Privacybeleid
Informatiebeveiliging, privacy en bescherming van persoonsgegevens
Inleiding
Maatschap Fysiotherapie Epicurus hecht veel waarde aan informatiebeveiliging, privacy en de bescherming van persoonsgegevens. Dit geldt ook voor de verwerking van persoonsgegevens van onze relaties. Daarom heeft Maatschap Fysiotherapie Epicurus de nodige stappen gezet om de gegevensverwerking nog veiliger te maken, de privacy te waarborgen en te voldoen aan de eisen die de wet hieraan stelt. In dit privacybeleid geeft Maatschap Fysiotherapie Epicurus heldere en transparante informatie over hoe zij omgaat met persoonsgegevens van haar betrokkenen (degenen van wie Maatschap Fysiotherapie Epicurus persoonsgegevens verwerkt).
Algemeen
Maatschap Fysiotherapie Epicurus doet er alles aan om de privacy te waarborgen en gaat daarom zorgvuldig om met persoonsgegevens. Maatschap Fysiotherapie Epicurus houdt zich in alle gevallen aan de toepasselijke wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming. Dit betekent onder andere dat:
- Maatschap Fysiotherapie Epicurus de persoonsgegevens verwerkt in overeenstemming met het doel waarvoor deze zijn verstrekt; deze doelen en type persoonsgegevens zijn beschreven in dit privacybeleid;
- Verwerking van persoonsgegevens beperkt blijft tot enkel die gegevens die minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;
- Maatschap Fysiotherapie Epicurus om toestemming vraagt als dat nodig is voor de verwerking van persoonsgegevens;
- Er geen persoonsgegevens doorgegeven worden aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt;
- Passende technische en organisatorische maatregelen zijn genomen zodat de beveiliging van de persoonsgegevens gewaarborgd is;
- Maatschap Fysiotherapie Epicurus op de hoogte is van de rechten inzake de verwerking van persoonsgegevens, Maatschap Fysiotherapie Epicurus hierop wijst en deze rechten respecteert.
Contactgegevens
Klachten, vragen en opmerkingen over privacy kunnen gesteld worden bij:
De medewerkers van Maatschap Fysiotherapie Epicurus
E: fysio@medischcentrumepicurus.nl
T: 0115-62 60 60
Dit document geeft inzicht in en uitleg over hoe Maatschap Fysiotherapie Epicurus persoonsgegevens van betrokkenen beschermt, wat de rol van de medewerkers (iedereen die binnen de maatschap een functie vervult) hierin is en hoe de rechten van betrokkenen zijn geregeld. In dit beleid worden dan ook de volgende onderwerpen behandeld:
- Verwerken persoonsgegevens
- Rechten van betrokkenen
- Wat te doen bij een datalek
- Proces uitvoering verwerkingen
1. Verwerken persoonsgegevens
Wat zijn persoonsgegevens
Op grond van de Algemene Verordening Gegevensbescherming (hierna te noemen AVG) is een persoonsgegeven ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van organisaties zijn geen persoonsgegevens.
Voorbeelden van persoonsgegevens:
- NAW-gegevens van cliënten, contactpersonen, telefoonnummers en e-mailadressen;
- BSN;
- Medische gegevens
Wat wordt verstaan onder verwerken?
Onder verwerken van persoonsgegevens wordt verstaan: alle handelingen die een organisatie kan uitvoeren met betrekking tot persoonsgegevens, van verzamelen tot en met vernietigen. Dit is dus een zeer ruim begrip. Handelingen die er volgens de AVG in ieder geval onder vallen zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
Welke persoonsgegevens heeft Maatschap Fysiotherapie Epicurus?
Verwerking van persoonsgegevens van cliënten
Persoonsgegevens van cliënten worden door Maatschap Fysiotherapie Epicurus verwerkt ten behoeve van de volgende doelstelling(en):
- Administratieve doeleinde;
- Het uitvoering geven aan de behandelovereenkomst.
Grondslag voor deze persoonsgegevens is:
- De behandelovereenkomst;
Voor de bovenstaande doelstelling(en) kan Maatschap Fysiotherapie Epicurus de volgende persoonsgegevens van u vragen:
- Voornaam;
- Tussenvoegsel;
- Achternaam;
- Telefoonnummer;
- E-mailadres;
- Geslacht
- Adresgegevens
- BSN
- Gegevens over gezondheid.
Uw persoonsgegevens worden door Maatschap Fysiotherapie Epicurus opgeslagen ten behoeve van bovengenoemde verwerking(en) voor de periode:
- Gedurende de looptijd van de behandelovereenkomst en daarna minimaal 15 jaar.
