Privacy reglement
Artikel 1 – algemeen
De tandartsenpraktijk zorgt ervoor dat er met persoonsgegevens die patiënten verstrekken zorgvuldig wordt omgegaan. Uiteraard nemen wij bij de verwerking van persoonsgegevens van de patiënt alle toepasselijke wet- en regelgeving in acht, zoals de wet bescherming persoonsgegevens. Met dit privacy reglement wil de tandartsenpraktijk de patiënt nader informeren over het beleid.
Artikel 2 – definities
Onverminderd het bepaalde in artikel 1 wbp hebben de volgende termen de hierna genoemde betekenis:
- Persoonsgegevens: alle gegevens door middel waarvan de patiënt kan worden geïdentificeerd.
- Verantwoordelijke: de tandartsenpraktijk.
- Verwerking/verwerken: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.
- Bewerker: degene die ten behoeve van de verantwoordelijke voor de verwerking van persoonsgegevens zorgdraagt, zonder aan zijn rechtstreeks gezag te zijn onderworpen, zoals hulppersonen die door de verantwoordelijke zijn ingehuurd.
- Betrokkene: degene op wie de persoonsgegevens betrekking hebben, in het algemeen de patiënt.
- Wbp: wet bescherming persoonsgegevens.
- Privacy reglement: het voorliggende document.
Artikel 3 – wijze van verkrijging van de gegevens
Persoonsgegevens zijn afkomstig of afgeleid van gegevens die mondeling en/of schriftelijk worden verstrekt door de betrokkene of diens wettelijke vertegenwoordiger. Persoonsgegevens kunnen daarnaast worden verstrekt door de zorgverzekeraar, de huisarts, andere behandelaars, specialisten, hulpverleners of andere dan de voornoemde personen of instanties.
Artikel 4 – doel van de verwerking
1. Verwerking gebeurt in alle gevallen behoorlijk, zorgvuldig en in overeenstemming met de wet. Dit betekent onder meer dat de verwerking geschiedt met een duidelijk omschreven en gerechtvaardigd doel.
a. Een duidelijk omschreven doel betekent dat het doel waarvoor de persoonsgegevens worden verwerkt valt onder één van de volgende doelen (artikel 16 lid 2 vrijstellingsbesluit):
- Het uitoefenen van het beroep in de individuele gezondheidszorg;
- Het berekenen, vastleggen en innen van de vergoeding voor de behandeling, waaronder begrepen het in handen van derden stellen van vorderingen;
- Het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
- Het verrichten van wetenschappelijk of statistisch onderzoek.
b. Als de verantwoordelijke niet onder het vrijstellingsbesluit valt heeft hij de doeleinden van zijn verwerking zelf uitdrukkelijk beschreven in zijn melding aan het college bescherming persoonsgegevens volgens artikel 28 van de wbp.
c. ‘Gerechtvaardigd doel’ betekent dat de persoonsgegevens worden verwerkt op basis van één van de onderstaande grondslagen:
- Het aangaan en uitvoeren van een behandeling(sovereenkomst);
- Het vrijwaren van een vitaal belang van de betrokkene, zoals noodgevallen;
- Het behartigen van een gerechtvaardigd belang van verantwoordelijke of van een derde (bijvoorbeeld de bedrijfscontinuïteit);
- Noodzaak om een wettelijke verplichting na te komen;
- Toestemming van de betrokkene.
d. Persoonsgegevens mogen slechts worden verwerkt voor zover zij gelet op de doeleinden waarvoor zij worden verwerkt toereikend, ter zake dienend en niet bovenmatig zijn.
Artikel 5 andere gegevens
Persoonsgegevens in geanonimiseerde vorm, waardoor zij niet langer zijn te kwalificeren als persoonsgegevens, vallen niet onder de werking van dit privacy reglement.
Artikel 6 – categorieën van gegevens
1. De verwerkte persoonsgegevens kunnen de volgende gegevenscategorieën betreffen:
a. Naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b. Een administratienummer dat geen andere informatie bevat dan onder a;
c. Gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige betrokkenen;
d. Gegevens als bedoeld onder a van de gezins- of familieleden van de betrokkene alsmede anderen die over het welzijn en de gezondheid van de betrokkene worden ingelicht;
e. Gegevens betreffende de gezondheidstoestand van de betrokkene en ingeval van erfelijke aandoeningen diens gezins- en familieleden;
f. Andere bijzondere persoonsgegevens met het oog op de goede behandeling of verzorging van de betrokkene;
g. Gegevens betreffende de gevolgde en te volgen behandeling van de betrokkene alsmede de verstrekte medicamenten of voorzieningen;
h. Gegevens betreffende het berekenen, vastleggen en innen van de vergoeding;
i. Gegevens betreffende de verzekering van de betrokkene;
j. Andere gegevens noodzakelijk met het oog op de uitoefening van het beroep.
