AVG Verwerker/verwerkingsverantwoordelijke

Buitenvaart 1614-1
7905 SM Hoogeveen
Nederland

info@swzorgenbegeleiding.nl

 

Behalve de AVG, zijn de beroepscode van mijn beroepsvereniging, SW Zorg & Begeleiding van toepassing op mijn werk. Deze zijn van invloed op de doeleinden waarvoor ik persoonsgegevens vastleg. Om die reden ga ik als volgt om met persoonsgegevens:

Naam, adres, woonplaats, geboortedatum, geslacht, telefoonnummer en e-mailadres.

  • Worden versleuteld opgeslagen in een database op de laptop met een back-up in een OneDrive en externe harde schijf (beiden met wachtwoordbeveiliging) welke van meerdere pc’s met wachtwoordbeveiliging te benaderen zijn.
  • De database kan alleen worden uitgelezen via een op maat gemaakt cliënt administratieprogramma met wachtwoordbeveiliging. Dit programma staat niet bij de back-ups.

Gegevens worden gebruikt voor:

  • Verzetten van afspraken of overleg over de behandeling met cliënt zelf.
  • Afdrukken en/of digitaal versturen van de factuur.
  • Versturen van begeleidingsplannen, voorgangsrapportages
  • van Gent van administratiekantoor ANWI te Zuidveld, administratiekantoor mogelijk informatie waar cliënt gegevens in staan. Sinds januari 2018 worden alleen gegevens aangeleverd met daarin debiteurnummers, die zijn zonder mijn administratieprogramma niet te herleiden naar cliënten.
  • De papieren administratie is opgeborgen in archiefdozen in een archiefkast met slot. Een digitaal debiteurenbestand staat op een pc met wachtwoordbeveiliging en is alleen te benaderen via een administratieprogramma met wachtwoordbeveiliging. Er is geen online back-up. Afgesproken is dat de administratie t/m 2010, zowel digitaal als op papier, zal worden vernietigd. Jaarlijks zal de administratie waarvan de bewaarplicht (7 jaar) is verlopen worden verwijderd.

Burgerservicenummer

  • Wordt versleuteld opgeslagen in een database op de laptop met een back-up in een OneDrive welke van meerdere pc met wachtwoordbeveiliging te benaderen is.
  • De database kan alleen worden uitgelezen via een op maat gemaakt cliënt administratieprogramma met wachtwoordbeveiliging.

Gegevens worden gebruikt voor:

  • Het BSN is verplicht op facturen voor de Sociale Verzekerings Bank. Zonder dit nummer worden facturen niet geaccepteerd door de SVB.

Gegevens worden gebruikt voor:

  • Overleg met de behandelend arts / psychiater op uitdrukkelijk verzoek van de cliënt. Dit verzoek zal op schrift worden gesteld.

Dossierplicht

  • Op grond van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) ben ik als zorgverlener verplicht een medisch dossier bij te houden. Hierover wordt de patiënt mondeling geïnformeerd tijdens de intake.
  • Medische informatie wordt apart opgeslagen in de database onder een debiteurnummer.
  • Kan alleen via een op maat gemaakt cliënt administratieprogramma met wachtwoordbeveiliging worden gekoppeld aan de cliënt gegevens.

Gegevens worden gebruikt voor:

  • De diagnose en behandeling van de cliënt.
  • Intolerantie, contra indicatie (bijv. zwangerschap), allergie informatie en diagnose is nodig voor het bestellen van Chinese kruiden en wordt gedeeld met de Natuurapotheek.
  • De casus kan anoniem worden gedeeld en besproken in intervisie met collega’s (inzicht van collega’s kan soms nodig zijn om beter te kunnen behandelen)
    • De cliënt heeft vooraf in de behandelovereenkomst al dan niet toestemming gegeven voor dit gebruik.
  • De casus kan anoniem worden gedeeld en besproken met stagiaires die stage lopen in de praktijk. (Om het vak te leren is deze informatie tijdens de stage noodzakelijk)
    • De cliënt heeft vooraf in de behandelovereenkomst al dan niet toestemming gegeven voor dit gebruik.
    • De cliënt geeft voorafgaand aan de behandeling al dan niet toestemming aan de stagiair om aanwezig te zijn. De stagiair heeft bij toestemming vervolgens zicht op de persoonsgegevens van de cliënt maar zal deze gegevens niet opschrijven of opslaan.
  • De anonieme casus kan in vereenvoudigde of aangepaste versie worden gebruikt voor lesdoeleinden. (In het leerproces is het nodig dat studenten in aanraking komen met casussen uit de praktijk)
    • De cliënt heeft vooraf in de behandelovereenkomst al dan niet toestemming gegeven voor dit gebruik.

Medicatie

  • Wordt opgeslagen in de database onder een debiteurnummer.

Gegevens worden gebruikt voor:

  • De diagnose en begeleiding van de cliënt.

