Privacy beleid
Privacy beleid XL-Zorg
Algemeen
Het privacyreglement ziet toe op de verwerkingen van persoonsgegevens die plaatsvinden binnen XL-Zorg.
Dit reglement is gebaseerd op de Wet Algemene Verordening Gegevensbescherming. Het doel van dit reglement is regels te geven voor een zorgvuldige registratie van persoonsgegevens. Dit reglement geeft regels met betrekking tot het verzamelen, vastleggen, ordenen, bewaren, wijzigen, bijwerken, opvragen, raadplegen, gebruiken, verstrekken, verwijderen en vernietigen van persoonsgegevens. Ook geeft dit reglement de regels die gelden ten aanzien van de meldingen die in bepaalde gevallen gedaan moeten worden van verwerkingen van persoonsgegevens bij Autoriteit Persoonsgegevens.
Begripsbepalingen
- a) De wet: Wet Algemene Verordening Gegevensbescherming
- b) Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
- c) Medische of psychologische gegevens: persoonsgegevens, direct of indirect betrekking hebbend op de lichamelijke of geestelijke gesteldheid van betrokkene, op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening;
- d) Persoonsregistratie: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen of vernietigen van gegevens;
- e) Verstrekken van gegevens uit de persoonsregistratie: Het bekend maken of ter beschikking stellen van persoonsgegevens die in de persoonsregistratie zijn opgenomen of die door bewerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen.
- f) Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;
- g) Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens binnen XL-Zorg;
- h) Bestand: elk gestructureerd geheel van persoonsgegevens dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
- i) Vitaal belang: een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid;
- j) Verantwoordelijke: betrokken zorgverlener;
- k) Bewerker van de persoonsregistratie: Degene, die ten behoeve van de verantwoordelijke persoons gegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
- l) Beheerder: de Zorgmanager van XL-Zorg belast met de dagelijkse leiding over de verwerking van persoonsgegevens;
- m) Gebruiker van de persoonsregistratie: degene die geautoriseerd is gegevens in de persoonsregistratie in te voeren en/of te muteren dan wel enigerlei uitvoer van de persoonsregistratie kennis te nemen;
- n) Organisatie: XL-Zorg;
- o) Betrokkene: iedere natuurlijke persoon op wie een gegeven betrekking heeft (de cliënt);
- p) Derde: Ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;
- q) Externe opdrachtgever: De persoon of rechtspersoon die de opdracht tot enige vorm van beroepsmatig handelen heeft gegeven, niet zijnde de betrokkene. De opdracht omvat zowel vraagstelling die aan het beroepsmatig handelen ten grondslag ligt, als afspraken omtrent voortgang, procedurele aspecten en rapportage en de financiële afwikkeling van de opdracht;
- r) Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
- s) Toestemming van betrokkene: Elke vrije, specifieke en op informatie berustende wilsuiting, waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;
- t) Autoriteit Persoonsgegevens: De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt.
- Reikwijdte
Dit reglement is van toepassing op zowel geautomatiseerde als handmatige verwerking van medische en niet-medische persoonsgegevens binnen XL-Zorg.
- Doel van de persoonsregistratie
De verwerking van persoonsgegevens door XL-Zorg heeft als doel het verkrijgen van informatie, het systematisch vastleggen, het opslaan en ter beschikking stellen van gegevens ten behoeve van een goede uitvoering van preventie, zorg en nazorg aan cliënten. Tevens heeft dit reglement betrekking op het door ons op te stellen overzicht van genoemde verwerkingen van persoonsgegevens.
Doelstellingen cliënten
De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:
- Een goede uitvoering van de zorg die door de instelling wordt verleend;
- Het financieel afhandelen van de geboden zorg aan de cliënt met de cliënt dan wel met diens zorgverzekeraar;
- Het evalueren van de zorg;
- Samenwerken met andere zorginstellingen (waar de cliënt toestemming geeft om informatie te delen) om de juiste zorg te kunnen bieden aan de cliënt.
Doelstellingen medewerkers
De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:
- Het financieel afhandelen van salaris en overige vergoedingen;
- Het verantwoorden van de instelling aan de ziektekostenverzekeraars, uitvoeringsinstanties, belastingdienst en aan de overheid conform dit reglement, de vigerende voorschriften en wettelijke verplichtingen.
