Werkinstructie en procedure W22 Versie 1.1. Pagina 1 / 7. Privacyregeling Samenvatting

Transcriptie

1 Pagina 1 / 7 Samenvatting Deze regeling behandelt de wijze waarop er om moet worden gegaan met zorg- en persoonsgegevens. Het omvat onder meer voorwaarden betreffende het opnemen van zorg- en persoonsgegevens, de verstrekking van deze gegevens aan derden, de toegang tot de gegevens en de beveiliging van de gegevens en de rechten van cliënten en medewerkers. Doel - Zorgvuldige omgang en bejegening; - Zorgvuldige omgang met zorggegevens; - Zorgvuldige omgang met persoonsgegevens; - Bescherming persoonsgegevens. Doelgroep Deze regeling is van toepassing op alle diensten, afdelingen en cliënten van La Providence en organisaties waarmee een samenwerkingsverband is afgesloten. Dit voor zover de regeling op de werkzaamheden van bedoelde personen en organisaties van toepassing is verklaard. Verwijzing en bronvermelding Wetgeving: - Wet Bescherming Persoonsgegevens - Wet meldplicht datalekken - Kwaliteitscriteria NPCF februari 2001 (Nederlands Consumenten Patiënten Federatie) Werkinstructie en procedures: - Klachtenregeling cliënten - Archiefbeheer - Meldingen naar inspectie en externe instanties - Gedragscode Formulieren: - Inzagerecht en vertegenwoordiging Brochures en documenten: - Brochure Omgaan met patiëntengegevens - Brochure Uw rechten als patiënt (WGBO) - Richtsnoeren meldplicht datalekken (CBP) Zoekwoorden Privacy, persoonsgegevens, datalekken, bescherming Evaluatiedatum Documenteigenaar Annelies van Adrichem Datum akkoord MT Datum akkoord OR Datum akkoord CR

2 Pagina 2 / 7 1. Inleiding Met ingang van 1 januari 2016 is de nieuwe Wet Bescherming Persoonsgegevens (WBP) in werking getreden. De wet is opgesteld naar aanleiding van een Europese richtlijn. De WBP geeft aan wat de rechten zijn van enkele betrokkenen van wie gegevens worden verwerkt en wat de plichten zijn van de instanties die gegevens verwerken. Onderliggende regeling is een praktische uitwerking van de bepalingen in de wet WBP, de Wet datalekken en - voor zover van toepassing - van de bepalingen in de Wet geneeskundige behandelingsovereenkomst, WGBO. Het is van essentieel belang dat elke medewerker in overeenstemming met de wet, beroepsethiek, gedragsregels, (model)overeenkomsten zorgaanbieder/cliënt de kwaliteitscriteria van het NPCF handelt. Een medewerker dient zich altijd bewust te zijn van zijn/haar functionele relatie tot de cliënt. Dit geldt voor de cliënt persoonlijk als wel voor de gegevens van de cliënt. Deze regeling regelt de wijze waarop er binnen La Providence omgegaan moet worden met: - Persoonsgegevens; - Zorggegevens; - De omgang met en de bejegening van de cliënt*. * Met cliënt wordt bedoeld de cliënt zelf of diens (wettelijke) vertegenwoordiger. Met de cliënt wordt ook bedoeld medewerkers en vrijwilligers. 2. Definities Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Zorggegevens: Datalek: Persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening. Als persoonsgegevens kwijt (kunnen) raken of als er sprake is van onrechtmatige verwerking van persoonsgegevens. 3. Verantwoordelijkheden De bestuurder is verantwoordelijk voor: - Het naleven van de beroepsethiek, gedragsregels en geheimhoudingsplicht; - Het informeren van de cliënt over de privacyregeling; - Het melden van datalekken bij de cliënt en bevoegde instanties. De kwaliteitsmanager is verantwoordelijk voor: - Een juiste uitvoering van de procedure; - Het beheer van informatiebrochures. Iedere medewerker is verantwoordelijk voor: - Een correcte omgang met cliënten en gegevens van cliënten; - Bekendheid van de gedragscode van La Providence, Nationale Beroepscode van Verpleegkundigen en verzorgenden, Beroepsethiek en Gedragsregels voor fysiotherapeut en de gedragregels NCPF.

