PRIVACY REGLEMENT

Het verwerken van persoonsgegevens is gebonden aan de voorwaarden als bedoeld in de Algemene Verordening Gegevensbescherming (AVG) en overige privacywet- en regelgeving. Zo mogen persoonsgegevens alleen worden verwerkt indien daar een grondslag voor is en mogen deze gegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden gebruikt (artikel 5 lid 1 sub b van de AVG).

Samen-GGZ is als verwerkingsverantwoordelijke verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoonsgegevens. In deze verklaring wordt onder andere vastgelegd op welke grondslag en met welke doelen Samen-GGZ persoonsgegevens verwerkt. Tevens schetst dit document de rechten van betrokkenen. Door in het bezit te zijn van het kwaliteitscertificaat NEN-15224 laat Samen-GGZ zien dat de processen in haar kwaliteitssysteem bijdragen aan het bieden van kwalitatieve zorg.

Samen-GGZ verwerkt persoonsgegevens ten behoeve van een goede uitvoering van de zorgovereenkomst en de aan haar toebedeelde verplichtingen neergelegd in de daaraan gerelateerde wetgeving: de Wet beroepen op de individuele gezondheidszorg (Wet BIG), de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, de Wet klachten en geschillencommissie, de Wet maatschappelijke ondersteuning, de Wet langdurige zorg, de Zorgverzekeringswet en de Jeugdwet.

Gegevens die Samen-GGZ kan verwerken zijn NAW-gegevens, contactgegevens, arbeidsgegevens, medische gegevens en financiële gegevens. Deze gegevens zijn nodig voor het leveren van de juiste begeleiding of zorg. De gegevens die wij verwerken zijn afhankelijk van de situatie. De betrokkene worden te allen tijde op de hoogte gebracht van de verwerking van de gegevens.

1. Begripsbepalingen

In dit reglement wordt verstaan onder:

  1. de wet: de Algemene Verordening Gegevensbescherming (AVG);
  2. persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”). Dit betekent alle informatie dat direct over iemand gaat of naar een persoon te herleiden is;
  3. verwerking van persoonsgegevens: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
  4. bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
  5. verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
  6. verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
  7. betrokkene: degene op wie een persoonsgegeven betrekking heeft;
  8. derde: ieder ander dan de betrokkene, de verwerkingsverantwoordelijke, de bewerker of enig persoon die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;
  9. ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
  10. toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat persoonsgegevens over hem worden verwerkt;
  11. verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;
  12. verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.

2. Bereik

  1. Dit beleid is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Het is eveneens van toepassing op de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
  2. Dit beleid is van toepassing binnen Samen-GGZ en heeft betrekking op de verwerkingen van persoonsgegevens van voornamelijk cliënten, maar is ook van toepassing op medewerkers.

3. Doel

  1. Het doel van het verzamelen en het verwerken van persoonsgegevens is te beschikken over de gegevens die noodzakelijk zijn voor het realiseren van wettelijke doeleinden alsmede de doeleinden zoals die staan omschreven in de dienstomschrijving van Samen-GGZ: het intra- en extramuraal begeleiden van mensen met een (licht) verstandelijke beperking en het verlenen van thuiszorg aan zorgbehoevenden van en het voeren van beleid en beheer in het kader van deze doeleinden.
  2. De doeleinden waarvoor binnen Samen-GGZ gegevens worden verzameld en verwerkt, staan uitdrukkelijk vermeld in de Algemene Voorwaarden en de Zorgovereenkomst.

