REGLEMENT BESCHERMING PERSOONSGEGEVENS Gemeenschappelijke Gezondheidsdienst Hollands Noorden

Transcriptie

1 REGLEMENT BESCHERMING PERSOONSGEGEVENS Gemeenschappelijke Gezondheidsdienst Hollands Noorden ALGEMENE BEPALINGEN 1. Begripsbepalingen 1.1. Persoonsgegeven Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Personalia en identificatiegegevens Persoonsgegevens, die betrekking hebben op persoonlijke bijzonderheden van betrokkene (naam, adres, woonplaats e.d.) om een persoon te kunnen identificeren. Medische en psychologische gegevens Persoonsgegevens, direct of indirect betrekking hebbend op de lichamelijke of geestelijke gesteldheid van betrokkene, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening. Financiële en administratieve gegevens Gegevens die in de administratie van de GGD Hollands Noorden en de persoonsdossiers zijn opgenomen, niet zijnde personalia, identificatie-, medische of psychologische gegevens, die noodzakelijk zijn voor de financiering en/of administratieve afhandeling van de zorgverlening. Anonieme gegevens Anonieme gegevens zijn geen persoonsgegevens en vallen niet onder dit reglement Verwerking van persoonsgegevens Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens Bestand Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografische wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen Verantwoordelijke Het Dagelijks Bestuur van de GGD Hollands Noorden (zijnde het bestuur dat het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Het bestuur kan bepaalde taken overdragen aan de directeur die hiermee de bevoegdheid krijgt om in naam van het bestuur besluiten te nemen Bewerker Een bewerker is degene die op basis van een opdracht van de verantwoordelijke ten behoeve van de verantwoordelijke en conform de aanwijzing van deze verantwoordelijke en conform de aanwijzingen van deze verantwoordelijke persoonsgegevens voor GGD Hollands Noorden verwerkt.

2 1.6. Betrokkene Degene op wie een persoonsgegeven betrekking heeft Derde Ieder ander dan de betrokkene, de verantwoordelijke, de bewerker, of degene(n) die onder gezag van de verantwoordelijke of de bewerker gemachtigd is (zijn) om persoonsgegevens te verwerken Ontvanger Degene aan wie de persoonsgegevens worden verstrekt Toestemming van betrokkene Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat zijn persoonsgegevens worden verwerkt College bescherming persoonsgegevens Het College dat tot taak heeft toe te zien op de verwerking van persoonsgegevens overeenkomstig de wet Verstrekken van persoonsgegevens Het bekend maken of ter beschikking stellen van persoonsgegevens Privacyfunctionaris Onverminderd de bevoegdheden van het bestuur kan de directeur een privacyfunctionaris aanwijzen die tot taak heeft: toe te zien op de naleving van de gegevensverwerking overeenkomstig dit reglement; zorg te dragen dat betrokkenen voldoende informatie krijgen over het reglement; de verzoeken te coördineren van betrokkenen tot inzage, correctie en verzet en het geven van adviezen aan de directie; het reglement te actualiseren; jaarlijks een verslag te maken van de werkzaamheden en de bevindingen Klachtencommissie De door de GGD Hollands Noorden ingestelde klachtencommissie die belast is met de behandeling van klachten op het gebied van de zorg en dienstverlening GGD Hollands Noorden De Gemeenschappelijke Gezondheidsdienst met de taak de gemeenschappelijke belangen van de deelnemende gemeenten te behartigen op het gebied van de openbare gezondheidszorg Wetgeving BW: Burgerlijk Wetboek Wpb: Wet bescherming persoonsgegevens Wgbo: Wet inzake geneeskundige behandelingsovereenkomst Awb: Algemene wet bestuurszaken