In verband met de holistische benadering van de behandeling is relevant en wordt daarom opgeslagen:

  • Beroep
  • Hobby’s en/of sporten
  • Relatiestatus
  • Kinderen
  • Zaken m.b.t. seksualiteit (indien relevant voor de behandeling)

Gegevens worden gebruikt voor:

  • De diagnose en behandeling van de cliënt.
  • Deze informatie kan anoniem worden gedeeld en besproken in intervisie met collega’s
  • Deze informatie kan anoniem worden gedeeld en besproken met stagiaires die stage lopen in de praktijk.
  • Deze informatie kan anoniem worden gebruikt voor lesdoeleinden.
    • De cliënt heeft vooraf in de behandelovereenkomst al dan niet toestemming gegeven voor het gebruik in de 3 voornoemde punten.

Behandelovereenkomst

In de behandelovereenkomst worden de NAW gegevens, geboortedatum en de diagnose opgenomen. Ook worden gegevens omtrent samenstelling van het gezin, opleiding en werk opgenomen t.b.v. een adequate begeleiding

De volgende zinnen kunnen worden aangevinkt:

  • Bij deze overeenkomst heb ik de algemene voorwaarden ontvangen. Ik ga met deze voorwaarden akkoord.
  • Bij deze behandelovereenkomst heb ik de privacyverklaring ontvangen. Ik ben mij ervan bewust dat mijn persoons- en medische gegevens op een veilige manier worden opgeslagen omdat dit noodzakelijk is voor uitvoering van de overeenkomst.

Voor verwerking van onderstaande gegevens, door mij aangevinkt, geef ik expliciet toestemming:

  • Ik geef de behandelaar toestemming om, als de behandelaar dit nodig vindt, overleg te plegen met collega’s. Hierbij zal ik altijd anoniem blijven.

Minderjarigen

Volgens de patiëntenrechten uit de WGBO komen de wilsbekwame minderjarige tussen 12-16 jaar zelf en de ouder(s) het gezag toe. Ouder(s) van minderjarigen tot 16 jaar hebben medebeslissingsrecht over de begeleiding. Ouders hebben recht op informatie en inzage in het dossier, wanneer dit gekoppeld is aan het medebeslissingsrecht voor de begeleiding. Er bestaat een uitzondering op dit inzagerecht, namelijk wanneer de professional van mening is dat de uitoefening van bepaalde cliënten rechten indruist tegen het belang van de cliënt. Wilsbekwame cliënten van 12 jaar en ouder zijn zelf bevoegd om toestemming te verlenen voor doorbreking van de geheimhouding.

Bij minderjarige cliënten tekent een van de ouders mede de behandelovereenkomst.

Clientgegevens van voor 25-05-2018

Ik bewaar gegevens van cliënten die voor 25-05-2018 onder begeleiding zijn geweest tot 5 jaar na de laatste begeleidingscontact. Met deze cliënten heb ik in het verleden een begeleidingsovereenkomst gesloten maar daarin kon alleen worden aangegeven of ik met collega’s mocht overleggen of niet. Naar deze cliënten leef ik geen actieve informatieplicht na omdat ik geen actieve behandelrelatie heb.

Mailverkeer en website

De website en de praktijkmail zijn gehost bij One.com. One.com is gecertificeerd voor de ISO 27001, ??een standaard voor informatiebeveiliging. De website heeft een SSL certificaat en via WordPress is een plug-in geïnstalleerd om te forceren dat alle bezoekers van het contactformulier dat via de SSL verbinding doen.

Als een cliënt een e-mail stuurt met medische informatie dan zal ik deze informatie verwerken in mijn beveiligde cliënt administratieprogramma en de mail wissen. Bij het beantwoorden van de mail zal ik geen privacygevoelige informatie terugmailen maar telefonisch contact opnemen of melden dat ik er in een volgende behandeling op terug kom. Als ik een cliënt mail dan doe ik dat via een SSL verbinding met de mailserver.

Digitale facturen worden verzonden via een SSL verbinding met de mailserver. De verzonden facturen worden aan het einde van de dag verwijderd. Op de facturen staan alleen naam, adres en geboortedatum, geen BSN of medische gegevens. Naar gemeenten worden de facturen via de beveiligde site VECOZO en de VNG-app / Zillis verzonden.

In de instellingen van Google analytics zijn de IP adressen geanonimiseerd, hierdoor zijn de verzamelde gegevens op geen enkele wijze terug te leiden naar een persoon.

De software, waaronder beveiligingssoftware, wordt automatisch geüpdate.

Back-up

Er wordt regelmatig een back-up gemaakt van de database op een OneDrive waarbij de data van cliënten is versleuteld. Deze is alleen te benaderen via een met wachtwoord beveiligde laptop waarop het cliënt administratieprogramma is geïnstalleerd. Dit programma staat niet in de OneDrive. De OneDrive is beveiligd met een wachtwoord.