3 Pagina 3 / 7 4. Privacyregels persoonsgegevens en zorggevens - Gegevens worden strikt vertrouwelijk behandelt. - Gegevens dienen niet in openbaar toegankelijke ruimtes achter te blijven. - Gegevens zijn beveiligd en alleen toegankelijk voor de daartoe bevoegde geautoriseerde medewerkers. - Gegevens worden niet zonder toestemming aan derden verstrekt. - Alle medewerkers en eventueel ingeschakelde derden hebben een geheimhoudingsplicht. - Gegevens worden met in achtneming van de wettelijke verplichting vernietigt, zie procedure archiefbeheer. - Vragen van de cliënt en medewerkers over gearchiveerde gegevens, worden binnen 1 maand correct beantwoord. - De cliënt, medewerker of hulpverlener heeft recht van inzage in zijn dossier. Een verzoek tot inzage wordt zo spoedig mogelijk doch uiterlijk binnen 1 maand verstrekt. - Op verzoek van de cliënt, medewerker of hulpverlener of op initiatief van de manager, als deze dat nodig acht, wordt een toelichting gegeven op het dossier. - Er worden behoudens enkele omschreven uitzonderingen (zoals ten behoeve van de statistiek of wetenschappelijk onderzoek), geen inlichtingen verstrekt aan anderen dan de cliënt of degenen die rechtstreeks betrokken zijn bij de uitvoering van de overeenkomst tot zorgverlening. - Wanneer de organisatie de gegevens gebruikt in het kader van voorlichting gebeurt dit met toestemming van de cliënt of medewerker. Persoonsgegevens kunnen worden opgenomen in een persoonsregistratie voor zover: - Opname noodzakelijk is voor het doel van de persoonsregistratie; - De persoonsgegevens vallen binnen de in de bijlage omschreven soorten persoonsgegevens; - Het personen betreft die behoren tot de categorieën die zijn omschreven in de bijlage; - De persoonsgegevens zijn verkregen op de wijze zoals omschreven in paragraaf Rechten cliënten en medewerkers Cliënten en medewerkers hebben de volgende rechten: - Recht om gegevens die zijn vastgelegd in te zien; - Recht van bezwaar tegen opname van gegevens; - Recht op inzage van persoonsgegevens; - Recht op een afschrift cq kopie van gegevens; - Recht op correctie, aanvulling of verwijdering van gegevens; - Recht op kennisneming van verstrekking van gegevens aan derden; - De cliënt moet in staat worden gesteld om verzoeken om informatie elektronisch in te dienen. 6. Meldplicht datalekken Datalekken worden gemeld bij de cliënt en bij bevoegde instanties volgens de procedure meldingen naar inspectie en externe instanties. Voor het melden van datalekken worden de richtsnoeren meldplicht datalekken van het CBP gehanteerd.