Doelstellingen XL-Zorg
De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:
- Het stimuleren van een permanente vorm van kwaliteitscontrole;
- Het evalueren en bijstellen van beleidstukken ter verbetering van de zorg en werkomgeving;
- Effectiviteit van de zorg inzichtelijk maken door cliëntwaardering.
De gegevens worden in de bijlage van dit reglement nader gespecificeerd.
- Vertegenwoordiging
4.1 Wanneer de betrokkene jonger dan 16 is, heeft de wettelijk vertegenwoordiger gezag over het kind. Meestal wordt het gezag door een of beide ouders uitgeoefend. XL-Zorg mag de betrokkene vragen aan te tonen of hij/zij daadwerkelijk gezag heeft over het kind.
4.2 Wanneer de betrokkene 16 jaar of ouder is, heeft hij/zij zelf recht om inzage te vragen in zijn/haar dossier.
4.3 Indien de betrokkene ouder is dan 16 jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen terzake, dan treedt, in volgorde als hier weergegeven, als vertegenwoordiger voor hem op:
- De persoonlijke gemachtigde indien de betrokkene deze schriftelijk heeft gemachtigd, tenzij deze persoon niet optreedt;
- De echtgenoot of andere levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of deze ontbreekt;
- Een kind, broer of zus van de betrokkene, tenzij deze persoon dat niet wenst.
- Indien de betrokkene wel in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een ander persoon schriftelijk te machtigen en in diens plaats als vertegenwoordiger te treden. De toestemming kan door de betrokkene of zijn vertegenwoordiger te allen tijde worden ingetrokken;
- De persoon, die in plaats treedt van de betrokkene, betracht de zorg van een goede vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken. Indien een vertegenwoordiger optreedt namens de betrokkene, komt de verantwoordelijke zijn verplichtingen die voortvloeien uit de wet en dit reglement na jegens deze vertegenwoordiger, tenzij die nakoming niet verenigbaar is met de zorg van een goed verantwoordelijke.
5.Voorwaarden voor een rechtmatige persoonsregistratie
5.1 Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt, conform de wettelijke eisen.
5.2 Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
5.3 Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.
5.4 De verantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking. Zijn handelwijze met betrekking tot de verwerking van de persoonsgegevens en de verstrekking van gegevens wordt bepaald door dit reglement. De verantwoordelijke is aansprakelijk voor de eventuele schade als gevolg van het niet naleven van dit reglement.
- Verwerking van persoonsgegevens door verwerker
6.1 De verwerker die wordt gekozen biedt voldoende waarborgen met betrekking tot de technische en organisatorische beveiliging.
6.2 Met de verwerker wordt een overeenkomst gesloten of een regeling getroffen waardoor afdwingbare verbintenissen ontstaan.
6.3 In deze overeenkomst of regeling moet de verantwoordelijke bedingen dat de verwerker de persoonsgegevens uitsluitend verwerkt in opdracht van de verantwoordelijke.
6.4 De verantwoordelijke moet bedingen dat de verwerker de beveiligingsverplichtingen nakomt die op de schouders rusten van de verantwoordelijke op grond van de AVG.
6.5 De verantwoordelijke moet daadwerkelijk toezien op de naleving van de beveiligingsverplichtingen. Ook het recht hiertoe moet de verantwoordelijke in de overeenkomst of de regeling bedingen.
6.6 De persoonsgegevens mogen alleen worden verwerkt in opdracht van de verantwoordelijke.
6.7 De verwerker is naast de verantwoordelijke verantwoordelijk en aansprakelijk voor haar eigen handelen.
6.8 De verwerker en degenen die onder diens gezag handelen zijn verplicht om persoonsgegevens waarvan zij kennis nemen geheim te houden.
Persoonsregistratie (betreffende gegevens, niet zijnde zorggegevens)
Persoonsgegevens mogen slechts worden verwerkt indien aan één van de onderstaande voorwaarden is voldaan:
- de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
- dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene voor sluiting van een overeenkomst maatregelen te nemen;
- dit noodzakelijk is om een wettelijke verplichting na te komen;
- dit noodzakelijk is dit noodzakelijk is voor vitaal belang van de cliënt;
- dit noodzakelijk is voor de vervulling van een publiekrechtelijke taak;
- de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de zorgverlener of een derde aan wie de gegevens worden verstrekt, tenzij van de persoonlijke levenssfeer van degene van wie de gegevens worden verwerkt zwaarder weegt.
