Hollandse Zorg Groep

Privacy verklaring

Privacyreglement Hollandse Zorg Groep B.V.

 

  1. Begripsbepalingen

    • Persoonsgegevens:
      Een gegeven dat herleidbaar is tot een individuele natuurlijke persoon.
    • Persoonsregistratie:
      Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen of vernietigen van gegevens.
    • Verstrekken van gegevens uit de Persoonsregistratie:
      Het bekend maken of ter beschikking stellen van Persoonsgegevens die in de Persoonsregistratie zijn opgenomen of die door bewerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen.
    • Verzamelen van persoonsgegevens:
      Het verkrijgen van persoonsgegevens.
    • Bestand:
      Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
    • Verantwoordelijke:
      De natuurlijke persoon, rechtspersoon of ieder ander die het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor verwerking van persoonsgegevens vaststelt.
    • Bewerker van de Persoonsregistratie:
      Degene, die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
    • Betrokkene:
      Degene over wie Persoonsgegevens in de Persoonsregistratie zijn opgenomen.
    • Beheerder van de Persoonsregistratie:
      Degene die onder verantwoordelijkheid van de verantwoordelijke is belast met de dagelijkse zorg van een Persoonsregistratie of een gedeelte daarvan.
    • Gebruiker van de Persoonsregistratie:
      Degene die geautoriseerd is gegevens in de Persoonsregistratie in te voeren en/of te muteren dan wel van enigerlei uitvoer van de Persoonsregistratie kennis te nemen.
    • Organisatie:
      Hollandse Zorg Groep B.V.
    • Derde:
      Ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.
    • Externe opdrachtgever:
      De persoon of rechtspersoon die de opdracht tot enige vorm van beroepsmatig handelen heeft gegeven, niet zijnde de betrokkene. De opdracht omvat zowel vraagstelling die aan het beroepsmatig handelen ten grondslag ligt, als afspraken omtrent voortgang, procedurele aspecten en rapportage en de financiële afwikkeling van de opdracht.
    • Ontvanger:
      Degene aan wie de persoonsgegevens worden verstrekt.
    • Toestemming van Betrokkene:
      Elke vrije, specifieke en op informatie berustende wilsuiting, waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
    • Autoriteit Persoonsgegevens:
      De Autoriteit Persoonsgegevens verder te noemen AP die tot taak heeft toe te zien op de verwerking van persoonsgegevens.

 

  1. Reikwijdte

    • Dit reglement is van toepassing op de Persoonsregistratie die betrekking heeft op de verwerking van persoonsgegevens door de Organisatie van personen, ook wel cliënten genoemd.
  2. Doel van de Persoonsregistratie

    • Doel reglement:
      Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Algemene Verordening Gegevensbescherming verder te noemen AVG.
    • Gegevenscategorieën:
      Dit reglement is van toepassing binnen de organisatie de Hollandse Zorg Groep en kan ten hoogste de volgende gegevenscategorieën bevatten:
  • personalia/identificatiegegevens
  • financieel/administratieve gegevens
  • zorginhoudelijke gegevens

Deze categorieën van gegevens en hun herkomst worden nader gespecificeerd in Bijlage A bij dit reglement. Deze bijlage vorm één geheel met dit reglement.

  1. Voorwaarden voor een rechtmatige Persoonsregistratie

    • Overeenstemming:
      De Persoonsregistratie geschiedt in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze, conform de wettelijke eisen.
    • Doeleinden:
      Persoonsgegevens worden niet verder verwerkt op een wijze die niet verenigbaar is met de doeleinden waarvoor ze zijn verkregen.
    • Verwerking:
      Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor ze worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.
    • Verantwoordelijke:
      De verantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking.
  2. Persoonsregistratie (betreffende gegevens, niet zijnde zorggegevens)

    • Persoonsgegevens verwerken:
      Persoonsgegevens mogen slechts worden verwerkt indien:
  • De betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
  • Dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor handelingen die op verzoek van betrokkene worden verricht en die noodzakelijk zijn voor het sluiten van een overeenkomst;
  • Dit noodzakelijk is om een wettelijke verplichting na te komen;
  • Dit noodzakelijk is ter bestrijding van ernstig gevaar voor de gezondheid van betrokkene;
  • Dit noodzakelijk is met het oog op het belang van de verantwoordelijke of van een derde en het belang van de betrokkene niet prevaleert.
  1. Persoonsregistratie betreffende zorggegevens

    • Registratie:
      De persoonsregistratie geschiedt door hulpverleners, instellingen of voorzieningen in de gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede begeleiding van betrokkene, dan wel beheer van betreffende instelling of beroepspraktijk noodzakelijk is.
    • Toestemming:
      De verwerking geschiedt met uitdrukkelijke toestemming van betrokkene.
    • Bevoegde personen:
      De gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.
  2. Vertrouwelijkheid