Verwerking van persoonsgegevens van oud-cliënten/patiënten
Persoonsgegevens van cliënten worden door Maatschap Fysiotherapie Epicurus verwerkt ten behoeve van de volgende doelstelling(en):
- Administratieve doeleinde.
Grondslag voor deze persoonsgegevens is:
- De behandelovereenkomst;
Voor de bovenstaande doelstelling(en) kan Maatschap Fysiotherapie Epicurus de volgende persoonsgegevens van u vragen:
- Voornaam;
- Tussenvoegsel;
- Achternaam;
- Telefoonnummer;
- E-mailadres;
- Geslacht.
Uw persoonsgegevens worden door Maatschap Fysiotherapie Epicurus opgeslagen ten behoeve van bovengenoemde verwerking(en) voor de periode:
De bewaartermijn is in de Wet Geneeskundige Behandelovereenkomst (WGBO) gesteld op 15 jaar. Op 1 februari 2006 trad een wijziging in werking die voorzag in verlenging van de bewaartermijn voor patiëntendossiers van 10 naar 15 jaar.
Deze termijn gaat in op het moment dat de gegevens worden vervaardigd. Ook voor de minderjarige geldt deze termijn; nakoming van de verplichtingen voortvloeiend uit de WGBO geschiedt jegens de wettelijk vertegenwoordiger. De WGBO maakt - als het om de bewaartermijn gaat - geen onderscheid tussen dossiers van minderjarige patiënten en die van meerderjarige patiënten. In de praktijk wordt echter vaak het belang onderstreept om gegevens van minderjarige patiënten in elk geval te bewaren tot het moment waarop zij volwassen zijn. Zo is het binnen de Jeugdgezondheidszorg gebruikelijk om gegevens te bewaren tot 10 jaar na afloop van de zorgperiode, dus tot het 29ste levensjaar. Het verdient aanbeveling om de aanvang van de bewaartermijn van medische gegevens van minderjarigen te laten ingaan op het moment dat zij meerderjarig zijn alle medische gegevens uit de jeugd zijn op die manier in elk geval tot het 29ste levensjaar beschikbaar. De minderjarige heeft zo zelf altijd de mogelijkheid het eigen dossier geheel in te zien en daarmee ook de mogelijkheid over deze gegevens te beschikken en te beslissen. De wijze waarop de WGBO hier wordt ingevuld (de aanvang van de bewaartermijn op 18-jarige leeftijd), is strikt genomen niet in overeenstemming met de letter van de WGBO, maar sluit aan bij de praktijk en wensen van het veld.
Verwerking van persoonsgegevens van medewerkers
Persoonsgegevens van medewerkers worden door Maatschap Fysiotherapie Epicurus verwerkt ten behoeve van de volgende doelstelling(en):
- Uitvoering geven aan de arbeidsovereenkomst.
Grondslag voor deze persoonsgegevens is:
- De arbeidsovereenkomst.
Voor de bovenstaande doelstelling(en) kan Maatschap Fysiotherapie Epicurus de volgende persoonsgegevens van u vragen:
- Voornaam;
- Tussenvoegsel;
- Achternaam;
- Telefoonnummer;
- E-mailadres;
- Geboortedatum;
- Salarisgegevens;
- Kopie ID;
- BSN-nummer;
- Bankgegevens.
Uw persoonsgegevens worden door Maatschap Fysiotherapie Epicurus opgeslagen ten behoeve van bovengenoemde verwerking(en) voor de periode:
- Gedurende de periode dat men een contract heeft en daarna alleen in de financiële administratie voor maximaal 7 jaar.
Verstrekking aan derden
De gegevens die u aan ons geeft kunnen wij aan derde partijen verstrekken indien dit noodzakelijk is voor uitvoering van de hierboven beschreven doeleinden.
Zo maken wij gebruik van een derde partij voor:
- Het verzorgen van de internetomgeving van de praktijkwebsite;
- Het verzorgen van de (financiële) administratie;
Wij geven nooit persoonsgegevens door aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten. Met deze partijen (verwerkers) maken wij hierin uiteraard de nodige afspraken om de beveiliging van uw persoonsgegevens te waarborgen. Verder zullen wij de door uw verstrekte gegevens niet aan andere partijen verstrekken, tenzij dit wettelijk verplicht en toegestaan is. Een voorbeeld hiervan is dat de politie in het kader van een onderzoek (persoons)gegevens bij ons opvraagt. In een dergelijk geval dienen wij medewerking te verlenen en zijn dan ook verplicht deze gegevens af te geven. Tevens kunnen wij persoonsgegevens delen met derden indien u ons hier schriftelijk en/of mondeling toestemming voor geeft.
