Privacyreglement Cliënten

Transcriptie

1 Privacyreglement Cliënten Stichting Leger des Heils Welzijns- en Gezondheidszorg Juli 2016 overwegende dat de stichting Leger des Heils Welzijns- en Gezondheidszorg zich ten doel stelt: - daadwerkelijk uitdrukking te geven aan de doelstelling en werkwijze zoals omschreven in de statuten van het Kerkgenootschap Leger des Heils en in dit kader beoogt directe materiële en immateriële hulp te verlenen aan mensen die deze hulp willen aanvaarden zonder onderscheid naar godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht of welke andere in het kader van haar doelstelling niet relevante grond ook; - vanuit zijn christelijke opdracht te strijden voor een rechtvaardige samenleving waarin ieder mens tot zijn recht komt. De inhoud en richting van het werk worden ingegeven door de opdracht God lief te hebben boven alles en je naaste als jezelf in de context van sociale noden en zingevingsvragen van deze tijd; dat het voor dit doel noodzakelijk is persoonsgegevens van cliënten, waaronder bijzondere persoonsgegevens, te verwerken; dat het voor de zorgvuldige verwerking van deze persoonsgegevens gewenst is deze verwerking nader vast te leggen in dit privacyreglement; in aanmerking nemende Artikel 8 EVRM en artikel 10 Grondwet, Wet bescherming persoonsgegevens, Wet maatschappelijke ondersteuning, Jeugdwet, Wet langdurige zorg, Wet inzake de geneeskundige behandelovereenkomst, Zorgverzekeringswet, Wet op de beroepen in de individuele gezondheidszorg en de binnen de organisatie van toepassing zijnde beroepscodes. I Algemene bepalingen Artikel 1 Begripsomschrijvingen a. W&G: Stichting Leger des Heils Welzijns- en Gezondheidszorg. 1

2 2 b. Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. c. Bijzondere persoonsgegevens: Persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, strafrechtelijke persoonsgegevens en persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag. d. Bestand: Elk gestructureerd geheel van persoonsgegevens van cliënten van W&G, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. e. Verwerking van persoonsgegevens: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. f. Verstrekken van persoonsgegevens: Het bekendmaken c.q. ter beschikking stellen van persoonsgegevens die in het bestand zijn opgenomen of die door verwerking daarvan, zijn verkregen. g. Verantwoordelijke: De Stichting Leger des Heils Welzijns- en Gezondheidszorg, die als verantwoordelijke het doel en de middelen vaststelt voor de verwerking van de persoonsgegevens en verantwoordelijk is voor de naleving van de bepalingen van dit reglement. h. Betrokkene: Degene op wie een persoonsgegeven betrekking heeft. i. Beheerder: Het afdelingshoofd van de afdeling Strategie & Beleid van Stichting Leger des Heils Welzijns- en Gezondheidszorg, die onder verantwoordelijkheid en op aanwijzing van de verantwoordelijke de dagelijkse zorg heeft voor het beheer van de gegevens die in het bestand zijn opgenomen. j. Medewerker: Tot de medewerkers van W&G worden gerekend: 1. werknemers in - loondienst, officieren aangesteld binnen W&G; 2. vrijwilligers met een getekende vrijwilligersovereenkomst; 3. stagiairs met een getekende stage overeenkomst; 4. uitzendkrachten die binnen W&G werken op basis van afspraken met het uitzendbureau; 5. ZZP ers die op basis van een overeenkomst diensten verlenen aan W&G. k. Gebruiker: De aangewezen persoon die behoort tot de organisatie en geautoriseerd is gegevens in persoonsregistratie in te voeren en/of te muteren, dan wel van enigerlei inhoud van de persoonsregistratie kennis te nemen. l. Cliënt: Afnemer van zorg, begeleiding of dienstverlening van W&G. m. Wettelijke vertegenwoordiger: De ouders met gezag of voogd(en) van de minderjarige dan wel de curator of mentor van de meerderjarige die niet in staat is tot een redelijke waardering van zijn belangen ter zake. n. Toestemming van de betrokkene: Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. o. Persoonlijke werkaantekening: Die gegevens, die naar hun aard niet bedoeld zijn om onder ogen van anderen te komen dan die van de medewerker van W&G zelf.