    • Geheimhouding:
      De verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of bewerker gemachtigd is om persoonsgegevens in te zien of te verwerken is verplicht tot geheimhouding van hetgeen hem/haar uit hoofde van de uitoefening van de zijn/haar functie ter kennis komt voor zover de gegevens van vertrouwelijke aard zijn. Deze verplichting blijft na beëindiging van de professionele contacten bestaan.
    • Uitzondering:
      Wanneer het rapporteren aan een externe opdrachtgever of aan derden deel uitmaakt van de opdracht, dan geldt voor de gegevens, die relevant zijn voor de rapportage, geen geheimhoudingsplicht tegenover de ontvanger van de rapportage.
    • Blokkeren:
      Betrokkene heeft het recht rapportering aan de externe opdrachtgever te blokkeren, tenzij de externe opdrachtgever een bevoegdheid heeft om de rapportage op te eisen, ontleend aan een wettelijke regeling. Indien betrokkene niet het recht heeft de rapportage te blokkeren, dan wordt hij/zij in de gelegenheid gesteld binnen de termijn van een week eventuele bezwaren tegen de rapportage op schrift te stellen en zullen deze gelijktijdig met de rapportage naar de externe opdrachtgever worden verzonden.
    • Statistiek of wetenschappelijk onderzoek:
      Zonder toestemming van de betrokkene kunnen ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid aan een derde gegevens verstrekt worden indien:
  • De hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen.
  • Verstrekking is pas mogelijk indien:
    • Het onderzoek het algemeen belang dient;
    • Het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd.
  1. Informatieverstrekking aan betrokkene

    • Identiteit en doeleinden verantwoordelijke:
      Wanneer van betrokkene zelf persoonsgegevens worden verkregen, deelt de verantwoordelijke voor het moment van verkrijgen de betrokkene zijn/haar identiteit en de doeleinden van de Persoonsregistratie mede, tenzij de betrokkene hiervan al op de hoogte is.
    • Nadere informatie:
      De verantwoordelijke verstrekt nadere informatie. Daarbij inachtnemend de aard van de gegevens, de omstandigheden, waaronder zij worden verkregen en het gebruik dat ervan wordt gemaakt.
    • Toestemming vragen:
      Bij verkrijging van persoonsgegevens buiten betrokkene om wordt betrokkene vooraf toestemming gevraagd.
    • Identiteit en doeleinden verantwoordelijke II:
      Bij verkrijging van persoonsgegevens buiten betrokkene om, deelt de verantwoordelijke zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens bestemd zijn mee.
  2. Recht op inzage en afschrift van opgenomen persoonsgegevens

    • Recht op kennis nemen:
      Betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende gegevens.
    • Inzage verstrekken:
      De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen 1 maand, plaatsvinden respectievelijk worden verstrekt.
  3. Recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens

    • Gegevens aanvullen:
      Desgevraagd worden opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.
    • Verzoek om correctie:
      Betrokkene kan verzoeken om correctie van op hem/haar betrekking hebbende gegevens.
    • Correctie:
      De verantwoordelijke draagt zorg dat een correctie binnen 1 maand wordt uitgevoerd.
    • Verzoek om verwijdering gegevens:
      De betrokkene kan verzoeken om verwijdering van op hem/haar betrekking hebbende gegevens.
    • Communicatie:
      De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot correctie of verwijdering schriftelijk of, dan wel in hoeverre, hieraan wordt voldaan. Een weigering is met redenen omkleed.
    • Verwijderen gegevens:
      De verantwoordelijke verwijdert de gegevens binnen 1 maand na een daartoe strekkend verzoek van betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van wettelijk voorschrift vereist is.
  4. Bewaren van gegevens

    • Bewaartermijn:
      De bewaartermijn van Persoonsgegevens per individuele betrokkene vangt aan bij beëindiging van het contract met de externe opdrachtgever dat ten grondslag ligt aan de dienstverlening van de organisatie aan betrokkene.
    • Beëindiging overeenkomst:
      Bij beëindiging van de met externe opdrachtgever afgesloten overeenkomst die ten grondslag ligt aan de dienstverlening van betrokkene, zal de organisatie alle tot de persoon te herleiden gegevens, data en/of resultaten van personen ter beschikking stellen van de externe opdrachtgever, indien deze dit wenst.
    • Bewaartermijn wettelijke voorschriften:
      Met inachtneming van eventuele wettelijke voorschriften worden de gegevens uit de Persoonsregistratie tenminste vijf jaar bewaard (zorg gerelateerd 15 jaar), na aanvang van de bewaartermijn conform artikel 11.1.
    • Bewaartermijn verstreken:
      Indien de bewaartermijn is verstreken, worden de betreffende Persoonsgegevens uit de registratie verwijderd en vernietigd.
    • Geanonimiseerd bewaren:
      Indien de betreffende gegevens zodanig zijn bewerkt, dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
  5. Melding van een verwerking van gegevens