4. Verantwoordelijkheid voor het beheer en aansprakelijkheid

  1. De verwerkingsverantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking en het beheer van de gegevens; onder verantwoordelijkheid van de verwerkingsverantwoordelijke wordt doorgaans een beheerder belast met het feitelijke beheer van de persoonsgegevens.
  2. De verwerkingsverantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen enig verlies of enige vorm van onrechtmatige verwerking van gegevens.
  3. De in lid 1 bedoelde verantwoordelijkheid en het in lid 2 bepaalde geldt onverminderd indien de verwerking plaats vindt door een verwerker; dit wordt geregeld in een overeenkomst (of door middel van een andere rechtshandeling) tussen verwerker en verwerkingsverantwoordelijke. Dit wordt de verwerkingsovereenkomst genoemd.
  4. De verwerkingsverantwoordelijke is aansprakelijk voor de schade die of het nadeel dat wordt veroorzaakt door het niet-nakomen van de voorschriften uit de wet of dit reglement. De verwerker is aansprakelijk voor die schade of dat nadeel, voor zover die/dat is ontstaan door zijn handelen.

5. Rechtmatige verwerking

  1. Persoonsgegevens worden op een transparante wijze en in overeenstemming met de wet en dit reglement op behoorlijke en zorgvuldige wijze verwerkt.
  2. Persoonsgegevens dienen – gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt – toereikend en ter zake dienend te zijn; er dienen niet meer persoonsgegevens te worden verzameld of verwerkt dan voor het doel nodig is.
  3. De registratie van het burgerservicenummer vindt alleen dan plaats wanneer daarvoor een wettelijke basis bestaat en dat er door de verwerkingsverantwoordelijke een vorm van zorg aan betrokkene wordt verleend.
  4. Ieder die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker – en ook de verwerker zelf – verwerkt alleen persoonsgegevens onder verantwoordelijkheid dan wel in opdracht van de verwerkingsverantwoordelijke, behalve in geval van afwijkende wettelijke verplichtingen.
  5. De gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep, wettelijk voorschrift, of op basis van een overeenkomst tot geheimhouding zijn verplicht.

6. Verwerking van persoonsgegevens

  1. De verwerking vindt plaats door hulp- of dienstverleners in de maatschappelijke dienstverlening of thuiszorg voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel beheer van de desbetreffende instelling of beroepspraktijk noodzakelijk is.
  2. De verwerking geschiedt op verzoek van een verzekeraar voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeraar te verzekeren risico, dan wel voor zover dat noodzakelijk is voor de uitvoering van een verzekeringsovereenkomst tussen de verzekeraar en de betrokkene.
  3. Zonder toestemming van de cliënt kunnen ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid aan een ander gegevens over de patiënt worden verstrekt indien:
  4. a. het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, of

    b. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.

    Verstrekking is pas mogelijk indien:

    1. het onderzoek het algemeen belang dient;

    2. het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd, en

    3. voor zover de betrokkene tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt.

  5. Het verbod om bijzondere gegevens als bedoeld in artikel 8 te verwerken is niet van toepassing voor zover dat noodzakelijk is in aanvulling op de verwerking van persoonsgegevens over iemands gezondheid met het oog op een goede behandeling of verzorging van de betrokkene.

7. Bijzondere persoonsgegevens en strafrechtelijke gegevens

  1. De verwerking van bijzondere persoonsgegevens over iemands godsdienst of levensovertuiging, ras/etnische afkomst, politieke opvattingen, gezondheid, seksueel gedrag./gerichtheid, het lidmaatschap van een vakbond, religieuze of levensbeschouwelijke overtuigingen, genetische gegevens of biometrische gegevens in verband met identificatie is verboden, behalve in de gevallen waarin de wet uitdrukkelijk bepaalt door wie, met welk doel en onder welke voorwaarden dergelijke gegevens wel mogen worden verwerkt (artikel 9 , eerste lid van de wet).
  2. Het in het vorige lid bedoelde verbod geldt, onverminderd het bepaalde in artikel 9, eerste lid van de wet, niet voor zover er sprake is van een uitzondering zoals bedoeld in artikel 9, tweede lid  van de wet.
  3. De verwerking van strafrechtelijke gegevens is verboden tenzij bij wet anders is bepaald.