Binnen de EU
Wij verstrekken geen persoonsgegevens aan partijen welke gevestigd zijn buiten de EU.
Bewaartermijn
Maatschap Fysiotherapie Epicurus bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is vereist.
Maatschap Fysiotherapie Epicurus heeft alleen persoonsgegevens voor zover die nodig zijn voor behandeling, declaratie bij de zorgverzekering en facturatie. Is er geen noodzaak om persoonsgegevens te hebben, dan worden deze verwijderd.
Met wie deelt Maatschap Fysiotherapie Epicurus persoonsgegevens?
Maatschap Fysiotherapie Epicurus deelt de benodigde gegevens met de zorgverzekeraar van de cliënt. Dit zijn NAW-gegevens en diagnosecodes. In principe deelt Maatschap Fysiotherapie Epicurus de persoonsgegevens verder niet met anderen. Mocht dit echter toch nodig zijn voor de uitvoering van de hiervoor beschreven doeleinden dan zijn hiervoor strenge regels van toepassing waaraan Maatschap Fysiotherapie Epicurus zich houdt. Zo zal er met de andere organisatie een verwerkersovereenkomst worden gesloten. In die overeenkomst worden afspraken gemaakt om de beveiliging van de persoonsgegevens te waarborgen. Voorbeelden van organisaties waarvan Maatschap Fysiotherapie Epicurus gebruik maakt zijn organisaties die de IT-systemen ontwerpen, onderhouden en verbeteren en bijvoorbeeld een accountantskantoor. Daarnaast kan Maatschap Fysiotherapie Epicurus persoonsgegevens delen met derden indien daarvoor mondeling en/of schriftelijk toestemming is gegeven.
Beveiliging
Wij hebben passende technische en organisatorische maatregelen genomen om persoonsgegevens van u te beschermen tegen onrechtmatige verwerking, zo hebben we bijvoorbeeld de volgende maatregelen genomen;
- Alle personen die namens Maatschap Fysiotherapie Epicurus van uw gegevens kennis kunnen nemen, zijn gehouden aan geheimhouding daarvan.
- We hanteren een gebruikersnaam en wachtwoordbeleid op al onze systemen;
- We pseudonimiseren en zorgen voor de encryptie van persoonsgegevens als daar aanleiding toe is;
- Wij maken back-ups van de persoonsgegevens om deze te kunnen herstellen bij fysieke of technische incidenten;
- We testen en evalueren regelmatig onze maatregelen;
- Onze medewerkers zijn geïnformeerd over het belang van de bescherming van persoonsgegevens.
Maatschap Fysiotherapie Epicurus doet haar uiterste best om de privacy van persoonsgegevens die zij verwerkt te waarborgen. Maatschap Fysiotherapie Epicurus realiseert de privacybescherming en informatiebeveiliging door systematisch en continue beleid te bepalen, risico’s te analyseren, maatregelen te nemen en toe te zien op de uitvoering.
Maatschap Fysiotherapie Epicurus draagt zorg voor passende technische en organisatorische maatregelen ter bescherming en ter voorkoming van inbreuk, verlies en onrechtmatige verwerking van de persoonsgegevens.
Maatschap Fysiotherapie Epicurus maakt gebruik van een IT-omgeving in de cloud, die voldoende beschermd is. Deze omgeving is door verschillende factoren beschermt te weten:
- Er wordt een sterk wachtwoordenbeleid gehanteerd;
- Er is antivirus software (Kaspersky) op de pc’s geïnstalleerd;
- Er is een Sophos firewall met Network Protection licentie en Web Protection licentie;
Alle medewerkers van Maatschap Fysiotherapie Epicurus dienen zich bewust te zijn van het feit dat zij regelmatig persoonsgegevens verwerken. Het is daarom van groot belang dat al deze medewerkers zorgdragen voor technische en organisatorische beveiligingsmaatregelen zoals:
- Alle medewerkers van Maatschap Fysiotherapie Epicurus mogen persoonsgegevens niet verder bekend maken dan voor de uitoefening van de functie noodzakelijk is. Dit geldt ook voor overige informatie waarvan men weet of redelijkerwijze kan vermoeden dat deze een vertrouwelijk karakter hebben;
- Alle medewerkers hanteren een sterk wachtwoord voor hun devices waarop persoonsgegevens van cliënten van Maatschap Fysiotherapie Epicurus staan.
