AVG BELEID

Inleiding

Per 25 mei 2018 geldt er een nieuwe wet voor alle landen in de EU: de

Algemene verordening gegevensbescherming (AVG). De AVG is ook wel

bekend onder de Engelse naam: General Data Protection Regulation

(GDPR). De nieuwe wet geeft bedrijven een grotere verantwoordelijkheid

om de privacy van personen te beschermen.

De AVG gaat over de bescherming van alle persoonsgegevens. Dit omvat

naast het op een correcte wijze omgaan met klant/cliëntgegevens, ook

het op een correcte manier omgaan met personeelsgegevens. Door Ergotherapie verwerkt  zowel persoonsgegevens van haar cliënten/klanten (inclusief bezoekers website) als personeel.  

Dit document omschrijft stap voor stap de organisatorische en technische maatregelen die Door Ergotherapie heeft genomen om aan de AVG te voldoen (accountability).

  1. Gebruikte hulpmiddelen

Door Ergotherapie heeft de volgende hulpbronnen, tools c.q. hulpmiddelen gebruikt om te komen tot de juiste informatie over de AVG en het nemen van de noodzakelijke organisatorische en technische maatregelen om aan de AVG te voldoen:

  1. AVG verklaring

Om aan de wet te blijven voldoen zal Door Ergotherapie regelmatig de procedures en maatregelen controleren (borging) en indien nodig aanpassingen doen. Dit heeft in ieder geval aandacht wanneer: er een omvangrijke wijziging in de organisatiestructuur of personele bezetting is, de wetgeving is aangepast of aangescherpt, er nieuwe apparatuur, software en/of systemen in gebruik worden genomen of er structureel andere activiteiten worden uitgevoerd door de praktijk.

  1. Inventarisatie persoonsgegevens

De navolgende (bijzondere) persoonsgegevens van klanten, cliënten en/of personeel kunnen worden verwerkt of kunnen te herleiden zijn:

  • naam
  • adres/contactgegevens
  • geboortedatum en geboorteplaats
  • BSN nummer
  • geslacht
  • medische gegevens (bijv. aandoening en medicijngebruik)
  • naam huisarts/andere betrokkenen, zoals andere zorgverleners
  • maatschappelijke gegevens (bijv. gezinssamenstelling en burgerlijke staat)
  • gegevens van de ouder(s)/wettelijk vertegenwoordiger
  • ras of etnische afkomst
  • politieke opvattingen
  • religieuze of levensbeschouwelijke overtuiging
  • lidmaatschap van een vakbond
  • seksuele geaardheid
  1. Inventarisatie doelbinding/de AVG grondslagen

Door Ergotherapie mag persoonsgegevens verwerken omdat de gegevensverwerking op minimaal één AVG grondslag is gebaseerd (te weten: toestemming, noodzakelijk voor de uitvoering van een overeenkomst en noodzakelijk voor het nakomen van een wettelijke verplichting). Tevens kan Door Ergotherapie bijzondere gegevens verwerken omdat zij zich kan beroepen op een specifieke wettelijke uitzondering (te weten: verwerkingen die noodzakelijk zijn voor de doelen gezondheidszorg, sociale diensten en arbeidsongeschiktheid, zoals geregeld in een nationale wet).

  1. Functionaris gegevensbescherming

Door Ergotherapie heeft (vooralsnog) geen funtionaris gegevensberscherming (FG) nodig aangezien zij geen overheidsinstantie of overheidsorgaan is, geen bijzondere en/of strafrechtelijke persoonsgegevens op grote schaal (>10.000) en als kernactiviteit verwerkt en niet doet aan regelmatige of stelselmatige observatie op grote schaal van betrokkenen.

Wel heeft Door Ergotherapie een privacyexpert aangewezen binnen haar organisatie:

Dorien Kikkert | te bereiken op 06-51460624 en per email: dorien@doorergotherapie.nl.

Zij zal er primair op toezien dat de privacy van al haar klanten/cliënten/personeel/e.d. wordt geborgd en dat alle medewerkers in de organisatie op de hoogte zijn van de verplichtingen uit de AVG en deze ook naleven.