Verwerking van bijzondere persoonsgegevens:
- De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, politieke gezindheid, gezondheid, seksuele leven en betreffende het lidmaatschap van een vakvereniging is verboden, tenzij de verwerking geschiedt door XL-Zorg in het kader van haar hulpverlenende taak door zorgverleners, voor zover dat met het oog op een goede begeleiding van de cliënt, dan wel het beheer van de betreffende instelling of beroepspraktijk, noodzakelijk is.
- Bijzondere persoonsgegevens worden verwerkt door personen die uit hoofde van ambt, beroep, wettelijk voorschrift of krachtens overeenkomst tot geheimhouding zijn verplicht.
- Persoonsregistratie betreffende zorggegevens
8.1 Voor verwerking van zorggegevens is uitdrukkelijke toestemming van de betrokkene vereist, tenzij het een geval betreft als genoemd in artikel 4 of indien verstrekking noodzakelijk is i.v.m. het uitvoeren van een wettelijk voorschrift.
8.2 De persoonsgegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijke voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.
8.3 Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de gegevensverwerking, de beroepsbeoefenaar die deze gegevens heeft verzameld of diens waarnemer. Voorts hebben toegang tot de gegevensverwerking de verantwoordelijke en de verwerker persoonsgegevens voor zover dat met het oog op een goede begeleiding dan wel beheer noodzakelijk is.
8.4 Indien persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet herleidbaar zijn, kan de verantwoordelijke besluiten deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de gegevensbewerking.
8.5 Verzekeraars voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico met uitsluiting van lid 4 en de betrokkene geen bezwaar heeft gemaakt, dan wel voor zover dat noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst.
- Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek worden verstrekt indien:
Het onderzoek een algemeen belang dient;
b. De verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is;
c. Het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost;
d. Bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;
e. Het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd en
f. Voor zover de betrokkene tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt;
- Informatieverstrekking aan betrokkene
9.1 De zorgverlener zorgt ervoor dat de cliënt wordt geïnformeerd over de identiteit van de verwerkende instantie en het doel van de verwerking. In de praktijk zal de verantwoordelijke de cliënt mondeling en verwijzend naar de website van XL-Zorg informeren tijdens de eerste fase. XL-Zorg probeert de informatie zo begrijpelijk als mogelijk over te brengen aan de cliënt.
9.2 De zorgverlener zorgt ervoor dat de cliënt wordt geïnformeerd over de persoonsgegevens die worden verwerkt en met welk doel, wat er met de gegevens gebeurt en wie daarvoor verantwoordelijk is en over het recht van de cliënt om bezwaar te maken tegen de gegevensverwerking op grond van bijzondere persoonlijke omstandigheden. Daarnaast wordt de cliënt geïnformeerd over de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of indien dat niet mogelijk is, de criteria om die termijn te bepalen, de herkomst van de verwerkte gegevens indien deze niet van betrokkene afkomstig zijn, het bestaan van geautomatiseerde besluitvorming, alsmede het belang en de verwachte gevolgen van die verwerking voor betrokkene. De betrokkene verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
9.3 Bij verkrijging van persoonsgegevens buiten betrokkene om word betrokkene vooraf toestemming gevraagd.
9.4 Bij verkrijging van persoonsgegevens buiten betrokkene om, deelt de verantwoordelijke zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens bestemd zijn mee.
9.5 Het bepaalde onder artikel 9.3 is niet van toepassing indien de vaststelling of de verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de verantwoordelijke de betrokkene op diens verzoek te informeren over het wettelijke voorschrift dat tot de vastlegging of verstrekken van de hem betreffende gegevens heeft geleid.
9.6 Indien de verantwoordelijke de betrokkene niet heeft geïnformeerd conform dit artikel, betekent dit dat de persoonsgegevens op een niet behoorlijke en onzorgvuldige wijze zijn verwerkt.
Vertrouwelijkheid
XL-Zorg wil op een zorgvuldige wijze omgaan met de gegevens die zij beschikbaar heeft over cliënten. Het betreft hier persoonsgegevens (NAW), verzekeringsgegevens, psychodiagnostische gegevens, gezinsachtergronden, medische gegevens, gegevens verstrekt door instellingen (anders dan XL-Zorg) en gegevens zoals deze zijn opgetekend door XL-Zorg.