3 p. Klachtencommissie De ingestelde onafhankelijke commissie die belast is met de behandeling van klachten op het gebied van cliëntenzorg. q. Bemoeizorg: Het bieden van (ongevraagde) hulp aan (zorgwekkende) zorgmijders met een (vaak) complexe problematiek, waarbij verbetering van de kwaliteit van leven en reductie van overlast als uitgangspunten dienen. Artikel 2 Reikwijdte 1. Dit reglement is van toepassing op alle werkeenheden van W&G en op iedere verwerking van persoonsgegevens van cliënten van W&G. 2. Dit reglement betreft iedere vorm van verwerking van de in het eerste lid genoemde persoonsgegevens, ongeacht of deze gegevens mondeling, op papier, via of anderszins digitaal door middel van foto, video of audio worden verwerkt. Artikel 3 Doel van de verwerking van persoonsgegevens Het doel van de verwerking van persoonsgegevens op basis van dit regelement is: 1. het bieden van zorg, begeleiding en ondersteuning aan cliënten door de werkeenheden van W&G door middel van gedecentraliseerde, geïntegreerde en flexibele hulp- en zorgverlening; 2. het verwerken van gegevens die nodig zijn voor een verantwoorde bedrijfsvoering van W&G, alsmede het voldoen aan wettelijke verplichtingen die samenhangen met contractvoorwaarden met overheden en andere subsidieverstrekkers dan wel financiers; 3. het verwerken van gegevens ten behoeve van het ontwikkelen van beleid, wetenschappelijk, historisch en statistisch onderzoek en advisering. II Verantwoordelijkheden ten aanzien van de verwerking van persoonsgegevens Artikel 4 Verantwoordelijkheden van W&G 1. W&G is als verantwoordelijke verantwoordelijk voor de naleving van dit reglement en voor alle wettelijke verplichtingen met betrekking tot de bescherming van de persoonlijke levenssfeer van de betrokkene. 2. W&G treft als verantwoordelijke in de zin van de Wet bescherming persoonsgegevens alle voorzieningen: a. ter bevordering van de juistheid en volledigheid van de persoonsgegevens die op grond van dit reglement worden verwerkt; b. die nodig zijn om de in het bestand opgenomen persoonsgegevens te beveiligen; c. om er voor te zorgen dat niet meer persoonsgegevens worden verwerkt dan nodig is voor de in artikel 3 genoemde doelen en dat zij niet voor andere doelen worden gebruikt. 3. W&G meldt als verantwoordelijke de verwerking van de persoonsgegevens op grond van dit reglement bij de Autoriteit Persoonsgegevens. Artikel 5 Verantwoordelijkheid van de beheerder 3

4 De verantwoordelijke verplicht de beheerder dit reglement na te leven. De taken, rechten en verplichtingen van de beheerder worden door de verantwoordelijke schriftelijk vastgelegd. De beheerder is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van de onder andere apparatuur, programmatuur en de gegevens waarmee de persoonsregistratie(s) wordt / worden gevoerd. Artikel 6 Verantwoordelijkheid van de gebruikers De gebruiker die op grond van dit reglement bevoegd is om persoonsgegevens te verwerken draagt er zorg voor dat: 1. de persoonsgegevens die hij op basis van dit reglement verwerkt, juist, volledig, ter zake dienend en niet bovenmatig zijn; 2. afdoende maatregelen genomen worden ter beveiliging van de persoonsgegevens die hij op basis van dit reglement verwerkt; 3. hij de bepalingen van dit reglement naleeft, evenals de instructies die hem door de verantwoordelijke gegeven worden in verband met de beveiliging van de persoonsgegevens die op basis van deze regeling worden verwerkt. Artikel 7 Toegang tot de persoonsgegevens van cliënten 1. Om toegang te verkrijgen tot bepaalde in het systeem vastgelegde persoonsgegevens, dient de gebruiker daartoe te worden geautoriseerd. Hetzelfde geldt voor de invoer van nieuwe gegevens, het muteren of verwijderen van vastgelegde gegevens, alsmede andere bewerkingen. 2. Een gebruiker wordt alleen geautoriseerd tot het verkrijgen van toegang tot gegevens of andere bewerkingen, voor zover dit noodzakelijk is in het kader van de hulp- en zorgverlening aan cliënten, of in het kader van de bedrijfsvoering van W&G of de daaraan verbonden werkeenheden. Artikel 8 Datalek De verantwoordelijke voor de verwerking van persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (Wbp) moet het College Bescherming Persoonsgegevens onverwijld in kennis stellen van een datalek als er sprake is van een inbreuk die voldoet aan de volgende kenmerken: 1. er is een inbreuk op de beveiliging als bedoeld in artikel 13 van de Wbp, waarin bepaald is dat de verantwoordelijke technische en organisatorische maatregelen moet treffen om verlies of enige vorm van onrechtmatige verwerking van persoonsgegevens tegen te gaan; 2. deze inbreuk ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens. Artikel 9 Informeren van betrokkenen De verantwoordelijke moet ook de betrokken cliënten en/of zijn vertegenwoordiger in kennis stellen van de inbreuk als genoemd in artikel 8 als deze waarschijnlijk ernstige gevolgen zal hebben voor de persoonlijke levenssfeer van betrokkenen. 4