  1. Data protection impact assessment (DPIA)

Het lijkt erop dat Door Ergotherapie verplicht is een DPIA uit te voeren omdat er waarschijnlijk sprake is van een verwerking met een hoog privacyrisico (verwerken van gevoelige gegevens of gegevens van zeer persoonlijke aard en gegevensverwerking van kwetsbare personen). De privacyexpert van de praktijk zal nog nader onderzoeken of de criteria die bepalen of een DPIA verplicht is goed geïnterpreteerd zijn. Zo niet, dan kan deze paragraaf worden herzien. Indien ja, dan zal op korte termijn een DPIA worden uitgevoerd.

  1. Privacy by design en privacy by default

Door Ergotherapie voldoet aan een aantal algemene uitgangspunten voor privacy by default en privacy by design. De instellingen van onze producten, diensten en interne systemen zijn bekeken en zo privacyvriendelijk mogelijk ingesteld. Er is kritisch gekeken naar de persoonsgegevens die verwerkt worden en in welke mate ze noodzakelijk zijn voor het doel van de verwerking. De ‘nice to haves’ worden verwijderd en/of niet meer verwerkt. Bij voorstellen voor nieuwe systemen, apparaten of verwerkingen zal kritisch worden bekeken of het ontwerp voorzien is van passende technische en organisatorische maatregelen.

Nog te ondernemen actie: Door Ergotherapie zal steekproefsgewijs de oudste aanwezige gegevens in bestanden en backups controleren om te checken of de door de praktijk gehanteerde bewaartermijnen ook daadwerkelijk worden nageleefd.

  1. Verwerkingsregister en verwerkersovereenkomsten

Door Ergotherapie heeft een verwerkersregister* opgesteld (verplicht) en heeft met alle partijen waaraan persoonsgegevens worden doorgegeven als dit noodzakelijk is voor de doeleinden waarvoor ze zijn verkregen, een verwerkersovereenkomst* afgesloten. De partijen bieden voldoende garantie dat zij aan de wettelijke vereisten voldoen, zodat de privacy  van onze klanten/cliënten en personeel goed worden beschermd.

*Het verwerkersregister en de verwerkersovereenkomsten kunnen op verzoek worden ingezien.

  1. Beveiliging

Door Ergotherapie heeft gezorgd voor technische en organisatorische beveiligingsmaatregelen om een beveiligingsniveau te bereiken dat past bij het risico.

Enkele van de getroffen maatregelen:

  • de praktijk heeft een beleidsdocument voor informatiebeveiliging opgesteld;
  • medewerkers zijn duidelijk geïnformeerd over de AVG beveiligingseisen en –plichten;
  • alle persoonsgegevens zijn alleen te bereiken via een inlog (gebruikersnaam, wachtwoord, codebeveiliging en/of vingerherkenning) door hiervoor geautoriseerde personen;
  • persoonsgegevens worden versleuteld verzonden en/of er wordt gebruik gemaakt van meervoudige authenticatie;
  • persoonsgegevens worden nooit overgedragen of opgeslagen bij partijen buiten de EU;
  • persoonsgegevens worden automatisch en regelmatig op een veilige manier bewaard via backups;
  • papieren documenten waarop persoonsgegevens staan worden opgeslagen achter slot en grendel;
  • er is een goed sleutelbeheer beleid van de praktijk;
  • medewerkers hebben een geheimhoudingsverklaring getekend;
  • er wordt gebruik gemaakt van websites via beveiligde internetverbinding (https);
  • software blijft up to date doordat het zo is ingesteld dat updates automatisch worden opgehaald en uitgevoerd;
  • ruimtes waar gegevens worden verwerkt worden bij het verlaten van de ruimte altijd afgesloten;
  • gasten kunnen enkel gebruik maken van een speciaal Wi-Fi gastennetwerk.

Er zal met regelmaat gemonitord worden of de getroffen beveiligingsmaatregelen nog adequaat zijn (plan, do, check, act).  

  1. Informatieplicht en privacydocumenten

Door Ergotherapie heeft documenten opgesteld waarin betrokken personen worden geïnformeerd over de verwerking van privacygegevens: Privacyverklaring en Privacyreglement.