10.1 XL-Zorg hanteert een ‘gesloten en beveiligd’ elektronisch cliënten dossier (ECD) waarin alle gegevens van cliënten en rapportages zijn opgeslagen, genaamd Zilliz. Indien er een datalek wordt geconstateerd in het EPD zal de organisatie contact opnemen met XL-Zorg en verdere stappen ondernemen.
10.2 Extern worden cliëntgegevens alleen gedeeld als er een ingevuld toestemmingsformulier aanwezig is. Deze informatie kan via een beveiligde mail of telefonisch worden gedeeld, maar bij voorkeur in een persoonlijk gesprek waar de cliënt en/of wettelijk vertegenwoordiger bij aanwezig is/zijn.
10.3 Bij aanmelding van een potentiële cliënt is de Zorgmanager verantwoordelijk voor het dossier. Alle documenten worden elektronisch opgeslagen.
10.4 De verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of bewerker gemachtigd is om persoonsgegevens in te zien of te verwerken is verplicht tot geheimhouding van wat hem/haar uit hoofde van de uitoefening van de zijn/haar functie ter kennis komt voor zover de gegevens van vertrouwelijke aard zijn. Deze verplichting blijft na beëindiging van de professionele contacten bestaan.
10.5 Wanneer het rapporteren aan een externe opdrachtgever of aan derden deel uitmaakt van de opdracht, dan geldt voor de gegevens, die relevant zijn voor de rapportage, geen geheimhoudingsplicht tegenover de ontvanger van de rapportage.
10.6 Betrokkene heeft het recht rapportering aan de externe opdrachtgever te blokkeren, tenzij de externe opdrachtgever een bevoegdheid heeft om de rapportage op te eisen, ontleend aan een wettelijke regeling.
Indien betrokkene niet het recht heeft de rapportage te blokkeren, dan wordt hij/zij in de gelegenheid gesteld binnen de termijn van een week eventuele bezwaren tegen de rapportage op schrift te stellen en zullen deze gelijktijdig met de rapportage naar de externe opdrachtgever worden verzonden.
Recht op inzage en afschrift van opgenomen persoonsgegevens
11.1 De betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek om inzage en afschrift van de hem betreffende persoonsgegevens.
11.2 De gevraagde inzage en of het gevraagde afschrift zal volgens de bestaande procedure, doch uiterlijk binnen 4 weken, plaatsvinden respectievelijk worden verstrekt.
11.3 Voor de verstrekking van het afschrift mag een redelijke vergoeding in rekening worden gebracht.
11.4 De Zorgmanager van XL-Zorg kan aanbieden om bij de inzage aanwezig te zijn voor uitleg en informatie, maar dit aanbod hoeft de cliënt (of zijn vertegenwoordiger) niet te aanvaarden. Dit mag ook niet als een verplichting worden gemeld aan de persoon die om inzage vraagt voor zichzelf of namens een ander.
11.5 Nabestaanden, waaronder erfgenamen, hebben geen recht op inzage in het dossier van een overledene. Hetzelfde geldt bijvoorbeeld voor een verzekeraar of politie/justitie. Een dossier van een overledene mag wel worden ingezien als:
– een betrokkene bij leven iemand gemachtigd heeft om na diens overlijden
het dossier in te mogen zien.
-de toestemming van de overledene voor inzage na overlijden mag worden
verondersteld. Bijvoorbeeld als het gaat om een inzageverzoek van een
nabestaande die bij leven betrokken was bij een medische behandeling en/of de
gesprekken met de hulpverlener.
– er sprake is van een zwaarwegend belang voor een ander, dat zou (kunnen)
worden geschaad als geheimhouding onverkort zou worden gehandhaafd en
aannemelijk is dat de gewenste informatie niet langs andere weg is te verkrijgen
dan door dossierinzage. Dit is ter beoordeling van de behandelend arts.
12. Recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens
12.1 De betrokkene of de (wettelijk) vertegenwoordiger kan de verantwoordelijke verzoeken de hem/haar betreffende persoonsgegevens te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn voor het doel of doeleinden van de verwerking, onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen.
12.2 De correcties of aanvullingen worden vermeld op een apart blad in het zorgdossier. De zorgverlener is uit hoofde van zijn functie verplicht gegevens vast te leggen.