    • Melding Autoriteit Persoonsgegevens:
      Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de realisatie van een doeleinde of samenhangende doeleinden is bestemd, wordt alvorens met de bewerking wordt aangevangen gemeld bij de Autoriteit Persoonsgegevens.
  6. Klachten

    • Klacht melden
      Indien betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd kan hij/zij zich wenden tot:
  • De verantwoordelijke
  • De klachtenbemiddelaar, dan wel de klachtenfunctionaris van de organisatie
  • De Autoriteit Persoonsgegevens en conform de AVG verzoeken een onderzoek in te stellen of de wijze van gegevensverwerking door de verantwoordelijke in overeenstemming is met de AVG.
  1. Wijziging, inwerkingtreding en inzage van het reglement

    • Wijzigingen aanbrengen
      Wijzigingen van dit reglement worden aangebracht door de verantwoordelijke. Een afschrift van het gewijzigde reglement wordt ter inzage gelegd op alle vestigingen van de organisatie. Deze wijzigingen in het reglement zijn van kracht een maand nadat ze bekend zijn gemaakt aan belanghebbenden.
    • Datum van in werking treden
      Dit reglement vervangt alle eerdere versies van het reglement is bij alle vestigingen van de organisatie in te zien. Desgewenst kan tegen kostprijs een afschrift van dit reglement worden verkregen.

 

 

BIJLAGE A.

  1. Omschrijving categorieën van gegevens.

Onder personalia/identificatiegegevens wordt verstaan naam, adres en woonplaats en gegevens over de burgerlijke stand van de betrokkene. Het gaat hierbij met name om naam, adres, postcode, woonplaats, correspondentieadres, telefoonnummer en geboortedatum.

 

Onder financiële/administratieve gegevens wordt verstaan gegevens noodzakelijk voor de financiële en administratieve afwikkeling van de dienstverlening. Het gaat hierbij met name om de volgende gegevens:

  • Machtigingsgegevens en betalingsgegevens.

Onder zorginhoudelijke gegevens wordt verstaan gegevens noodzakelijk voor het verlenen van goede zorg. Hierbij gaat het met name om medische gegevens verstrekt door artsen alsmede gegevens van de roosters.

 

 

  1. Herkomst van de gegevens.

Financiële/administratieve gegevens worden verkregen door toedoen van de verantwoordelijke

Arbeidsintegratie gegevens worden verkregen door mondelinge of schriftelijke informatie van de betrokkene.


  1. Zorginhoudelijke gegevens worde verkregen door verstrekking door artsen en medische specialisten.

BIJLAGE B.

Toegang tot persoonsgegevens

Binnen de Hollandse Zorg Groep wordt getracht met de grootst mogelijke zorgvuldigheid om te gaan met persoonsgegevens van cliënten.

Zoals aangegeven bij Hoofdstuk 3 zijn er 3 categorieën te onderscheiden:

  • personalia/identificatiegegevens
  • financieel/administratieve gegevens
  • zorginhoudelijke gegevens

 

  1. Personalia / identificatiegegevens

Binnen deze categorie worden gegevens opgeslagen binnen het ECD en het administratiesysteem ONS van Nedap. Toegang tot deze gegevens heeft elke medewerker van de Hollandse Zorg Groep B.V. die uit hoofde van zijn of haar functie in de dossiers en in het ECD moet kunnen.

Toegang tot het ECD kan alleen maar verkregen worden door het invoeren van een door de directie toegekend gebruikersnaam en wachtwoord tezamen met persoonlijk verkregen inloggegevens. ONS van Nedap voldoet aan alle normen die er gelden op het gebied van informatiebeveiliging in de zorg en is NEN 7510 gecertificeerd.

 

  1. Financieel / administratieve gegevens

Binnen deze categorie worden financiële gegevens opgeslagen op de server van Exact. Dit deel is alleen toegankelijk door de directie en door geautoriseerde medewerkers van de Hollandse Zorg Groep B.V. als ook aangewezen functionarissen. De directie heeft als enige de mogelijkheid om nieuwe beheerders toe te voegen en dus toegang te verschaffen tot deze gegevens. De gegevens worden ook verwerkt in het boekhoudprogramma ten behoeve van de facturatie en is alleen toegankelijk met een inlogcode combinatie. De directie heeft toegang tot alle codes en is hier b.

 

  1. Zorginhoudelijke gegevens

Binnen deze categorie worden medische gegevens opgeslagen binnen het ECD op de servers van Nedap. Toegang tot het ECD kan alleen maar verkregen worden door het invoeren van een door de directie toegekend gebruikersnaam en wachtwoord tezamen met persoonlijk verkregen inloggegevens. ONS van Nedap voldoet aan alle normen die er gelden op het gebied van informatiebeveiliging in de zorg en is NEN 7510 gecertificeerd.