5 III Rechten van betrokkenen en gebruik van persoonsgegevens Kennisgeving en toestemming voor verwerking Artikel 10 Kennisgeving van de verwerking van persoonsgegevens 1. De betrokkene wordt zo spoedig mogelijk door de betrokken werkeenheid van W&G geïnformeerd over de verwerking van zijn persoonsgegevens. De betrokkene wordt gewezen op dit reglement, welke rechten de betrokkene heeft ten aanzien van de verwerking van de persoonsgegevens en op welke wijze en tot wie hij zich kan wenden voor de uitoefening van zijn rechten. 2. Indien de betrokkene is aangemeld door een verwijzer wordt de betrokkene eveneens geïnformeerd over de identiteit van de verwijzer en welke gegevens die verwijzer over de betrokkene heeft verstrekt Artikel 11 Toestemming voor de verwerking van persoonsgegevens Aan de betrokkene wordt toestemming gevraagd voor de verwerking van persoonsgegevens. Verstrekking van gegevens Artikel 12 Toestemming voor verstrekking van persoonsgegevens Tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift of het een geval betreft als omschreven in de artikelen 13 en 14, is voor verstrekking van persoonsgegevens aan derden de gerichte toestemming van de betrokkene vereist. Artikel 13 Verstrekking van persoonsgegevens 1. Zonder toestemming van de betrokkenen kunnen persoonsgegevens worden verstrekt voor zover deze gegevens voor de zorgverlening aan de betrokkene noodzakelijk zijn aan: a. degenen die rechtstreeks betrokken zijn bij de actuele zorg- of (jeugd)hulpverlening of behandeling aan de betrokken cliënt, tenzij laatstgenoemde kenbaar heeft gemaakt daartegen bezwaar te hebben; b. de vervanger van de hulpverlener; c. degenen wier taak het is de verleende zorg te controleren en te toetsen; d. aan organen genoemd in de Zorgverzekeringswet, Wet langdurige zorg, Wet maatschappelijke ondersteuning, Participatiewet en Jeugdwet, als mede de rijksoverheid en gemeenten ten behoeve van de financiering van de hulpverlening op grond van de geldende wetgeving. 2. De in het systeem vastgelegde en verwerkte gegevens betreffende godsdienst, levensovertuiging en strafrechtelijke gegevens worden alleen aan derden verstrekt voor zover dit noodzakelijk is in aanvulling op de verwerking van gezondheidsgegevens, met het oog op goede zorg- en hulpverlening aan betrokkene. 3. In alle andere gevallen behalve bij uitvoering van een wettelijk voorschrift is voor verstrekking van persoonsgegevens de schriftelijke toestemming van betrokkene/vertegenwoordiger vereist. 5

