Privacyreglement

Opgemaakt 15-05-2018

Versie: 2018-1

  1. Begripsbepalingen

In dit regelement wordt verstaan onder:

  • De hulpverlener, M.A.M van der Meer – Joosten handelend onder Praktijk Merel, KvK nummer: 56607680, te Witte de Withstraat, unit 5, Hendrik Ido Ambacht
  • De wet: de wet bescherming persoonsgegevens en vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG);
  • Persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijk persoon;
  • Verwerking persoonsgegeven: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Daaronder wordt in ieder geval verstaan het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenwerken, met elkaar in verband brengen, alsmede het afschermen, uitwisselen of vernietigen van gegevens.;
  • Bestand: elk samenhangend geheel van persoonsgegevens, ongeacht of dit geheel van gegevens bij elkaar of gescheiden van elkaar wordt verzameld, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
  • Verantwoordelijke: degene die alleen of samen met anderen het doel van en de middelen voor verwerking van persoonsgegevens vaststelt. Verantwoordelijke kan zijn een natuurlijke persoon, een rechtspersoon of een bestuursorgaan.
  • Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreekse gezag te zijn onderworpen;
  • Betrokkene: degene op wie de persoonsgegevens betrekking heeft;
  • Derde: ieder ander dan de betrokkene, de verantwoordelijke, de bewerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.
  • Ontvanger: degene aan wie de persoonsgegevens worden verstrekt; toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat persoonsgegevens over hem worden verwerkt;
  • Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;
  • Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.
  1. Bereik
  2. Dit regelement is van toepassing op het geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Het is eveneens van toepassing op de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
  3. Dit regelement heeft betrekking op de verwerking van persoonsgegevens van voornamelijk cliënten, maar kan ook van toepassing zijn op medewerkers.
  4. Doel

1.Het doel van het verzamelen en het verwerken van persoonsgegevens is te beschikken over de gegevens die noodzakelijk zijn voor het realiseren van wettelijke doeleinden alsmede de doeleinde zoals die staan omschreven in de dienstenomschrijving van de hulpverlener en het voeren van beleid en beheer in het kader van deze doeleinden.

  1. Verantwoordelijkheid voor het beheer en aansprakelijkheid

1.De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking en het beheer van de gegevens; onder verantwoordelijkheid van de verantwoordelijke wordt doorgaans een beheerder belast met het feitelijke beheer van de persoonsgegevens, maar dit is niet verplicht bij kleinschalige persoonsgegevensverwerking zoals bij de hulpverlener het geval is.

2.De verantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen enig verlies of enige vorm van onrechtmatige verwerking van gegevens.

3.De in lid 1 bedoelde verantwoordelijkheid en het in lid 2 bepaalde geld onverminderd indien de verwerking plaats vindt door een bewerker; dit wordt geregeld in een overeenkomst tussen bewerker en verantwoordelijke

  1. Rechtmatige verwerking

1.Persoonsgegevens worden op een transparante wijze en in overeenstemming met de wet en dit regelement op behoorlijke en zorgvuldige wijze verwerkt.

2.Persoonsgegevens worden alleen voor de in dit regelement bedoelde doeleinden verzameld en worden niet verder verwerkt op een manier die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

3.Persoonsgegevens dienen – gelet op de doeleinden waarvoor ze zij worden verzameld of vervolgens worden verwerkt – toereikend en ter zake dienend te zijn; er dienen niet meer persoonsgegevens te worden verzameld of verwerkt dan voor het doel van de registratie nodig is.

4.Persoonsgegevens mogen slecht verwerkt worden indien:

  • De betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
  • De gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij betrokkene partij is of voor handelingen, op verzoek van betrokkene, die noodzakelijk zijn voor het sluiten van een overeenkomst;
  • De gegevens noodzakelijk is om een wettelijke verplichting van de verantwoordelijke na te komen;
  • De gegevensverwerking noodzakelijk is in verband met een vitaal belang ven betrokkene;
  • De gegevensverwerking noodzakelijk is met het oog op een belang van de verantwoordelijke of van een derde, tenzij dat belang strijdig is met het belang van degene van wie de gegevens worden verwerkt en dat belang voorgaat.

