een algemene uitzondering. Wanneer een registratie niet is gemeld bij het College Bescherming persoonsgegevens (CBP) in Den Haag, dan gaat de wet ervan uit dat de werkgever gebruik maakt van het Vrijstellingsbesluit WBP (VB). Om daarvan gebruik te kunnen maken, moet voldaan zijn een aantal normen. Eén daarvan is de bewaartermijn van de gegevens. NB. Het gaat hierbij om de actieve registratie. Overbrenging naar een archief is steeds mogelijk, met de bovengenoemde restricties. Melding bij het CBP Wanneer een registratie wordt gemeld bij het CBP, geldt de melding als een vorm van zelfregulering. Met inachtneming van de hoofdregels van de WBP inzake doelbinding, kan iedere willekeurige bewaartermijn worden opgegeven. De organisatie moet zich hieraan houden. Hoofdregels Indien gemeld bij het CBP Indien niet gemeld bij het CBP Algemene uitzondering om langer te kunnen bewaren. Niet langer dan nodig voor doel, overeenkomstig met vastgestelde bewaartermijn. Maximaal de voorgeschreven bewaartermijn in het vrijstellingsbesluit. - Toestemming van de werknemer - Noodzakelijk voor (lopende) geschillen (evt. afscherming geboden) Bijzondere bewaartermijnen Er zijn diverse wetten die regels geven voor bewaartermijnen van specifieke personeelsgegevens of die daar mede op betrekking hebben. Privacyreglement, versie januari 2008 Pag. 11 /13

12 Personeels- en salarisregistratie De bewaartermijnen gelden zowel voor gegevens in een personeelsinformatiesysteem als voor gegevens in fysieke (papieren) personeelsdossiers. Gegevens die fiscaal relevant zijn Gegevens betreffende etniciteit en herkomst Overige gegevens: gemeld bij CBP (actieve registratie) Overige gegevens: niet gemeld bij CBP (actieve registratie) In archief 7 jaar (algemene wet inzake rijksbelastingen) 5 jaar (Wet stimulering Arbeidsdeelname minderheden Wet samen) Zie hoofdregels Uiterlijk 2 jaar na uitdiensttreding Vrijstellingsbesluit Onbeperkt Medische gegevens / Arbogegevens Medische gegevens dienen onder beheer te zijn van de Arbodienst. De genoemde bewaartermijnen gelden dan ook alleen als de gegevens ook daadwerkelijk door de Arbodienst worden bewaard. Medische gegevens die (met uitdrukkelijke toestemming van de werknemer) in het personeelsdossier zijn opgenomen, vallen onder de hoofdregel inzake personeelsdossiers (zie boven). Medische gegevens Arbodienst - Algemeen Gegevens betreffende kankerverwekkende stoffen en processen, incl. gegevens van arbeidsgeneeskundig onderzoek (ag.oz) en lijst van werknemers. Gegevens betreffende vinylchloridemonomeer - metinggegevens / concentratiegegevens van bewakingssysteem - gegevens ag.oz, lijst van werknemers. Gegevens betreffende benzeen en gechlo-reerde koolwaterstoffen incl. gegevens van ag.oz en lijst van werknemers. Gegevens betreffende asbest incl. gegevens van arbeidsgeneeskundig onderzoek en lijst van werknemers. Register van blootstelling Gegevens betreffende zandsteen incl. gegevens van ag.oz en lijst van werknemers. Gegevens betreffende lood en loodwit. Gegevens inzake biologische agentia - algemeen - indien infectueus Gegevens inzake radioactieve straling (registratie berust bij nat. registratiesysteem NDRIS) 10 jaar (werknemer kan om vernietiging vragen) 40 jaar na blootstelling Arbeidsomstandighedenbesluit (Aob) 3 jaar 40 jaar na blootstelling Aob 40 jaar na blootstelling Aob 40 jaar na blootstelling Aob 40 jaar na blootstelling Aob 40 jaar na blootstelling Aob (Arbeidsomstandighedenbesluit) 10 jaar na blootstelling Aob - 10 jaar na laatste blootstelling Aob - zoveel langer als nodig, max. 40jr Aob Tot leeftijd van 75, maar in ieder geval 30 jaar na beëindiging werkzaamheden. Besluit Stralingsbescherming Privacyreglement, versie januari 2008 Pag. 12 /13

13 Sollicitatiegegevens Voor gegevens van sollicitanten geldt als vuistregel dat deze gegevens niet langer dan 4 weken bewaard mogen worden, tenzij de sollicitant zijn toestemming heeft gegeven. (Sollicitatiecode NVP). Indien de registratie onder het Vrijstellingsbesluit WBP valt, is de maximale bewaartermijn 4 weken tot na beëindiging van de sollicitatieprocedure (zonder toestemming) of maximaal 1 jaar (met toestemming). Gemeld bij het CBP Niet gemeld bij het CBP Zonder toestemming: max. 4 weken Met toestemming: onbeperkt (sollicitatiecode) Zonder toestemming: max. 4 weken Met toestemming: max. 1 jaar Videobeelden beveiligingscamera s Personeel kan ook gefilmd worden door beveiligingscamera s. De opnames mogen maximaal 24 uur worden bewaard (indien het vrijstellingsbesluit van toepassing is) of zoveel langer als is aangegeven in de melding bij het CBP. Gemeld bij het CBP Niet gemeld bij het CBP Zie hoofdregels Max. 24 uur (vrijstellingsbesluit) Logfiles computersystemen / en internetmonitoring Gegevens betreffende de handelingen van werknemers op computers, computernetwerken en het gebruik van computerdiensten ( / internet) zijn ook aan een maximale bewaartermijn gebonden. Ook hier geldt dat de bewaartermijn afhankelijk is van de vraag of de registratie is gemeld bij het CBP. Gemeld bij het CBP Niet gemeld bij het CBP - Computersysteem Niet gemeld bij het CBP - / Internet-monitoring Zie hoofdregels Max. 6 maanden (vrijstellingsbesluit) Max. 6 maanden (vrijstellingsbesluit) Logfiles toegangscontrolesystemen Ook hier geldt dat de bewaartermijn afhankelijk is van de vraag of de registratie is gemeld bij het CBP. Gemeld bij het CBP Niet gemeld bij het CBP Zie hoofdregels (vrijstellingsbesluit) Max. 6 maanden nadat het recht op toegang is vervallen. Overige zaken intern beheer Zie hoofdregels en het Vrijstellingsbesluit (doorgaans maximaal 6 maanden). Privacyreglement, versie januari 2008 Pag. 13 /13