3 2. REIKWIJDTE 2.1. Dit reglement is van toepassing op zowel geautomatiseerde als handmatige verwerking van medische en niet-medische persoonsgegevens binnen de GGD Hollands Noorden Elk gebruik van persoonsgegevens dient te berusten op tenminste één van de volgende gronden: a. toestemming van betrokkene; b. noodzakelijkheid voor de uitvoering of voorbereiding van een overeenkomst; c. het nakomen van een wettelijke verplichting; d. noodzakelijkheid ter vrijwaring van vitale belangen (zoals een ernstig gevaar voor de gezondheid); e. noodzakelijk voor een goede vervulling van een publiekrechtelijke taak; f. noodzakelijk in verband met een gerechtvaardigd belang van de verantwoordelijke. VERWERKING VAN PERSOONSGEGEVENS 3. Doel van de verwerking van persoonsgegevens 3.1. Voor de verwerking van persoonsgegevens door de GGD Hollands Noorden gelden de volgende doelstellingen: Hoofddoelstellingen: a. Ondersteunen bij de uitvoering van de wettelijk opgedragen taken en op grond van de Gemeenschappelijke Regeling GGD Hollands Noorden opgedragen taken. b. Ondersteuning en instandhouding van preventie, zorg en nazorg aan cliënten. c. Het financieel afhandelen van geboden zorg aan de cliënt met de cliënt dan wel met diens zorgverzekeraar. Nevendoelstellingen: a. Ondersteuning bij intercollegiale toetsing en evaluatie. b. Ondersteuning bij wetenschappelijk onderzoek en onderwijs. c. Het vastleggen en beschikbaar stellen van informatie, (mede) verkregen op grond van de verwerkte persoonsgegevens, ten behoeve van een doelmatig beleid en beheer van de GGD Hollands Noorden. d. Het adviseren van o.a. gemeentebesturen in het kader van het door hen te voeren gezondheidsbeleid De verantwoordelijke zal persoonsgegevens slechts verwerken in overeenstemming met de doelen zoals beschreven in 3.1. en in bijlage 1 welke bijlage onderdeel uitmaakt van dit reglement. 4. Verwerking van persoonsgegevens 4.1. In bijlage 1 onderdeel uitmakend van dit reglement, is de verwerking van de persoonsgegevens omschreven waarop dit reglement van toepassing is Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Uitgangpunt is hierbij subsidiariteit (minst ingrijpende maatregel), proportionaliteit (een evenredige verhouding tussen maatregel en het doel) en doelmatigheid (de meest geschikte maatregel) Bij de verwerking van persoonsgegevens wordt tenminste genoemd: a. naam en vestigingsplaats van de GGD Hollands Noorden b. de verantwoordelijke

4 c. de eventuele bewerker d. de wijze waarop de gegevens verwerkt en bewerkt worden; e. of de verwerking van de gegevens voor bepaalde dan wel onbepaalde tijd geschiedt, waarbij indien er sprake is van een beperkte looptijd, wordt aangegeven wat er na afloop met de gegevens gebeurt; f. de categorieën van personen of instanties, waaraan persoonsgegevens worden verstrekt en een specificatie van de soorten gegevens, die verstrekt worden De verantwoordelijke zorgt voor het goed functioneren van de verwerking van de persoonsgegevens. De verantwoordelijke is aansprakelijk voor eventuele schade als gevolg van het niet naleven van het reglement De verantwoordelijke verplicht derden bij civiel rechtelijke overeenkomst dit reglement na te leven. De taken, rechten en verplichtingen van de bewerker worden door de verantwoordelijke schriftelijk vastgelegd. Dit houdt in dat de bewerker in ieder geval een geheimhoudingsplicht heeft en slechts toegang heeft tot, dan wel kennis neemt van persoonsgegevens voor zover dit, gelet op technische middelen ter voorkoming daarvan, strikt noodzakelijk is ten behoeve van door hem uit te voeren werkzaamheden De verantwoordelijke treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens en draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsgegevens tegen verlies of aantasting van gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Gelijke plicht rust op de bewerker voor het geheel of het gedeelte van de faciliteiten die hij onder zich heeft. 5. Opgenomen gegevens De volgende categorieën van persoonsgegevens worden verwerkt: - personalia en identificatiegegevens - medische, sociale en psychologische gegevens - financiële en administratieve gegevens. 6. Vertegenwoordiging 6.1. Indien persoonsgegevens verwerkt worden van kinderen jonger dan zestien jaar, treden de ouders, die de ouderlijke macht uitoefenen, dan wel de voogd, in de plaats van de betrokkene (conform artikel 5 Wet bescherming persoonsgegevens) De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken De verantwoordelijke komt zijn verplichtingen die voortvloeien uit wet en reglement na jegens de vertegenwoordiger van de betrokkene, tenzij die nakoming niet verenigbaar is met de zorg van een goed verantwoordelijke Voor verrichtingen ter uitvoering van een behandelingsovereenkomst is de toestemming van betrokkenen vereist. Een minderjarige die de leeftijd van 16 jaar heeft bereikt, is bekwaam tot het aangaan van een behandelingsovereenkomst voor zich zelf. Indien betrokkene minderjarig is en de leeftijd van 12, maar niet die van 16 jaar heeft bereikt, is tevens toestemming van de ouders of voogd vereist. De verrichting kan wel zonder toestemming van de ouders of voogd teneinde ernstig nadeel van de betrokkene te voorkomen (artikelen 447 en 450 Burgerlijk Wetboek).