Artikel 7 – meldingsplicht
1. Onder bepaalde omstandigheden moet de verwerking van persoonsgegevens worden aangemeld bij het cbp. Tandartspraktijken vallen echter in beginsel onder het vrijstellingsbesluit. De verantwoordelijke is daarom vrijgesteld van de meldingsplicht als er geen andere persoonsgegevens worden verwerkt als die in dit privacy reglement (gebaseerd op artikel 16 lid 2 vrijstellingsbesluit) worden vermeld en als zij de persoonsgegevens niet aan anderen verstrekken dan die in dit privacy reglement worden vermeld (artikel 16 lid 4 vrijstellingsbesluit) en de persoonsgegevens ook niet langer worden bewaard dan conform dit privacy reglement (artikel 16 lid 5).
2. Vrijgestelden moeten in plaats van hun meldingsplicht iedereen die daarom verzoekt inlichtingen verschaffen omtrent de van aanmelding vrijgestelde verwerkingen. De verzoeker hoeft daarvoor zelf geen betrokkene te zijn of een ander belang aan te tonen. De inlichtingen waarom kan worden verzocht zijn:
a. De doeleinden van de verwerking;
b. Verwerkte persoonsgegevens of categorieën van verwerkte persoonsgegevens;
c. De categorieën van betrokkenen;
d. De ontvangers of categorieën ontvangers aan wie de persoonsgegevens worden verstrekt; en
e. De periode gedurende welke de persoonsgegevens worden bewaard.
3. De verantwoordelijke hoeft echter niet aan elke vraag naar een opgave van alle in lid 2 van dit privacy reglement genoemde verwerkingen te voldoen als dit van hem een onevenredige inspanning vergt. Hij kan in dergelijke gevallen eerst van de verzoeker verlangen dat die zijn vraag preciseert. Voldoet de verzoeker daar niet aan, dan mag de verantwoordelijke het verzoek terzijde leggen.
Artikel 8 – informatieplicht
1. Voordat de verantwoordelijke persoonsgegevens verwerkt, deelt hij de betrokkene en/of diens wettelijke vertegenwoordiger een aantal zaken mee:
- Wie de verantwoordelijke is;
- Het doel of de doeleinden waarvoor hij bepaalde, concrete persoonsgegevens verwerkt;
- Op welke manier de persoonsgegevens worden verwerkt;
- Alle andere informatie die met het oog op de zorgvuldigheid moet worden verstrekt. Dat betekent ook: des te gevoeliger de persoonsgegevens die de verantwoordelijke wil verwerken, des te grondiger er moet worden geïnformeerd.
2. Als er persoonsgegevens via een derde worden opgevraagd of aan een derde worden geleverd moet op dezelfde wijze worden voldaan aan de informatieplicht, vóórdat de persoonsgegevens worden verkregen of geleverd, tenzij dit alleen met een onevenredige inspanning kan worden gedaan.
Artikel 9 – recht op inzage en correctie
1. Betrokkenen hebben het recht om hun persoonsgegevens in te zien en kunnen de volgende gegevens opvragen:
a. Een volledig overzicht van de verwerkte persoonsgegevens die betrekking hebben op de betrokkene;
b. Een omschrijving van het doel of de doeleinden van de verwerking van persoonsgegevens;
c. Alle beschikbare gegevens omtrent de herkomst van de persoonsgegevens;
d. De categorieën van gegevens waarop de verwerking betrekking heeft;
e. Een overzicht van ontvangers of categorieën van ontvangers die de persoonsgegevens hebben ontvangen;
f. Informatie over de systematiek van de geautomatiseerde verwerking van persoonsgegevens die verantwoordelijke gebruikt voor de verwerking.