6 4. Voor alle gegevensverstrekking aan derden wordt door de verantwoordelijke een register bijgehouden. De verantwoordelijke deelt de betrokkene/vertegenwoordiger op diens verzoek binnen 4 weken schriftelijk mee of zijn geregistreerde gegevens in het jaar voorafgaand aan het verzoek aan derden zijn verstrekt. Artikel 14 Verstrekking van gegevens in het kader van bemoeizorg. 1. Gegevensuitwisseling in het kader van de bemoeizorg dient bij te dragen aan het doel van de bemoeizorg, namelijk: a. het begeleiden van zorgwekkende zorgmijders naar de reguliere zorg; b. het verminderen van problemen die de betrokkene zelf of zijn omgeving ervaart. 2. Gegevensuitwisseling kan zonder toestemming plaatsvinden in situaties waarin betrokkene: a. geen vaste woon- of verblijfplaats heeft en zijn situatie zo zorgwekkend is dat hulp en zorg dringend noodzakelijk zijn; b. zich tegen hulpverlening verzet, maar vanwege de ernst van zijn problematiek en/of de door hem veroorzaakte overlast, interventies niet kunnen of mogen uitblijven. Openheid over gegevens uitwisseling blijft uitgangspunt, ook als de medewerker besluit zonder toestemming van betrokkene te handelen. De medewerker dient zoveel mogelijk de betrokkene te informeren over zijn handelingen m.b.t. gegevensverstrekking. In alle gevallen dient de medewerker de gegevensverstrekking en de motivatie waarom dit zonder toestemming van betrokkene plaatsvond met reden omkleed vast te leggen in de persoonsgegevens. Artikel 15 Verstrekking van gegevens ten behoeve van historisch, statistisch of wetenschappelijk onderzoek 1. Persoonsgegevens kunnen alleen dan zonder toestemming van betrokkene worden verstrekt ten behoeve van wetenschappelijk onderzoek en statistiek, indien aan ten minste één van de volgende voorwaarden is voldaan: a. het vragen van gerichte toestemming is in redelijkheid niet mogelijk en er is met betrekking tot het onderzoek voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad; b. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de gegevens in een zodanige vorm worden verstrekt dat zij niet tot individuele personen herleidbaar zijn. 2. Voorts is gegevensverstrekking slechts mogelijk indien: a. het onderzoek een algemeen belang dient; b. het onderzoek niet zonder betreffende gegevens kan worden uitgevoerd; c. voor zover de betrokkene tegen de verstrekking niet uitdrukkelijk bezwaar heeft gemaakt; d. het onderzoek wordt uitgevoerd conform de gedragscode voor wetenschappelijk onderzoek, dan wel de gedragscode van de koepelorganisaties; e. het onderzoek wordt verricht door een erkende wetenschappelijke instelling, een koepelorganisatie of het Centraal Bureau voor Statistiek. 6

7 Artikel 16 Geheimhouding Een ieder die op grond van deze regeling kennis neemt van persoonsgegevens van een cliënt of een betrokkene, is verplicht tot geheimhouding daarvan, tenzij de wet of deze regeling anders bepaalt. IV Vertegenwoordiging Artikel 17 Cliënten jonger dan 12 jaar De rechten die de cliënt jonger dan 12 jaar heeft op grond van dit reglement worden uitgeoefend door de wettelijke vertegenwoordiger(s). Artikel 18 Cliënten in de leeftijd van jaar De rechten die de cliënt in de leeftijdscategorie van 12 tot 16 jaar heeft op grond van dit reglement worden uitgeoefend door de cliënt en de wettelijke vertegenwoordiger(s) samen indien de cliënt in staat is tot een redelijke waardering van zijn belangen ter zake. Artikel 19 Cliënten vanaf 16 jaar 1. De rechten van die de cliënt van 16 jaar en ouder heeft op grond van dit reglement worden door de cliënt zelf uitgeoefend. Indien de cliënt de leeftijd van 18 jaar nog niet heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, worden deze rechten uitgeoefend door de wettelijke vertegenwoordiger(s) van de cliënt. 2. Indien de cliënt 18 jaar of ouder is en niet in staat geacht kan worden tot een redelijke waardering van zijn belangen ter zake, worden de rechten die hij heeft op grond van dit reglement uitgeoefend door de wettelijke vertegenwoordiger of de schriftelijke gemachtigde van de cliënt. Indien ten aanzien van de cliënt een gemachtigde ontbreekt, dan worden deze rechten uitgeoefend door de echtgenoot, de geregistreerde partner of andere levensgezel van de cliënt, tenzij deze persoon dat niet wenst of ontbreekt in welk geval de rechten uitgeoefend kunnen worden door een ouder, meerderjarig kind, meerderjarige broer of zus, tenzij deze persoon dat niet wenst. Artikel 20 Machtigen Indien de betrokkene de leeftijd van 18 jaar heeft bereikt en in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een ander persoon schriftelijk te machtigen in diens plaats te treden. V Inzage en/of afschrift van opgenomen persoonsgegevens Artikel 21 Inzage en/of in persoonsgegevens 1. De betrokkene heeft desgevraagd het recht op inzage en/of afschrift van de bescheiden in het bestand die betrekking hebben op de betrokkene zelf. Betrokkene 7