4 Pagina 4 / 7 7. Verstrekken persoonsgegevens Lid 1. Schriftelijke toestemming - Voor het verstrekken van persoonsgegevens dient vooraf schriftelijk toestemming van de cliënt te worden gevraagd. - Deze schriftelijke toestemming wordt toegevoegd aan de persoonsregistratie. Lid 2. Binnen de organisatie - Binnen La Providence en onder verantwoordelijkheid van de houder kunnen persoonsgegevens worden verstrekt aan diegene die t.b.v. de uitoefening van hun taak over persoonsgegevens dienen te beschikken. - De persoonsgegevens worden binnen de organisatie verstrekt voor zover noodzakelijk en relevant en op voorwaarde dat de geheimhouding, de beveiliging en overige privacybescherming afdoende zijn geregeld. Lid 3. Buiten de organisatie Buiten de organisatie kunnen onder verantwoordelijkheid van de houder persoonsgegevens worden verstrekt aan: - Personen, die een daartoe strekkend verzoek hebben ingediend, die direct betrokken zijn bij de hulpverlening aan de cliënt, voor zover noodzakelijk voor hun taakuitoefening, tenzij de cliënt daartegen bezwaar maakt; - De persoonsgegevens worden buiten de organisatie, zoals hierboven vermeld, verstrekt voor zover noodzakelijk en relevant en op voorwaarde dat de geheimhouding, de beveiliging en overige privacybescherming afdoende zijn geregeld. Lid 4. Koppeling van gegevens - Voor het koppelen van gegevens uit afzonderlijke interne persoonsregistratie is géén schriftelijke toestemming van de geregistreerde vereist. - Dit is wèl vereist als er sprake is van een koppeling van gegevens aan een externe persoonsregistratie. - De persoonsregistraties die door de personen en organisaties waarmee een samenwerkingsovereenkomst is gesloten voor hulpverlening aan cliënten van La Providence worden bijgehouden en worden voor de werking van dit artikel beschouwd als interne persoonsregistraties. Lid 5. Geanonimiseerde gegevens - Tot verstrekking als bedoeld in lid 3 en 4 zal de houder slechts dan overgaan indien niet met het verstrekken van geanonimiseerde gegevens kan worden volstaan. Lid 6. Registratie vertrekking persoonsgegevens buiten de organisatie - Van de gegevensverstrekking als bedoeld in de lid 3 en 4 wordt door de houder een registratie bijgehouden. - De in de registratie vermelde gegevens worden gedurende twee kalenderjaren bewaard, tenzij zij in het kader van een gerechtelijke procedure langer bewaard moeten blijven. Lid 7. Beveiliging persoonsgegevens - De houder van de persoonsregistratie is verplicht te zorgen voor een deugdelijke en op schrift gestelde beveiliging van de persoonsgegevens, die zich zowel binnen de organisatie als bij een bewerker kunnen bevinden. - De beheerder is, onder verantwoordelijkheid van de houder, hiermee belast.

5 Pagina 5 / 7 8. Werkwijze recht van bezwaar Recht van bezwaar cliënt - De cliënt heeft recht bezwaar te maken tegen opname van op hem/ haar betrekking hebbende persoonsgegevens. - De zorgverlener aan wie dit bezwaar kenbaar wordt gemaakt, gaat slechts over tot het opnemen van de betreffende gegevens indien en voor zover zulks voor het verlenen van de zorg en de bedrijfsvoering onvermijdelijk zijn of op grond van een wettelijk voorschrift vereist is. Schriftelijk en gemotiveerd meedelen aan cliënt - Indien de zorgverlener aan het verzoek van de geregistreerde niet of slechts gedeeltelijk gehoor kan geven deelt hij/zij dit schriftelijk en gemotiveerd aan de cliënt mee. - Daarbij dient te worden gewezen op mogelijke consequenties van inwilliging ten aanzien van de behandeling en/of betaling daarvan. - De zorgverlener dient zich ten aanzien van zijn/haar beslissing te vergewissen van de mening van de houder. 9. Werkwijze inzagerecht Recht op inzage - De cliënt heeft recht op kennisneming van zijn/ haar persoonsgegevens; - De cliënt zal zich hierbij dienen te legitimeren. De werkwijze is als volgt: 1. Een verzoek tot inzage wordt door de cliënt kenbaar gemaakt aan de houder. 2. De houder informeert de beheerder. 3. De beheerder verleent inzage binnen 1 maand na ontvangst van het verzoek. 4. De beheerder informeert vooraf een eventueel betrokken zorgverlener aangaande het verzoek en geeft de mogelijkheid om de inzage plaats te laten vinden onder begeleiding van deze zorgverlener. 5. De cliënt heeft het recht te doen vergezellen van een vertrouwenspersoon. Uitzondering Indien inzage niet kan worden verleend, zonder dat daarbij inzage wordt gegeven in de gegevens van andere cliënten, dienen die andere cliënten eerst toestemming te verlenen. 10. Werkwijze recht op afschrift Recht op afschrift cliënt - De cliënt heeft recht op een afschrift van de geregistreerde persoonsgegevens. - De houder zal voor het afschrift een vergoeding vragen. De werkwijze is als volgt: - Het verzoek tot een afschrift wordt ingediend bij de houder. - De houder geeft dit door aan de beheerder van de betreffende persoonsregistratie. - De beheerder verstrekt het afschrift binnen 1 maand. - Bij afgifte dient de cliënt zich te legitimeren.