2. De verantwoordelijke zal het verzoek binnen 4 weken afwijzen, of de gevraagde gegevens binnen 4 weken verstrekken. Een verzoek om inzage mag alleen op grond van de volgende redenen worden afgewezen:
a. De verzoeker is geen betrokkene of zijn/ haar verzoek heeft geen betrekking op gegevens die alleen op de verzoeker betrekking hebben;
b. De verzoeker heeft de leeftijd van 16 jaar nog niet bereikt en/of is onder curatele is gesteld. In dat geval kan alleen de wettelijk vertegenwoordiger het verzoek doen;
c. Verantwoordelijke heeft reeds kortgeleden aan een vergelijkbaar verzoek van dezelfde verzoeker gehoor gegeven;
d. Bescherming van de betrokkene of van de rechten en vrijheden van anderen;
e. Vanwege de veiligheid van de staat, en/of de voorkoming, opsporing en vervolging van strafbare feiten.
3. De verantwoordelijke mag een vergoeding vragen voor het verstrekken van inzage. De huidige maximale vergoeding die gevraagd mag worden is eur 5,00.
4. Betrokkenen hebben het recht op correctie, aanvulling, verwijdering of afscherming van hun persoonsgegevens indien de verwerkte persoonsgegevens feitelijk onjuist zijn en/of voor het doel van de verwerking onvolledig of niet terzake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Verder mag de verantwoordelijke dit verzoek alleen weigeren om de redenen vermeld in lid 2 van dit privacy reglement.
5. De verantwoordelijke doet mededeling of hij het verzoek toewijst of afwijst binnen 4 weken na ontvangst van het verzoek om correctie, aanvulling etc.
6. De verantwoordelijke draagt zorg dat een beslissing tot toewijzing zo spoedig mogelijk wordt uitgevoerd.
7. Bij toewijzing krijgt de betrokkene de vergoeding als vermeld in artikel 3 voor het opvragen van informatie terug.
8. In het geval dat persoonsgegevens worden gecorrigeerd, aangevuld, etc. Moet de verantwoordelijke de derden aan wie de (onjuiste) persoonsgegevens van de betrokkene al eerder zijn verstrekt, op de hoogte stellen van de wijzigingen, tenzij opsporing van deze derde(n) onmogelijk is of een onevenredige inspanning vereist.
9. De verantwoordelijke doet aan de verzoeker desgevraagd opgave van degenen die hij op grond van lid 5 van dit artikel op de hoogte heeft gesteld.
Artikel 10 – toegang tot en ontvangers van persoonsgegevens
1. Toegang tot persoonsgegevens hebben in beginsel slechts degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandeling van de betrokkene, voor zover die toegang nodig is voor hun werkzaamheden.
2. Voor het overige kunnen aan de volgende personen en instanties toegang worden verleend/persoonsgegevens worden verstrekt:
a. Onderzoekers als bedoeld in artikel 7:458 van het burgerlijk wetboek;
b. Zorgverzekeraars voor zover noodzakelijk met het oog op de verplichtingen uit de verzekeringsovereenkomst;
c. Derden die belast zijn met het innen van vorderingen voor zover toegang/verstrekking noodzakelijk is en het geen medische gegevens betreft;
d. Anderen, wanneer de grondslag van de verwerkte gegevens is:
I. toestemming van de betrokkene;
II. een noodzaak om een wettelijke verplichting na te komen;
III. het vrijwaren van een vitaal belang van de betrokkene.
e. Anderen, wanneer de verdere verwerking voor historische, statistische of wetenschappelijke doeleinden geschiedt, indien de verantwoordelijke de nodige maatregelen heeft getroffen om te zorgen dat verdere verwerking uitsluitend ten behoeve van deze doeleinden geschiedt.
Artikel 11 – bewaartermijnen
1. Medische gegevens die zijn verkregen om een behandelingsovereenkomst aan te gaan of te vervullen worden 15 jaar bewaard. De verantwoordelijke is niet gehouden tot langere bewaartermijnen dan bij wet, in het bijzonder artikel 7:454 lid 3 bw, verplicht.
2.Andere persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden waarvoor zij werden verwerkt. Als die persoonsgegevens niet langer nodig zijn, worden ze verwijderd.
Artikel 12 – geheimhouding
1. De verantwoordelijke, de bewerker en iedereen die onder gezag van de verantwoordelijke toegang heeft tot persoonsgegevens zijn verplicht tot geheimhouding van de persoonsgegevens.