8. Gegevensverwerking

Gegevens verkregen bij betrokkene

  1. Indien bij de betrokkene zelf de persoonsgegevens worden verkregen, deelt de verwerkingsverantwoordelijke de betrokkene vóór het moment van verkrijging mede:
    • zijn identiteit; en
    • het doel van de verwerking waarvoor de gegevens zijn bestemd.
  2. De verwerkingsverantwoordelijke verstrekt de betrokkene nadere informatie voor zover dat – gelet op de aard van de gegevens, de omstandigheden waaronder zij zijn verkregen of het gebruik dat ervan wordt gemaakt – nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
  3. Bij verkrijging van gegevens buiten de betrokkene om deelt de verwerkingsverantwoordelijke de betrokkene mede:
    • zijn identiteit;
    • de aard van de gegevens en het doel van de verwerking waarvoor de gegevens zijn bestemd;

    Het moment waarop dat moet gebeuren is;

    • het moment dat de verwerkingsverantwoordelijke de gegevens vastlegt; of
    • als de verwerkingsverantwoordelijke de gegevens uitsluitend verzamelt om deze aan een derde te verstrekken: uiterlijk op het moment van eerste verstrekking aan die derde.
  4. De verwerkingsverantwoordelijke verstrekt nadere informatie voor zover dat – gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt – nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
  5. Het onder 3 bepaalde is niet van toepassing indien de daar bedoelde mededeling onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verwerkingsverantwoordelijke de herkomst van de gegevens vast.
  6. Het onder 3 bepaalde is evenmin van toepassing indien de vastlegging of verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de verwerkingsverantwoordelijke de betrokkene op diens verzoek te informeren over het wettelijk voorschrift dat tot vastlegging of verstrekking van de hem betreffende gegevens.

9. Recht op inzage

  1. De betrokkene heeft het recht kennis te nemen van de verwerkte gegevens die op zijn persoon betrekking hebben en mag hiervan een kopie ontvangen.
  2. De verwerkingsverantwoordelijke deelt een ieder op diens verzoek – zo spoedig mogelijk maar uiterlijk binnen vier weken na ontvangst van het verzoek – schriftelijk mee of persoonsgegevens worden verwerkt die hem betreffen.
  3. Indien dat het geval is, verstrekt de verwerkingsverantwoordelijke de betrokkene desgewenst – zo spoedig mogelijk maar uiterlijk binnen vier weken na ontvangst van het verzoek – schriftelijk een volledig overzicht daarvan met informatie over het doel of de doelen van de gegevensverwerking, de gegevens of categorieën van gegevens waarop de verwerking betrekking heeft, de ontvangers of categorieën van ontvangers van de gegevens alsmede de herkomst van de gegevens.
  4. Indien een gewichtig belang van betrokkene dit eist, voldoet de verwerkingsverantwoordelijke aan het verzoek in een andere dan de schriftelijke vorm die aan dat belang is aangepast.
  5. De verwerkingsverantwoordelijke kan weigeren aan een verzoek te voldoen indien en voor zover dit noodzakelijk is in verband met:
    • de opsporing en vervolging van strafbare feiten;
    • de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

10. Verstrekking van persoonsgegevens

  1. Verstrekking van persoonsgegevens aan een derde geschiedt in beginsel niet anders dan na toestemming van betrokkene of diens vertegenwoordiger, behoudens een daartoe strekkend wettelijk voorschrift of de noodtoestand.
  2. Indien de verwerkingsverantwoordelijke zonder toestemming van betrokkene of diens wettelijk vertegenwoordiger persoonsgegevens aan derden verstrekt, stelt de verwerkingsverantwoordelijk betrokkene of diens wettelijk vertegenwoordiger daarvan onverwijld in kennis, tenzij dit gevaar oplevert voor personen en of zaken.