5 7. Informatieplicht 7.1. De verantwoordelijke zal de betrokkene actief informeren over de persoonsgegevens die worden verwerkt en met welk doel, wat er met de gegevens gebeurt en wie daarvoor verantwoordelijk is. De verantwoordelijke dient zich ervan te overtuigen dat betrokkene over deze informatie kan beschikken. opmerking: voor OGGZ ligt dit lastig, gebeurt dan achteraf, hoe dit op te nemen? 7.2. De verantwoordelijke informeert betrokkene voorafgaand aan de verzameling van de persoonsgegevens of, indien de gegevens van derden afkomstig zijn, voorafgaand aan de verwerking. 8. Verstrekking van gegevens 8.1. Voor verstrekking van persoonsgegevens aan derden is de uitdrukkelijke (mondelinge of schriftelijke) toestemming van de betrokkene vereist In afwijking van het gestelde in artikel 8.1. kunnen binnen de GGD Hollands Noorden kunnen persoonsgegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk, aan: a. degene (of diens vervanger), die rechtstreeks betrokken is bij de actuele zorg of hulpverlening aan de betrokkene; b. personen en instanties, die tot taak hebben de zorg te controleren en te toetsen; c. anderen, indien de gegevensverwerking noodzakelijk is vanwege een vitaal belangd voor de betrokkene. 8.3 In afwijking van het gestelde in artikel 8.1. kunnen ook buiten de GGD Hollands Noorden persoonsgegevens worden verstrekt, voor zover dat voor hun taakuitoefening noodzakelijk is, aan: a. degene die rechtstreeks betrokken is bij de actuele zorg of hulpverlening aan de betrokkene en tijdelijk of permanent de zorg overneemt, tenzij betrokkene bezwaar heeft kenbaar gemaakt; b. de betrokken zorgverzekeraar (maar dan alleen die gegevens die noodzakelijk zijn vanwege de verplichtingen uit de verzekeringsovereenkomst) In Indien de persoonsgegevens dusdanig zijn geanonimiseerd, dat zij redelijkerwijs niet tot de individuele persoon te herleiden zijn, kan de verantwoordelijke beslissen deze te verstrekken zonder schriftelijke toestemming ten behoeve van wetenschappelijk onderzoek en statistiek, zowel binnen als buiten de organisatie. 9. Toegang tot persoonsgegevens 9.1. Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de persoonsgegevens de beroepsbeoefenaar die deze gegevens heeft verzameld of verwerkt of diens waarnemer Voorts hebben toegang tot persoonsgegevens in het betreffende bestand de aangewezen gebruikers van de registratie, die binnen de GGD Hollands Noorden werkzaam zijn De verantwoordelijke heeft als zodanig geen toegang tot de betrokkene persoonsgegevens.

6 10. Rechten van de betrokkene De betrokkene heeft het recht op inzage in, kopie van aanvulling dan wel verbeteren en/of vernietigen dan wel verwijderen van op hem betrekking hebbende verwerkte persoonsgegevens De betrokkene heeft het recht op afscherming van gegevens De betrokkene heeft recht op verzet tegen het verwerken van gegevens Verzoeken ter uitoefening van de rechten worden schriftelijk bij de verantwoordelijke ingediend en binnen vier weken na ontvangst van het verzoek in behandeling genomen Alleen als belangen van derden (waaronder de verantwoordelijke) ernstig geschonden zouden worden kan inzage gemotiveerd worden geweigerd Het recht op verzet tegen het verwerken van gegevens zal worden gehonoreerd indien de belangen van verantwoordelijke daardoor niet worden geschaad Voor de verstrekking van een afschrift wordt een vergoeding in rekening gebracht conform het bepaalde in het Besluit kostenvergoeding rechten betrokkene Wbp Indien een verzoek niet wordt gehonoreerd, is sprake van een, ingevolge de Algemene wet bestuursrecht, voor bezwaar en beroep vatbaar besluit. 11. Bewaartermijnen Met inachtneming van wettelijke voorschriften stelt de verantwoordelijke vast hoe lang de in de registratie(s) opgenomen persoonsgegevens bewaard blijven. Deze bewaartermijn is in beginsel vijftien jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit Indien de bewaartermijn is verstreken, worden de desbetreffende persoonsgegevens binnen één jaar verwijderd en vernietigd. Vernietiging blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de beroepsbeoefenaar overeenstemming bestaat. Indien de desbetreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven. 12. Klachten Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, dient hij zich te wenden tot de verantwoordelijke Indien dit voor de betrokkene niet leidt tot een voor hem acceptabel resultaat, kan betrokkene gebruik maken van de klachtenprocedure van de GGD Hollands Noorden. Hij kan zich ook wenden tot het College Bescherming Persoonsgegevens met het verzoek te bemiddelen of te adviseren in zijn geschil met de verantwoordelijke. Dit dient te geschieden binnen een termijn van zes weken na ontvangst van het antwoord van de verantwoordelijke.