12.3 Wanneer de gegevens openbaar zijn gemaakt en verplicht wordt de gegevens te wissen, neemt XL-Zorg, rekening houdend met de beschikbare technologie en uitvoeringskosten, redelijke maatregelen waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen dat de betrokkene heeft verzocht om iedere koppeling naar of kopie of reproductie van die gegevens te wissen.
12.4 De verantwoordelijke draagt zorg dat een beslissing tot correctie, aanvulling of verwijdering zo spoedig mogelijk wordt uitgevoerd.
12.5 De verantwoordelijke bericht de verzoeker binnen maximaal vier weken na ontvangst van het schriftelijke verzoek tot correctie of verwijdering schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.
12.6 De verantwoordelijke corrigeert of verwijdert de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene alsmede voor zover bewaring op grond van een (wettelijk) voorschrift vereist is.
13.Recht op beperking van verwerking van gegevens
Betrokkene heeft op grond van de verordening in nader bepaalde situaties een recht op beperking van de verwerking van zijn gegevens. Dit houdt in dat XL-Zorg de persoonsgegevens, met uitzondering van de opslag, slechts verwerkt met toestemming van betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of voor de bescherming van een ander natuurlijk persoon of rechtspersoon of om gewichtige redenen van algemeen belang.
- Recht op overdraagbaarheid van gegevens
Betrokkene heeft het recht de hem betreffende persoonsgegevens die hij zelf aan XL-Zorg heeft verstrekt, in een gestructureerde, gangbare en machinaal leesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen in de gevallen dat persoonsgegevens door hem op basis van verleende toestemming zijn verstrekt of op basis van een overeenkomst, en de verwerking via geautomatiseerde procedures wordt verricht.
Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid uit hoofde van het voorgaande, heeft de betrokkene het recht dat de gegevens indien dit technisch mogelijk is, rechtstreeks van de ene naar de andere verwerkingsverantwoordelijke worden doorgezonden. Binnen vier weken worden de gegevens overgedragen.
- Indiening van een verzoek
15.1 Een verzoek als bedoeld in dit artikel wordt gericht aan XL-Zorg ter attentie van de Zorgmanager;
15.2 Aan een verzoek zijn geen kosten verbonden; wanneer verzoeken van een betrokkene kennelijk ongegrond, of buitensporig zijn, bijvoorbeeld vanwege een repetitief karakter, kan XL-Zorg een redelijke vergoeding doorberekenen in het licht van de administratieve kosten waarmee het verzoek gepaard gaat, ofwel weigeren vervolg te geven aan het verzoek.
15.3 XL-Zorg verstrekt de betrokkene binnen vier weken na ontvangst van het verzoek informatie over het gevolg dat aan het verzoek is gegeven.
15.4 Indien de betrokkene een verzoek doet, omdat bepaalde opgenomen gegevens onjuist c.q. onvolledig zouden zijn, hij een belang heeft bij beëindiging van de verwerking dat zwaarder weegt dan dat van de organisatie, dan wel de verwerking gezien de doelstelling van het reglement niet (langer) noodzakelijk is, dan wel strijdig zijn met dit reglement, neemt de functionaris gegevensbescherming namens de verwerkingsverantwoordelijke binnen vier weken nadat betrokkene dit verzoek heeft ingediend, hierover een schriftelijke beslissing.
15.5 Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens acht weken worden verlengd. XL-Zorg stelt de betrokkene binnen 4 weken in kennis van een dergelijke verlenging. Wanneer betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
15.6 Indien XL-Zorg twijfelt aan de identiteit van de verzoeker, vraagt hij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens inzake zijn identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Door dit verzoek wordt de termijn opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.
15.7 Indien XL-Zorg geen gevolg wenst te geven aan een verzoek als bedoeld in dit artikel doet hij hiervan – gemotiveerd – schriftelijk mededeling aan de betrokkene, binnen vier weken na ontvangst van het verzoek.
15.8 De betrokkene die zich niet kan verenigen met de afwijzing van zijn verzoek als bedoeld in dit artikel kan zich wenden tot de Zorgmanager.
Bewaren en beveiligen van gegevens
16.1 De bewaartermijn van persoonsgegevens per individuele betrokkene vangt aan bij beëindiging van het contract.
16.2 De verantwoordelijke stelt vast hoe lang de opgenomen persoonsgegevens bewaard blijven. Deze bewaartermijn is:
- Voor medische en zorggegevens in beginsel twee jaren;
- Gegevens van niet medische aard worden niet langer bewaard dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij geanonimiseerd of voor zover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard.