Er wordt ook regelmatig een offline back-up gemaakt op een externe harde schijf met wachtwoordbeveiliging. Ook hier is de data van cliënten versleuteld en staat geen cliënt administratieprogramma.

DPIA

Na bestudering van onderstaand artikel over DPIA concludeer ik dat er geen noodzaak is voor een DPIA. Op grond van het feit dat cliënten mij vrijwillig benaderen voor behandeling en in staat zijn toegang te geven of te weigeren concludeer ik dat er geen ongelijke machtsverhouding bestaat. In geval van minderjarige cliënten tekent een ouder altijd mede de overeenkomst. Medische gegevens zijn bijzondere persoonsgegevens maar geen gevoelige gegevens.

  • https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia

Bewaartermijn

De hoofdregel voor het bewaren van medische dossiers staat in de WGBO. Dat is 15 jaar, gerekend vanaf de datum van vastlegging van ieder afzonderlijk gegeven. De termijn kan langer zijn indien dit noodzakelijk is met het oog op de behandeling (bijvoorbeeld indien iemand een chronische ziekte heeft). Voor minderjarigen geldt dat de bewaartermijn van 15 jaar ingaat, vanaf het achttiende levensjaar. Deze gegevens zullen dus bewaard blijven tot het 34e levensjaar behalve als zij eerder overlijden. Dan geldt de bewaartermijn van 15 jaar vanaf de datum van overlijden. Voor overleden volwassenen dient het dossier 15 jaar bewaard te blijven vanaf de laatste wijziging in het dossier over de behandeling of vanaf de datum van overlijden.

De gegevens zullen automatisch worden verwijderd 15 jaar na de laatste behandeling. Of eerder als de cliënt daartoe een verzoek indient. Indien ik met een cliënt verwikkeld ben in een klachtenprocedure of geschil dan bewaar ik, bij uitzondering, de gegevens om te kunnen bewijzen wat ik gedaan heb in mijn behandelingen.

Bij een actieve behandelrelatie zou het door het wissen van de gegevens onmogelijk worden om behandelingen voort te zetten. Als de cliënt hiervoor kiest dan beëindig ik daarmee ook de behandelrelatie.

Beroepsgeheim

Voor mij als therapeut geldt op grond van de beroepscode van de SW Zorg & Begeleiding en het wettelijk geregeld beroepsgeheim een geheimhoudingsplicht.

Verwerkersovereenkomsten

Met de volgende personen/bedrijven zijn verwerkersovereenkomsten gesloten of wordt onderzocht of dat nodig is:

  • van der Wal
    • Beheer, ontwikkeling en onderhoud van het cliënt administratieprogramma (toegang met administrator wachtwoord)
  • Hostnet
    • Website en praktijkmail zijn gehost bij Hostnet.nl, zij geven aan dat er lokaal geen cliënt gegevens zijn opgeslagen, wel IP-adressen van bezoekers van de site en gebruikers van het contactformulier. In de algemene voorwaarden is een verwerkersovereenkomst opgenomen.
  • Van de database wordt dagelijks een back-up op de OneDrive (server in Ierland) gemaakt. De database is versleuteld opgeslagen en is alleen uit te lezen met een speciaal programma, niemand kan er iets mee mochten ze beschikken over de database. Het is daarom mijns inziens niet nodig om met OneDrive een verwerkersovereenkomst te sluiten.
  • ANWI administratiekantoor te Zuidveld is aangesloten bij het Register Belastingadviseurs waardoor via de beroepscode de privacy en geheimhouding is gewaarborgd. Er is geen aanvullende verwerkersovereenkomst nodig volgens het Register Belastingadviseurs.

Datalekken

Datalekken zal ik, direct (binnen 72 uur na het datalek), melden aan de Autoriteit Persoonsgegevens, als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als een aanzienlijke kans bestaat dat dit gebeurt. Dat is het geval als er bij het datalek ofwel persoonsgegevens verloren zijn gegaan (ze zijn niet meer terug te halen en er was geen back-up) ofwel onrechtmatige verwerking van de persoonsgegevens niet is uit te sluiten (iemand heeft mogelijk toegang (gehad) tot de persoonsgegevens terwijl diegene daartoe niet bevoegd was en ik heb geen controle over wat diegene met de gegevens heeft gedaan of nog zal doen).

De personen en instanties waarmee ik een verwerkersovereenkomst heb en de Natuurapotheek zijn verplicht datalekken bij mij te melden. Ook deze lekken zal ik, op bovenstaande manier, melden aan de Autoriteit Persoonsgegevens.

Als het datalek medische gegevens of BSN betreft zullen ook de betrokken cliënten worden geïnformeerd.

Datalekken worden in deze paragraaf bijgehouden.

Datum lek Oorzaak Ondernomen actie