5.Ieder handelt onder het gezag van de verantwoordelijke of van de bewerker – en ook de bewerker zelf – verwerkt alleen persoonsgegevens in opdracht van de verantwoordelijke, behalve in geval van afwijkende wettelijke verplichtingen.

6.De gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep, wettelijke voorschrift, of op basis van een overeenkomst tot geheimhouding zijn verplicht.

  1. Verwerking van persoonsgegevens

1.De verwerking vindt plaats door hulp- of dienstverleners in de maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel beheer van de desbetreffende instelling of beroepspraktijk noodzakelijk is.

2.De verwerking geschiedt met uitdrukkelijke toestemming van de betrokkene.

3.De verwerking geschiedt op verzoek van een verzekeraar voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeraar te verzekeren risico, dan wel voor zover dat noodzakelijk is voor de uitvoering van een verzekeringsovereenkomst.

4.Het verbod om bijzondere gegevens als bedoeld in artikel 7 te verwerken is niet van toepassing voor zover dat noodzakelijk is in aanvulling op de verwerking van persoonsgegevens over iemands gezondheid met het oog op een goede behandeling of verzorging van de betrokkene.

  1. Bijzondere persoonsgegevens

1.Verwerking van persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, het lidmaatschap van een vakvereniging of van strafrechtelijke persoonsgegevens is verboden, behalve in de gevallen waarin de wet uitdrukkelijk bepaalt door wie, met welk doel en onder welke voorwaarden dergelijke gegevens wel mogen worden verwerkt (artikel17 tot en met 22 van de wet)

2.Het in het vorige lid bedoelde verbod geldt, onverminderd het bepaalde in de artikelen 17 tot en met 22 van de wet, niet voor zover er sprake is van een uitzondering zoals bedoeld in artikel 23 van de wet.

  1. Gegevensverwerking

Gegevens verkregen van betrokkene.

1.Indien bij de betrokkene zelf de persoonsgegevens worden verkregen, deelt de verantwoordelijke de betrokkene voor het moment van verkrijging mede;

  • zijn identiteit;
  • het doel van de verwerking waarvoor de gegevens bestemd, tenzij de betrokkene dat doel al kent.

2.De verantwoordelijke verstrekt de betrokkene nadere informatie voor zover dat – gelet op de aard van de gegevens, de omstandigheden waaronder zij zijn verkregen of het gebruik dat ervan wordt gemaakt – nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

  1. Bij verkrijgen van gegevens buiten de betrokkene om deelt de verantwoordelijke de betrokkene mede:
  • zijn identiteit
  • de aard van de gegevens en het doel van de verwerking waarvoor de gegevens zij bestemd;

Het moment waarop dat moet gebeuren is:

  • het moment dat de verantwoordelijke de gegevens vastlegt of
  • als de verantwoordelijke de gegevens uitsluitend verzamelt om deze aan een derde te verstrekken: uiterlijk op het moment van eerste verstrekking aan die derde.

4.De verantwoordelijke verstrekt nadere informatie voor zover dat – gelet op de aard ven de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt – nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

5.Het onder 3 bepaalde is niet van toepassing indien de daar bedoelde mededeling onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.

6.Het onder 3 bepaalde is evenmin van toepassing indien de vastlegging of verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de verantwoordelijke de betrokkenen op diens verzoek te informeren over de wettelijke voorschrift dat tot vastlegging of verstrekking van betreffende gegevens heeft geleid.

  1. Recht op inzage

1.De betrokkene heeft het recht kennis te nemen van de verwerkte gegevens die op zijn persoon betrekking hebben en mag hiervan een kopie ontvangen.

2.De verantwoordelijke deelt eenieder op diens verzoek – zo spoedig mogelijk maar uiterlijk binnen vier weken na ontvangst van het verzoek – schriftelijk mee of persoonsgegevens worden verwerkt die hem betreffen.

3.Indien dat het geval is, verstrekt de verantwoordelijke de verzoeker desgewenst – zo spoedig mogelijk maar uiterlijk binnen vier weken na ontvangst van het verzoek – schriftelijk een volledig overzicht daarvan met informatie over het doel of de doelen van de gegevensverwerking, de gegevens of categorieën van gegevens waarop de verwerking betrekking heeft, de ontvangers of categorieën van ontvangers van de gegevens alsmede de herkomst van de gegevens.