16.3 Indien de bewaartermijn van de zorggegevens is verstreken of de betrokkene doet een verzoek tot verwijdering voor het verstrijken van de bewaartermijn, worden de desbetreffende medische persoonsgegevens verwijderd, zulks binnen een termijn van drie maanden.
16.4 Verwijdering blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de verantwoordelijke overeenstemming bestaat.
16.5 De verantwoordelijke biedt passende technische en organisatorische maatregelen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan.
16.6 De (technische en organisatorische) maatregelen garanderen een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht om onnodige verzameling of verdere verwerking te voorkomen.
16.7 Indien de betreffende gegevens zodanig zijn bewerkt, dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
16.8 De zorgverlener draagt zorg voor de naleving van de wet en het reglement en treft daartoe voorzieningen van technische en organisatorische aard ter beveiliging van de gegevens tegen verlies of aantasting en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.
- De verwerker
1. De verwerkers zijn degenen die op basis van een overeenkomst voor of namens XL-Zorg gegevens verwerken.
2. De verwerker verwerkt de gegevens op de wijze zoals overeengekomen in een verwerkersovereenkomst.
3. De verwerker is verantwoordelijk voor het juiste gebruik van de nodige voorzieningen om de bescherming van de persoonlijke levenssfeer van de personen van wie gegevens in de persoonsregistratie zijn opgenomen, in voldoende mate te waarborgen, zoals aangegeven en beschreven in de verwerkersovereenkomst.
4. De Functionaris Gegevensbescherming ziet erop toe dat de in artikel 17.3 bedoelde voorzieningen worden getroffen en in acht worden genomen. - Meldplicht datalekken
18.1 Indien zich binnen de organisatie van XL-Zorg of bij een door XL-Zorg ingeschakelde verwerker een inbreuk op de beveiliging voordoet, waarbij een aanzienlijke kans bestaat op verlies of onrechtmatige verwerking van persoonsgegevens die door XL-Zorg worden verwerkt, dan wel dit verlies of onrechtmatige verwerking zich daadwerkelijk voordoet, zal XL-Zorg daarvan melding doen bij de Autoriteit Persoonsgegevens, tenzij kan worden aangetoond dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt.
18.2 XL-Zorg zal iedere inbreuk op de beveiliging als bedoeld in het voorgaande artikel documenteren, ongeacht of deze wordt gemeld bij de Autoriteit Persoonsgegevens.
18.3 Indien de inbreuk een hoog risico voor de rechten en vrijheden van betrokkene inhoudt, stelt XL-Zorg ook betrokkene onverwijld in kennis van de inbreuk. Deze mededeling kan achterwege blijven indien:
- de persoonsgegevens versleuteld zijn en niet toegankelijk voor derden;
- er inmiddels maatregelen getroffen zijn die het hoge risico hebben weggenomen;
- de mededeling een onevenredige inspanning vergt. Een openbare mededeling kan dan volstaan.
18.4 Bij het vaststellen of er sprake is van een inbreuk op de beveiliging en of melding daarvan moet worden gedaan bij de Autoriteit Persoonsgegevens, hanteert XL-Zorg: “Stappenplan: kom in actie bij een datalek” van Autoriteit Persoonsgegevens.
Klachten
19.1 Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij zich wenden tot:
- De verantwoordelijke; betrokken zorgverlener
- Zorgmanager (Functionaris Gegevensbescherming);
- De Autoriteit Persoonsgegevens verzoeken een onderzoek in te stellen of de wijze van gegevensverwerking door de verantwoordelijke in overeenstemming is met de AVG;
Indien de betrokkene bezwaar maakt tegen de gegevensverwerking op grond van bijzondere omstandigheden, wordt het bezwaar binnen vier weken na ontvangst beoordeeld.
19.2 Indien dit voor de betrokkene niet leidt tot een voor hem acceptabel resultaat kan de betrokkene gebruik maken van de klachtenregeling van XL-Zorg.
De betrokkene kan zich ook tot het Autoriteit Persoonsgegevens wenden met het verzoek te bemiddelen of te adviseren in zijn geschil. Dit dient te geschieden binnen een termijn van acht weken na een schriftelijke reactie van de Zorgamanager van XL-Zorg.