6 Pagina 6 / 7 Mededelingsplicht De houder zal aan diegene aan wie hij/zij naar zijn haar weten in het jaar voorafgaand aan het verzoek en sinds dat verzoek verstreken periode de betrokken gegevens heeft verstrekt, mededeling doen van de verbetering, aanvulling of verwijdering. - Voorts doet de houder aan de verzoeker desgevraagd opgave van diegene aan wie hij/zij de mededeling heeft gedaan. 11. Werkwijze onjuiste, onvolledige en wijziging van gegevens 1. De cliënt kan de houder schriftelijk verzoeken de hem/haar betreffende persoonsgegevens te verbeteren, aan te vullen of te verwijderen, indien deze feitelijk onjuist, voor het doel van de registratie onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift in de registratie voorkomen. Het verzoek bevat de aan te brengen wijziging. 2. De houder geeft dit verzoek door aan de beheerder van de betreffende persoonsregistratie. 3. Deze beheerder bericht de cliënt binnen twee maanden na ontvangst van het verzoek schriftelijk of, dan wel in hoeverre, hij/ zij daaraan voldoet. Gewichtig belang Indien een gewichtig belang van de verzoeker dit vereist, voldoet de houder aan een verzoek als bedoeld in dit artikel, in een andere dan schriftelijke vorm, die aan dat belang is aangepast. Identiteit De houder draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. Minderjarigen en onder curatele gestelden Het verzoek, als bedoeld in het eerste lid, wordt ten aanzien van minderjarigen die de leeftijd van zestien jaar nog niet hebben bereikt en ten aanzien van onder curatele gestelden gedaan door hun wettelijke vertegenwoordigers. De betrokken mededeling geschiedt eveneens aan de wettelijke vertegenwoordigers. Uitvoering De houder draagt zorg dat een beslissing tot verbetering, aanvulling of verwijdering zo spoedig mogelijk wordt uitgevoerd. 12. Overige Brochures In de organisatie bevinden zich de brochures Omgaan met patiëntengegevens en Uw rechten als patiënt (WGBO). Bij twijfel over de omgang met gegevens dienen deze brochures geraadpleegd te worden. Klachten van cliënten Wanneer een cliënt meent dat gehandeld wordt in strijd met de privacyregeling, dan kan een klacht ingediend worden conform de procedure klachtenregeling.

7 Pagina 7 / 7 Bijlage bij de privacyregeling De gegevens hebben voornamelijk betrekking op de persoon van de klant, diens zorgbehoefte, de verleende zorg, en de financiële afwikkeling daarvan. Overzicht van verwerkingen van persoonsgegevens of meer in het bijzonder gaat het over 1. NAW gegevens, personalia/identiteitsgegevens en identificatienummer (geen kopie-id) 2. Financiële en administratieve gegevens 3. Zorgplan en Paramedische gegevens 4. Dienstverlenings- en begeleidingsgegevens 5. Gedragswetenschappelijke gegevens 6. Dagactiviteitengegevens 7. Bijzondere gegevens: gegevens over godsdienst, levensovertuiging, gezondheid, seksuele leven, strafrecht of gegevens over onrechtmatig of hinderlijk gedrag.