Hieronder treft u een makkelijk stappenplan van de Privacywet zoals Praktijk Imala deze hanteerd.
Ik verzoek u om deze stappenplan door te lezen. Zodat we uw kostbare tijd goed en zinvol benutten.
Er is altijd voldoende gelegenheid om alles goed toe lichten.
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Dit is een nieuwe Europese privacywet. Daardoor is de privacy in alle landen van de EU gelijk. Nu hebben de lidstaten nog hun eigen nationale wetten.
De Algemene verordening gegevensbescherming (AVG) komt dus in plaats van de oude Wet bescherming persoonsgegevens (Wbp). In de AVG staan een aantal verplichte maatregelen genoemd waaraan u, als therapeut, moet voldoen omdat u gegevens vastlegt in cliëntendossiers.
Verplichte maatregelen
De verplichte maatregelen die de AVG concreet noemt zijn:
- het bijhouden van een register van verwerkingsactiviteiten;
- het (laten) uitvoeren van een veiligheidscontrole van het digitale cliëntendossier. Dit kan gedaan worden door de leverancier, maar u kunt het ook zelf doen (als u de kennis in huis hebt) of een externe partij inschakelen.
- het bijhouden van een register van datalekken die zijn opgetreden;
- het aantonen dat een patiënt, of cliënt daadwerkelijk toestemming heeft gegeven voor het vastleggen van gegevens in het cliëntendossier.
Het register van verwerkingsactiviteiten
Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die u vast legt in het cliëntendossier, of in een digitaal programma. U mag zelf weten hoe u het register opstelt. Wel schrijft de AVG voor welke informatie u als therapeut in het register moet zetten. Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet u het register direct kunnen laten zien.
In het register van verwerkingsactiviteiten moet u opnemen:
- een omschrijving van de categorieën persoonsgegevens (= cliëntgegevens) die u verwerkt;
- een beschrijving van de doeleinden waarvoor u persoonsgegevens verwerkt. In de handleiding hebben wij dit al vast als voorbeeld voor u vastgelegd;
- welke rechten betrokkenen (cliënten) hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens;
- welke organisatorische en technische maatregelen u genomen heeft om de persoonsgegevens te beveiligen;
- hoe lang u de persoonsgegevens bewaart; en
- hoe u omgaat met een datalek.
Hieronder treft u een handleiding aan waarmee u dit register kunt opstellen.
Over dit document
Met behulp van dit document kunt u aan de hand van een aantal stappen vastleggen op welke manier u voldoet aan de Algemene verordening gegevensbescherming (AVG).
Zo ver als mogelijk is hebben wij alvast een voorstel voor een definitie aangegeven. Uiteraard kunt u dat wijzigen en aanvullen. Als u alle stappen heeft ingevuld en aangepast, heeft u hiermee een register van verwerkingsactiviteiten ingesteld. U kunt dit uitprinten en archiveren. U kunt dit tijdens de visitatie laten zien.
V = Ik leg het vast
- = Ik leg het niet vast
Stap 1. Benoemen persoonsgegevens
In deze stap legt u vast welke persoonsgegevens u vastlegt in het cliëntendossier? U kunt dit aangeven door een vinkje, of een kruisje in eerste hokje te plaatsen
V Naam, adres, postcode, woonplaats van de cliënt(en).
V Geboortedatum van de cliënten.
V Telefoonnummer en e-mail van de cliënten.
Bij minderjaringen
V Ook nnaam, adres postcode, woonplaats, telefoonnummer en e-mailadres van beide ouders.
Indien dit in het belang van de begleeiding/behandeling is, leg ik de volgende verdere gegevens vast:
V Huisarts.
V School van de minderjarige cliënt.
Opmerking over het vastleggen van bijzondere persoonsgegevens:
Gegevens over godsdienst of levensovertuiging, gezondheid, zaken m.b.t. de seksualiteit, of strafrechtelijke gegevens worden bijzondere gegevens genoemd.
Het verwerken van bijzondere persoonsgegevens is in principe verboden, tenzij u zich op een wettelijke uitzondering kunt beroepen. Indien de gegevens worden verwerkt in het kader van gezondheidszorg, hulpverlening, of sociale dienstverlening is verwerking toegestaan, maar alleen als dat gebeurt door een beroepsbeoefenaar met een beroepsgeheim of andere persoon die aan geheimhouding is gebonden. Deze uitzondering geldt dus op basis van de Wet op de geneeskundige behandelovereenkomst (WGBO) ook voor complementaire of alternatieve zorgverleners die zijn geregistreerd bij RBCZ.