  1. Indien een gewichtig belang van de verzoeker dit eist, voldoet de verantwoordelijke aan het verzoek in een andere dan de schriftelijke vorm die aan dat belang is aangepast.

5.De verantwoordelijke kan weigeren aan een verzoek te voldoen indien en voor zover dit noodzakelijk is in verband met:

  • De opsporing en vervolging van strafbare feiten;
  • De bescherming van de betrokkene of van de rechten en vrijheden van anderen
  1. Verstrekking van persoonsgegevens

1.Verstrekking van persoonsgegevens aan derde geschiedt in het beginsel niet anders dan na toestemming van betrokkenen of diens vertegenwoordiger, behoudens een daartoe strekkende wettelijke voorschrift of de noodtoestand.

2.Indien verantwoordelijke zonder toestemming van betrokkene of diens wettelijke vertegenwoordiger daarvan onverwijld in kennis, tenzij dit gevaar oplevert voor personen en of zaken.

  1. Recht op correctie, aanvulling, verwijdering

1.Op schriftelijk verzoek van een betrokkene gaat de verantwoordelijke over tot verbetering, aanvulling, verwijdering en/of afscherming (het vergeetrecht) van de over de verzoeker verwerkte persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend zijn of meer omvatten dan voor het doel van de registratie nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek van betrokkene bevat de aan te brengen wijzigingen.

2.Verantwoordelijkedeelt verzoeker zo spoedig mogelijk, maar uiterlijk vier weken na ontvangst van verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of niet geheel wil voldoen, motiveert hij dat. Verzoeker heeft in dit verband de mogelijkheid zich te wenden tot de klachtencommissie van de verantwoordelijke.

3.De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming binnen 14 werkdagen, en wanneer dit redelijkerwijs niet mogelijk blijkt anders zo spoedig mogelijk nadien, wordt uitgevoerd.

  1. Bewaren van gegevens

1.Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de realisatie van de doelen waarvoor zij worden verzameld of vervolgens worden bewerkt.

2.De verantwoordelijke stelt vast hoelang de opgenomen persoonsgegevens bewaard blijven.

3.De bewaartermijn voor medische en/of zorgverleners is in beginsel vijftien jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener of verantwoordelijke voortvloeit.

4.Gegevens van niet medische aard worden niet langer bewaard dan noodzakelijk is voor de realisatie van de doelen waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij ze uitsluitend voor historische, statistische of wetenschappelijke doeleinde worden bewaard, Indien de desbetreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.

5.Indien de bewaartermijn van de persoonsgegevens is verstreken of de betrokkene een verzoek doet tot verwijdering vóór het verstrijken van de bewaartermijn, worden de desbetreffende medische gegevens binnen een termijn van drie maanden verwijderd.

6.Verwijdering blijft echter achterwege wanneer redelijkerwijs is aan te nemen dat;

  • Het bewaren van groot belang is voor andere dan de betrokkene;
  • Het bewaren op grond van een wettelijk voorschrift vereist is of
  • Indien daarover tussen e betrokkene en de verantwoordelijke overeenstemming bestaat
  1. Klachtenregeling

Indien de betrokkene van mening is dat de bepalingen van dit regelement niet worden nageleefd, kan hij zich richten tot:

  • De verantwoordelijke; het eventueel binnen de organisatie functionerende orgaan voor onafhankelijke klachtenbehandeling of een dergelijke buiten de onderneming functionerend orgaan waarbij de therapeut zich heeft aangesloten.
  • De rechtbank, in gevallen als bedoeld in artikel 46 van de wet en
  • Het College Bescherming Persoonsgegevens met het verzoek te bemiddelen en te adviseren in het geschil tussen de betrokkene en de verantwoordelijke.
  1. Wijzigingen inwerkingtreding en afschrift

1.Wijzigingen in dit regelement worden aangebracht door de verantwoordelijke. De wijzigingen in het regelement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan de betrokkenen.

2.Dit regelement treedt in werking per 15-05-2018

3.Dit regelement is bij de verantwoordelijke in te zien.

  1. Onvoorzien

In gevallen waarin dit regelement niet voorziet, beslist de verantwoordelijke, met in achtneming van het bepaalde in de wet en het doel en de strekking van dit regelement.