7 OVERGANGS- EN SLOTBEPALINGEN 13. Looptijd van de gegevensverwerking Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende de hele looptijd van de verwerking van de persoonsgegevens. 14. Wijziging van het reglement 14.1 Wijzigingen in dit reglement worden aangebracht door de verantwoordelijke. De wijzigingen zijn direct na vaststelling door het bestuur van de GGD Hollands Noorden van kracht Met inachtneming van het gestelde in 14.1 wordt de directeur door de verantwoordelijke gemachtigd de bij dit reglement behorende bijlagen (1 t/m..) te wijzigen, indien er sprake is van een wijziging in de organisatie dan wel een wijziging in de registratie of verwerking van persoonsgegevens De verantwoordelijke wordt van de in 14.2 bedoelde wijzigingen in kennis gesteld door de directeur. 15. Inwerkingtreding Dit reglement treedt in werking direct na vaststelling door het bestuur van de GGD Hollands Noorden onder gelijktijdige intrekking van het Privacyreglement zoals dat op 24 oktober 2007 door het Dagelijks Bestuur is vastgesteld. 16. Citeertitel Deze regeling kan worden aangehaald als Privacyreglement GGD Hollands Noorden 2011 Aldus vastgesteld door het Dagelijks Bestuur van de GGD Hollands Noorden in zijn vergadering van 15 juni 2011

8 Bijlage 1 Nadere uitwerking van artikel 3.1. van het Privacy Reglement GGD Hollands Noorden 2011 Per registratie zijn de doelstellingen, zoals verwoord in artikel 3.1. van dit reglement nader aangeduid in de meldingen conform de Wet bescherming persoonsgegevens en ook in te zien op de website van het College Bescherming Persoonsgegevens (www. cbpweb.nl) Per sector zijn de doelstellingen zoals verwoord in artikel 3.1. van dit reglement, als volgt uitgewerkt. Sector Jeugdgezondheidszorg (JGZ) Registratie Beheer Integraal Dossier Jeugdgezondheidszorg ( ) Monitoring en signalering (individueel en collectief niveau) Ondersteuning bij intercollegiale toetsing en evaluatie Ondersteuning bij wetenschappelijk onderzoek en onderwijs Doelmatig beleid en beheer GGD-HN Het adviseren van gemeentebesturen in het kader van het door hen te voeren lokaal gezondheidsbeleid. Beleidsadvisering onderwijs en andere ketenpartners. Sector Infectieziekten en Milieu (I&M) Registratie Infectieziektenbestrijding (meldingsnummer ) Preventie, zorg en nazorg Onderzoek en onderwijs Advisering gezondheidsbeleid Communicatie en informatie Financiële afhandeling Registratie landelijke campagne hepatitis B voor risicogroepen ( ) Registratie van cliënt gegevens in het kader van de behandeling; het betreft cliëntgegevens (naam, adres, woonplaats etc), vaccinatie en laboratoriumgegevens Uitvoeren van een kosteneffectiviteitanalyse door registratie van achtergrond kenmerken Verrekenen van financiële vergoeding naar uitvoerende instellingen in de eigen GGD regio en verrekenen van financiële vergoeding van GGD Nederland naar eigen GGD Verantwoording naar de financier (VWS, ZON) Evaluatie van projectdoelen Registratie Kinderopvang (meldingsnummer ) Verzamelen van gegevens ten behoeve van het toezicht op de eisen zoals in het Landelijk Toetsingskader, deel a gastouder. Verzamelen van gegevens ten behoeve van het toezicht op de eisen zoals gesteld in het landelijk Toetsingskader, deel b gastouder. Registratie Medische milieukunde (meldingsnummer ) Preventie, zorg en nazorg; Onderzoek en onderwijs; Advisering gezondheidsbeleid Communicatie en informatie. Registratie Reizigersvaccinatie (meldingsnummer ) Preventie, zorg en nazorg Onderzoek en onderwijs Advisering gezondheidsbeleid