8 heeft dit recht zowel gedurende als na afronding van de hulpverleningsrelatie met W&G. 2. Inlichtingen over, inzage of afschrift kan worden geweigerd: a. indien de persoonlijke levenssfeer van een ander wordt geschaad dan wel ter bescherming van de rechten en vrijheden van anderen; b. indien de hulpverlener door het verstrekken van inlichtingen dan wel inzage of afschrift niet geacht kan worden de zorg van een goed hulpverlener in acht te nemen. Artikel 22 Termijn van inzage en / of afschrift De verantwoordelijke verleent, na het verzoek als bedoeld in artikel 21, zo spoedig mogelijk inzage en/of afschrift, doch uiterlijk binnen vier weken na ontvangst van het verzoek. VI Recht op correctie of vernietiging van persoonsgegevens Artikel 23 Correctie van persoonsgegevens 1. De betrokkene aan wie inzage of afschrift is verleend kan de verantwoordelijke schriftelijk verzoeken de hem betreffende persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. 2. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of, dan wel in hoeverre hij aan het verzoek voldoet. In het geval niet voldaan wordt aan het verzoek wordt dit met redenen omkleed. Artikel 24 Uitvoering van correctie De verantwoordelijke draagt er zorg voor dat een beslissing tot aanvulling of correctie zo spoedig mogelijk wordt uitgevoerd. Artikel 25 Vernietiging van persoonsgegevens 1. De betrokkene kan de verantwoordelijke schriftelijk verzoeken om vernietiging van tot zijn persoon herleidbare gegevens; 2. de verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of aan het verzoek tot vernietiging wordt voldaan. In het geval niet voldaan wordt aan het verzoek wordt dit met redenen omkleed. 3. De verantwoordelijke vernietigt de gegevens uiterlijk binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij bewaring op grond van wettelijk voorschrift vereist is of redelijkerwijs aannemelijk is dat bewaring van aanmerkelijk belang is voor een ander dan de betrokkene. VII Bewaartermijnen Artikel 27 Bewaartermijnen gegevens cliënten Met inachtneming van eventuele wettelijke voorschriften stelt de verantwoordelijke vast hoelang de in het bestand opgenomen persoonsgegevens bewaard blijven. De 8

9 bewaartermijn is in beginsel vijftien jaren, te rekenen vanaf het tijdstip van beëindiging van de hulp en zorgverlening, of zoveel langer als dat redelijkerwijs uit de zorg van een goed hulpverlener noodzakelijk is. Artikel 28 Verstrijken van bewaartermijn en vernietiging van gegevens Indien de bewaartermijn is verstreken, worden de betreffende persoonsgegevens uit de registratie vernietigd, zulks binnen een termijn van drie maanden. Vernietiging blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aannemelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift noodzakelijk is. VIII Klachten Artikel 29 Klachten inzake naleving van dit reglement Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, dient hij/zij zich te wenden tot de verantwoordelijke van de registratie. Artikel 30 Klachtenafhandeling Cliënten Indien het in artikel 29 gestelde niet leidt tot een voor de betrokkene acceptabel resultaat, heeft hij/zij de volgende mogelijkheden. Betrokkene kan: 1. gebruikmaken van de binnen W&G functionerende klachtenregelingen; 2. zich binnen acht weken na de schriftelijke uitspraak van de klachtencommissie W&G wenden tot het College Bescherming Persoonsgegevens met het verzoek te bemiddelen of te adviseren in zijn geschil met de verantwoordelijke; 3. een beroep doen op de rechter, waarvoor dezelfde termijn geldt als voor het inschakelen van het College Bescherming Persoonsgegevens. Overgang- en Slotbepalingen Artikel Dit reglement treedt per. in werking en is in te zien bij de verantwoordelijke. 2. Dit reglement vervangt de voorgaande privacyreglementen. 3. Wijziging van dit reglement worden aangebracht door de verantwoordelijke. De wijzigingen worden van kracht op een door de verantwoordelijke vastgesteld tijdstip. 9