2. Gegevens met betrekking tot de gezondheid van betrokkene(n) worden als ‘bijzondere persoonsgegevens’ aangemerkt. Voor het verwerken van bijzondere persoonsgegevens geldt dat iedereen die ze verwerkt een geheimhoudingsplicht zal hebben. Deze kan voortvloeien het ambt of uit de arbeidsovereenkomst van diegene.
Artikel 13 – beveiliging
1. De verantwoordelijke moet zorgen voor passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen.
2. ‘Passend’ betekent dat de beveiligingsmaatregelen die getroffen worden passen bij het risico dat de persoonsgegevens onzorgvuldig of onrechtmatig (verder) worden verwerkt en de schade die daaruit voort zou vloeien. De getroffen maatregelen moeten ervoor zorgen dat:
a. Uitsluitend bevoegde personen toegang tot persoonsgegevens hebben;
b. De persoonsgegevens correct zijn en niet verloren gaan;
c. De persoonsgegevens zonder belemmering beschikbaar zijn voor rechtmatige verwerking volgens de afspraken binnen de organisatie.
3. In alle gevallen draagt de verantwoordelijke zorg voor het informatiebeveiligingsbeleid en draagt dit beleid uit binnen de tandartsenpraktijk.
Artikel 14 – slotbepalingen
1. De verantwoordelijke aanvaardt niet meer verplichtingen dan hetgeen waartoe hij op grond van de wet gehouden is, tenzij schriftelijk anders overeengekomen met de betrokkene.
2. Wijzigingen in dit privacy reglement worden aangebracht door de verantwoordelijke. De wijzigingen in het privacy reglement zijn van kracht ten opzichte van betrokkene(n) nadat betrokkene(n) van de wijziging op de hoogte zijn gesteld.
3. Dit privacy reglement is per 1-1-2016 in werking getreden en bij de tandartsenpraktijk in te zien.
Artikel 16 vrijstellingsbesluit
1. Artikel 27 van de wet is niet van toepassing op verwerkingen van beoefenaren van individuele beroepen in de gezondheidszorg, als bedoeld in de wet op de beroepen in de individuele gezondheidszorg, betreffende hun patiënten, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
2. De verwerking geschiedt slechts voor:
3. het uitoefenen van het beroep in de individuele gezondheidszorg;
- Het berekenen, vastleggen en innen van de vergoeding voor de behandeling, waaronder begrepen het in handen van derden stellen van vorderingen;
- Het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
- Het verrichten van wetenschappelijk of statistisch onderzoek.
4. Geen andere persoonsgegevens worden verwerkt dan:
- Naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokken patiënt;
- Een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- Gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige patiënten;
- Gegevens als bedoeld onder a, van de gezins- of familieleden van de patiënt alsmede anderen die over het welzijn en de gezondheid van de patiënt worden ingelicht;
- Gegevens betreffende de gezondheidstoestand van de patiënt en, ingeval van erfelijke aandoeningen, diens gezins- en familieleden;
- Andere bijzondere gegevens, als bedoeld in artikel 16 van de wet, met het oog op de goede behandeling of verzorging van de patiënt;
- Gegevens betreffende de gevolgde en te volgen behandeling van de patiënt alsmede de verstrekte medicamenten of voorzieningen;
- Gegevens betreffende het berekenen, vastleggen en innen van de vergoeding;
- Gegevens betreffende de verzekering van de patiënt;
- Andere gegevens noodzakelijk met het oog op de uitoefening van het beroep.
5. De persoonsgegevens worden slechts verstrekt aan:
- Degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandeling van de patiënt alsmede degenen die optreden als vervanger van de voor de verwerking verantwoordelijke, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden;
- Onderzoekers, als bedoeld in artikel 7:458 van het burgerlijk wetboek;
- Zorgverzekeraars voor zover noodzakelijk met het oog op de verplichtingen uit de verzekeringsovereenkomst;
- Derden die zijn belast met het innen van vorderingen, voor zover de verstrekking daarvoor noodzakelijk is en geen medische gegevens betreft;
- Anderen, in de gevallen bedoeld in artikel 8, onder a, c en d.
6. De persoonsgegevens worden verwijderd nadat de wettelijke bewaartermijn is verstreken en bij het ontbreken daarvan uiterlijk vijf jaar na beëindiging van de behandeling.