Een en ander laat onverlet de mogelijkheid een beroep te doen op de rechter waarvoor dezelfde termijn geldt als voor het inschakelen van het Autoriteit Persoonsgegevens.
- Wijziging, inwerktreding en inzage van het reglement
20.1 Wijzigingen van dit reglement worden aangebracht door de verantwoordelijke.
20.2 De wijzigingen in het reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan betrokkene.
- Doorgifte gegevens naar landen buiten de EU
21.1 Persoonsgegevens die binnen XL-Zorg worden verwerkt, worden slechts naar een land buiten de Europese Unie doorgegeven indien dit land een passend beschermingsniveau waarborgt.
21.2 Als er geen sprake is van een derde land met een passend beschermingsniveau, is doorgifte slechts toegestaan op grond van een van de wettelijke bepalingen uit de AVG (hoofdstuk V). - Aansprakelijkheid en sancties
22.1 De verantwoordelijke kan aansprakelijk worden gesteld voor de schade of het nadeel voortvloeiende uit het niet nakomen van de voorschriften die bij of krachtens de Algemene Verordening Gegevensbescherming zijn gegeven.
22.2 De verantwoordelijke voor de verwerking van de persoonsgegevens kan, indien niet wordt voldaan aan de volledige naleving van de AVG, een sanctie worden opgelegd door de Autoriteit Persoonsgegevens.
23.Inwerkingtreding, citeertitel
23.1 Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende de gehele looptijd van de registratie(s).
23.2 Dit reglement, privacy beleid, treedt in werking per 01-01-2017 en is geüpdatet op 6 november 2020.
Bijlage
Van de cliënten, die ondersteuning ontvangen van XL-Zorg worden onderstaande gegevens opgenomen in zijn/haar persoonlijke cliëntdossier:
Personalia/identificatiegegevens:
- naam, adres, postcode, woonplaats
- BSN
- geboortedatum
- geslacht
- telefoonnummer
- gegevens contactpersoon (bijv. een familielid of bewindvoerder)
- Contactgegevens instellingen die ook zorg bieden aan de cliënt.
Financieel/administratieve gegevens:
- administratieve gegevens betreffende de betaling van de eventueel noodzakelijke eigen bijdrage
- Indicatiebesluit
Medische en psychologische gegevens:
- gegevens betreffende de samenstelling van het huishouden waartoe de cliënt behoort, voor zover noodzakelijk voor de zorgverlening (inzicht in sociaal netwerk)
- Diagnostisch onderzoek. Reden is dat we bij aanmelding door zo’n onderzoek kunnen zien of we de juiste zorg kunnen bieden.
- Verzekeringsgegevens indien noodzakelijk voor het kunnen bieden van de juiste zorg.
Gegevens betreft voortgang hulpverlening:
- Plan van aanpak van de gemeente
- Ondersteuningsplan
- rapportages
- Getekende zorgverleningsovereenkomst (indien van toepassing);
- Rapportage en gegevens van externe organisaties en/of instellingen;
- Verslag Individueel zorgplan (+ evaluaties);
- Correspondentie;
- Toestemmingsformulieren;
- Overige cliënt gebonden informatie.
De gegevens kunnen worden verkregen bij de wettelijk vertegenwoordiger. Dit kan de cliënt zelf zijn, ouder, mentor of curator.
Pas wanneer de wettelijk vertegenwoordiger schriftelijk akkoord geeft voor het opvragen en/of delen van gegevens dan informeert de medewerker bij bijvoorbeeld familie, huisarts of samenwerkende instanties.
Registratie medewerkers
Van medewerkers bij XL-Zorg worden onderstaande gegevens opgenomen in zijn/haar dossier.
Personalia/identificatiegegevens:
- naam, adres, postcode, woonplaats
- BSN
- Geboortedatum
- geslacht
- telefoonnummer
- VOG
- Contactpersoon (bijv. familielid die bij calamiteiten geïnformeerd kan worden)
Financieel/administratieve gegevens:
- bank- en/of girorekeningnummer (alleen wanneer de vrijwilliger een declaratie indient)
- totaal van onkosten- en/of reiskostenvergoedingen
- Vrijwilligersovereenkomst
- Arbeidsovereenkomst
De gegevens kunnen worden verkregen bij de medewerker zelf.
XL-Zorg zal geen gegevens in de persoonsregistratie opnemen of bewaren voor andere doeleinden dan hierboven en in de bijlagen genoemd.