Deze documenten voldoen aan de AVG. Ze worden beide aangeboden op een toegankelijke plek (website:  http://doorergotherapie.nl/privacyverklaring/ en http://doorergotherapie.nl/privacyreglement/ en zijn in begrijpelijke taal geschreven. Het Privacyreglement wordt tevens uitgereikt aan klanten/cliënten zodra zij in behandeling komen. Deze wordt door hen ondertekent en door de behandelaar bewaard in het digitaal cliëntdossier.

  1. Privacyrechten

Door Ergotherapie is op de hoogte van de nieuwe privacyrechten van de mensen waarvan persoonsgegevens door ons worden verwerkt en onze systemen, procedures en interne organisatie zijn zo ingericht dat gehoor gegeven kan worden aan verzoeken van mensen die hun rechten uitoefenen.

De mensen van wie de persoonsgegevens verwerkt worden, worden goed geïnformeerd over hun rechten in de privacydocumenten (Privacyverklaring en Privacyreglement). Deze documenten zijn goed toegankelijk.

  1. Datalekken

Tot heden heeft Door Ergotherapie nog geen datalek gehad. Door Ergotherapie verklaart dat iedereen binnen de praktijk op de hoogte is van wat een datalek is zodat dit tijdig gesignaleerd kan worden. Mocht zich een datalek in de toekomst voordoen dat dient deze te allen tijde en zo spoedig mogelijk gemeld te worden bij de privacyexpert van de praktijk zodat deze het datalek adequaat kan afhandelen en documenteren.

  1. Medewerkers

De medewerkers van Door Ergotherapie zijn goed geïnformeerd over de AVG en de consequenties hiervan. Dit is gebeurd op verschillende manieren: instructie via video van Stichting AVG, presentatie door praktijkhouden/privacyexpert en naslagwerk. Iedereen is opgeroepen extra aandacht aan privacy bescherming te besteden.

Tevens hebben alle medewerkers een ‘AVG Medewerkersovereenkomst’ getekend. Hierin staat welke gegevens van hen als personeel wordt verzamend, wat de bewaartermijn is van die gegevens en geven zij toestemming voor gebruik van werkgerelateerde foto’s met hen als geportretteerde voor publicaties onder beheer van Door Ergotherapie. Te denken valt aan website, folders, nieuwsbrieven en sociale media.

De geheimhoudingsverklaring maakt onderdeel uit van hun arbeidsovereenkomst, is derhalve ondertekend en wordt bewaard in de personeelsadministratie.

  1. Bewaartermijn en verwijderen van persoonsgegevens

Door Ergotherapie zal de persoonsgegevens verzameld via de website (www.doorergotherapie.nl gedurende de volgende periode bewaren:

  • wanneer men een vraag stelt via de website, tot 6 maanden nadat de vraag door ons beantwoord is;
  • in de overige gevallen worden de gegevens niet langer bewaard dan in het voorkomende geval noodzakelijk is;
  • het bovenstaande is niet van toepassing indien op verzoek van de betrokken persoon de persoonsgegevens vernietigd zijn.

Voor de persoonsgegevens verzameld van onze klanten/cliënten gelden de volgende bewaartermijnen:

  1. Het dossier met behandelinformatie wordt gedurende vijftien jaar na afloop van de behandelingsovereenkomst bewaard, tenzij goed zorgverlenerschap met zich meebrengt dat de gegevens langer worden bewaard¹.
  2. Voor dossiers met behandelinformatie van minderjarige personen geldt dat de bewaartermijn van vijftien jaar begint te lopen vanaf de leeftijd van 18 jaar¹.  
  3. In andere gevallen dan in dit artikel vermeld worden gegevens niet langer bewaard dan nodig is voor het doel.
  4. Uitzondering op het voorgaande in dit artikel is van toepassing als op uitdrukkelijk schriftelijk verzoek van de betrokken persoon gegevens zijn vernietigd.

¹ De wettelijke bewaartermijn is bepaald in de Wet op de geneeskundige behandelingsovereenkomst (WGBO)

Wanneer de overeenkomst op grond waarvan de persoonsgegevens zijn verkregen verloopt of de persoon zijn toestemming intrekt dan worden deze volgens afspraak vernietigd. Bij het vernietigen wordt nagegaan waar de gegevens van een persoon gebruikt zijn, zoals in het CRM systeem, als contact in telefoon, mails, documenten op de server en dergelijke. Alle gegevens worden definitief verwijderd, geanonimiseerd of versnipperd (papieren documenten).