9 Communicatie en informatie Financiële afhandeling Registratie Seksueel overdraagbare aandoeningen (SOA) (meldingsnummer ) Preventie, zorg en nazorg Onderzoek en onderwijs Advisering gezondheidsbeleid Communicatie en informatie Financiële afhandeling Registratie Toezicht Wet kinderopvang ( ) Verzamelen van gegevens t.b.v. het toezicht op de eisen zoals gesteld in het landelijk Toetsingskader, deel a gastouder Verzamelen van gegevens t.b.v. het toezicht op de eisen zoals gesteld in het landelijk toetsingskader, deel b gastouder Registratie Tuberculosebestrijding (meldingsnummer ( ) Preventie, zorg en nazorg Onderzoek en onderwijs Advisering gezondheidsbeleid Communicatie en informatie Financiële afhandeling Sector Sociaal Medische Hygiënezorg (SMGZ) Registratie Forensische geneeskunde (meldingsnummer ) Het uitwisselen van medische gegevens door de dienstdoende artsen en verpleegkundigen. De niet medische informatie wordt gebruikt voor facturering naar de opdrachtgever. Geanonimiseerde gegevens worden gebruikt voor statistische analyse en planning. Registratie Openbare Geestelijke Gezondheidszorg (OGGZ) (meldingsnummer ) Verzamelen van gegevens om een passend zorgaanbod te realiseren voor OGGZ-cliënten. Verzamelen van gegevens om knelpunten en lacunes in het zorgaanbod in beeld te krijgen. Registratie Sociaal-medische advisering (meldingsnummer ) Opstellen sociaal-medisch advies Advisering gezondheidsbeleid Financiële afhandeling Sector Gezondheidsbevordering en Beleid (GBO) Registratie Epidemiologisch onderzoeken (meldingsnummer ) Verzamelen van informatie voor de beschrijving van aspecten met betrekking tot leefgewoonten, gezondheid en gezondheidsbeleving Het bieden van beleidsinformatie ten behoeve van de adviesfunctie van de GGD, zowel intern als extern. Het verschaffen van informatie respectievelijk het verleven van ondersteuning ten behoeve van wetenschappelijk onderzoek en onderwijs. Voor het aanschrijven van personen.

10 BIJLAGE 2 Nadere uitwerking van artikel 9 van het Privacy Reglement GGD Hollands Noorden 2011 Toegang tot de persoonsgegevens Raadplegen Onder raadplegen wordt verstaan het toegang hebben tot de verwerkte gegevens ter uitvoering van de opgelegde taken en werkzaamheden. Deze toegang beperkt zich tot het inzien van de gegevens, er mogen geen aanvullingen op en/of correcties in worden aangebracht. Muteren Muteren omvat het toegang hebben tot de gegevens zoals onder raadplegen is beschreven. Daarnaast mogen uit hoofde van de opdragen taken en verantwoordelijken mutaties aangebracht worden in de bestanden. Hieronder vallen onder andere het inbrengen van persoons-en medische gegevens, het corrigeren van die gegevens en het verwijderen van gegevens uit een registratie. Hieronder valt niet de bevoegdheid tot het verwijderen dan wel vernietigen van dossiers en registraties. Verwijderen Verwijderen omvat het toegang hebben tot de gegevens als onder muteren is beschreven. Daarnaast mogen uit hoofde van de taak en functie gegevens en dossiers binnen een registratie vernietigd worden. Het beëindigen en vernietigen van een geheel bestand kan alleen na uitdrukkelijke toestemming van de verantwoordelijke. Sector Jeugdgezondheidszorg Registratie Beheer integraal Dossier Jeugdgezondheidszorg ( ) Sector Infectieziekten & Milieu Registratie Infectieziektebestrijding ( ) Registratie Medische milieukunde ( ) Registratie Reizigersvaccinatie ( ) Registratie Seksueel overdraagbare aandoeningen (SOA) ( ) Registratie Tuberculosebestrijding ( ) Sector SMGZ Registratie openbare geestelijke gezondheidszorg (OGGZ) ( )

11 Registratie Forensische Geneeskunde ( ) Registratie Sociaal-medische advisering ( ) Sector GBO Registratie epidemiologische onderzoeken ( )

12 BIJLAGE 3 Nadere uitwerking van artikel 11 van het Privacy Reglement GGD Hollands Noorden 2011 Voor de bewaartermijnen van de persoonsregistraties geldt het volgende: Wordt nog nader uitgewerkt