11. Recht op correctie, aanvulling, verwijdering, beperking van de verwerking

  1. Op schriftelijk verzoek van een betrokkene gaat de verwerkingsverantwoordelijke over tot verbetering, aanvulling, verwijdering, afscherming (het vergeetrecht) en/of beperking van de verwerking van de over betrokkene verwerkte persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend zijn of meer omvatten dan voor het doel nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek van betrokkene bevat de aan te brengen wijzigingen.
  2. De verwerkingsverantwoordelijke deelt betrokkene zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of niet geheel wil voldoen, motiveert hij dat. Betrokkene heeft in dit verband de mogelijkheid zich te wenden tot de Functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke.
  3. De verwerkingsverantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming binnen 14 werkdagen, en wanneer dit redelijkerwijs niet mogelijk blijkt anders zo spoedig mogelijk nadien, wordt uitgevoerd.

12. Bewaren van gegevens

  1. Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de realisatie van de doelen waarvoor zij worden verzameld.
  2. De verwerkingsverantwoordelijke stelt vast hoelang de opgenomen persoonsgegevens bewaard blijven.
  3. De bewaartermijn voor medische- en/of zorggegevens is in beginsel vijftien jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener of verwerkingsverantwoordelijke voortvloeit.
  4. Gegevens van niet medische aard worden niet langer bewaard dan noodzakelijk is voor de realisatie van de doelen waarvoor zij worden verzameld, tenzij ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard. Indien de desbetreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
  5. Indien de bewaartermijn van de persoonsgegevens is verstreken of de betrokkene een verzoek doet tot verwijdering vóór het verstrijken van de bewaartermijn, worden de desbetreffende medische gegevens binnen een termijn van drie maanden verwijderd.
  6. Verwijdering blijft echter achterwege wanneer redelijkerwijs is aan te nemen dat
    • het bewaren van groot belang is voor een ander dan de betrokkene;
    • het bewaren op grond van een wettelijk voorschrift vereist is; of
    • indien daarover tussen de betrokkene en de verwerkingsverantwoordelijke overeenstemming bestaat.

13. Verwerkingsregister

Samen-GGZ -als verwerkingsverantwoordelijke- heeft een register van verwerkingsactiviteiten. Dit register bevat informatie over de persoonsgegevens die verwerkt worden. Dit register kan te allen tijde opgevraagd worden door Autoriteit Persoonsgegevens bij de Privacy Officer.
 

14. Klachtenregeling

Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd, kan hij zich richten tot de Privacy Officer of de Functionaris voor de gegevensbescherming van Samen-GGZ.
 

15. Melden datalek

Samen-GGZ houdt zich aan de Meldplicht Datalekken. Dit betekent dat een ernstig datalek van persoonsgegevens binnen 72 uur na constatering wordt gemeld bij de Autoriteit Persoonsgegevens.

Mocht u een onverhoopt een (mogelijk) datalek ontdekken? Meld dit s.v.p. zo snel mogelijk, maar in ieder geval binnen 24 uur nadat u het datalek heeft geconstateerd. Dit doet u via door een e-mail te sturen aan privacy@stichtingfirmitas.nl. Vermeld daarbij a.u.b. ook een korte omschrijving van het datalek.  

16. Wijziging inwerkingtreding en afschrift

  1. Wijzigingen in dit reglement worden aangebracht door de verwerkingsverantwoordelijke.
  2. De wijzigingen in het reglement zijn van kracht vier weken, nadat ze bekend zijn gemaakt aan betrokkenen.
  3. Dit reglement treedt in werking per 20 juni 2018.
  4. Dit reglement is bij de verwerkingsverantwoordelijke in te zien. Desgewenst kan tegen kostprijs een afschrift van dit reglement worden verkregen.

17. Onvoorzien

In gevallen waarin dit reglement niet voorziet, beslist de verwerkingsverantwoordelijke, met inachtneming van het bepaalde in de wet en het doel en de strekking van dit reglement.
 

18. Contact

Voor vragen of opmerkingen over deze privacy verklaring kunt u contact opnemen met de Privacy Officer privacy@stichtingfirmitas.nl.
Voor klachten kunt u contact opnemen met de Functionaris gegevensbescherming van Samen-GGZ via partnersinprivacy@gmail.com.

Samen werken we aan een oplossing