- Alle medewerkers zijn geïnformeerd over het belang van de bescherming van persoonsgegevens;
- Ook het vernietigen van vertrouwelijke (persoons)gegevens moet op een veilige manier plaats vinden. We stoppen vertrouwelijke gegevens nooit in de prullenbak.
2. Rechten van betrokkenen en indienen klacht
Iedere betrokkene (dat is degene op wie persoonsgegevens betrekking hebben) heeft een aantal rechten en Maatschap Fysiotherapie Epicurus is verplicht hieraan mee te werken. Zo mogen betrokkenen:
- Persoonsgegevens opvragen die Maatschap Fysiotherapie Epicurus over ze heeft;
- Uitleg vragen over waarom Maatschap Fysiotherapie Epicurus de gegevens over hen heeft;
- Toegang verlangen naar de persoonsgegevens;
- Hun persoonsgegevens laten bijwerken;
- Inzicht krijgen in hoe Maatschap Fysiotherapie Epicurus voldoet aan de AVG en andere privacywetgevingen.
Als een betrokkene een verzoek doet om informatie, zijn de volgende regels van toepassing:
- Er wordt in geen enkel opzicht informatie over de betrokkene gedeeld met de verzoeker totdat is vastgesteld dat de verzoeker daadwerkelijk de betrokkene is.
- Op een verzoek zal zo snel mogelijk worden gereageerd maar uiterlijk binnen een maand na binnenkomst van het verzoek. Mocht dat niet lukken zal dit onderbouwd toegelicht worden aan de betrokkene;
- Er mogen geen kosten in rekening gebracht worden;
- Bij het versturen van de gegevens moet Maatschap Fysiotherapie Epicurus zorgen dat het transport adequaat beschermd is.
Een betrokkene kan bezwaar maken tegen de gegevensverwerking. Dit bezwaar kan ingediend worden bij de contactpersoon op het gebied van het privacybeleid, zie contactgegevens hierboven. In het bezwaar dient de betrokkene een omschrijving te geven waartegen bezwaar wordt gemaakt. Ten slotte staat het een betrokkene vrij om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Dit is de toezichthoudende autoriteit op het gebied van privacy.
Bewaartermijnen / verwijderen gegevens
Maatschap Fysiotherapie Epicurus bewaart de persoonsgegevens zo lang als nodig is voor het doel waarvoor de gegevens worden gebruikt en zo lang de wet en zorgverzekeraar Maatschap Fysiotherapie Epicurus verplicht om de gegevens te bewaren.
3. Wat te doen bij een datalek?
Hoewel alle medewerkers van Maatschap Fysiotherapie Epicurus dit beleid kennen, kan zich altijd een situatie voordoen dat er een beveiligingsincident of een datalek ontstaat. Een beveiligingsincident wordt gedefinieerd als: ‘een inbreuk op de beveiliging, die gevolgen heeft voor de persoonsgegevens die zijn verwerkt. De maatregelen en de herstelmaatregelen die eventueel zijn getroffen, zijn niet voldoende om deze gevolgen geheel weg te nemen. Als gevolg hiervan kan een datalek ontstaan’. Een datalek wordt gedefinieerd als: ‘een inbreuk op de beveiliging, die per ongeluk of op onrechtmatige wijze leidt tot onrechtmatige Verwerking of de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte Persoonsgegevens, als bedoeld in artikel 13 jo. artikel 34a Wbp en artikel 4 lid 12 AVG’.
Als een medewerker te maken krijgt met een beveiligingsincident en/of datalek dient dit direct gemeld te worden bij het aanspreekpunt privacybeleid. Ook bij twijfel dient er contact opgenomen te worden met het aanspreekpunt privacybeleid. Deze medewerker zal onderzoeken of er daadwerkelijk sprake is van een beveiligingsincident en/of datalek en welke stappen ondernomen moeten worden. Om adequaat te kunnen reageren bij een beveiligingsincident is het belangrijk dat verlies of diefstal van een device onmiddellijk, maar binnen 24 uur, kenbaar wordt gemaakt aan het aanspreekpunt privacybeleid.
Ernstige datalekken worden overeenkomstig de regelgeving gemeld bij de Autoriteit Persoonsgegevens.
4. Proces uitvoering verwerkingen
De verwerkingen van persoonsgegevens die Maatschap Fysiotherapie Epicurus voor invoering van de AVG al deed, zijn beoordeeld en waar nodig aan de AVG aangepast.