Indien dit in belang is van de begeleiding/behandeling, leg ik de volgende bijzondere persoonsgegevens vast:
- Godsdienst of levensovertuiging.
V Gezondheid.
V Zaken m.bt. seksutaliteit.
V Mogelijke strafrechtelijke gegevens zoals een melding bij Veiling Thuism Begeleiding door Jeugdzorg, geweldconflicten in het gezin.
Het Burger Service Nummer (BSN)
Opmerking over het vastleggen van het Burgerservicenummer (BSN):
Organisaties buiten de overheid mogen een Burgerservicenummer alleen gebruiken als dit in een wet is bepaald. En alleen voor het doel dat in de wet staat omschreven.
Zorgverleners mogen het BSN bijvoorbeeld gebruiken als zij werken in het kader van de Zorgverzekeringswet en de Wet langdurige zorg. Dat is niet het geval bij een complementair, of alternatief therapeut. Zij mogen dus het BSN niet vastleggen. De declaratie in het kader van de aanvullende zorgverzekering valt niet onder de Zorgverzekeringswet en is geen grond voor het gebruik van het BSN.
Als u het BSN wel vastlegt kunt u dit aangeven door een vinkje, of een kruisje in het hokje van uw keuze te plaatsen. Geef ook de reden van gebruik aan
- Ik leg het Burgerservicenummer niet vast.
Stap 2. de doeleinden vastleggen van de persoonsgegevens die worden verwerkt
In deze stap legt u vast waarom u de persoonsgegevens van stap 1 vastlegt.
We hebben een aantal algemene omschrijvingen alvast voor u geformuleerd omdat die voor de meeste RBCZ therapeuten gelden. Indien iets niet van toepassing is kunt u de tekst verwijderen en andere tekst toevoegen.
Doeleinden van de persoonsgegevens die door mij worden verwerkt.
Behalve de AVG, zijn de WGBO (Wet op de geneeskundige behandelingsovereenkomst) en de beroepscode van mijn beroepsvereniging en van het Register Beroepsbeoefenaren Complementaire Zorg (RBCZ) van toepassing op mijn werk. Deze zijn van invloed op de doeleinden waarvoor ik persoonsgegevens vastleg. Om die reden ga ik als volgt om met persoonsgegevens:
- Dossierplicht
Op grond van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) ben ik als zorgverlener verplicht een medisch dossier bij te houden.
- Bewaartermijn
De hoofdregel voor het bewaren van medische dossiers staat in de WGBO. Dat is 20 jaar, gerekend vanaf de datum van vastlegging van ieder afzonderlijk gegeven. De termijn kan langer zijn indien dit noodzakelijk is met het oog op de behandeling (bijvoorbeeld indien iemand een chronische ziekte heeft).
- Beroepsgeheim
Voor mij als therapeut geldt op grond van de beroepscode en het wettelijk geregeld medisch beroepsgeheim een geheimhoudingsplicht. Medewerkers van een psychosociale of complementaire praktijk zijn via arbeidscontract aan een geheimhoudingsplicht gebonden.
4. Minderjarigen
Volgens de patiëntenrechten uit de WGBO komen de wilsbekwame minderjarige tussen 12-16 jaar zelf en de ouder(s) met gezag toe. Ouder(s) van minderjarigen tot 16 jaar hebben medebeslissingsrecht over de behandeling. Ouders hebben recht op informatie en inzage in het dossier, wanneer dit gekoppeld is aan het medebeslissingsrecht voor de behandeling. Er bestaat een uitzondering op dit inzagerecht, namelijk wanneer de professional van mening is dat de uitoefening van bepaalde patiëntenrechten indruist tegen het belang van de patiënt. Wilsbekwame patiënten van 12 jaar en ouder zijn zelf bevoegd om toestemming te verlenen voor doorbreking van de geheimhouding.
Stap 3: Leg vast hoe de cliënt/patiënt geïnformeerd wordt
In deze stap legt u vast hoe informeert u de cliënt? U kunt dit aangeven door een vinkje, of een kruisje in het hokje van uw keuze te plaatsen. U kunt ook nog andere tekst toevoegen
V Ik stuur cliënten via een link naar de website over het dossierplicht.
V Ik stuur cliënten formulieren reeds toe vooraf aan de eerste afspraak.
V Ik informeer de cliënten mondeling over de dossierplicht tijdens de eerste afspraak.
V Deze informatie ligt vast in een schriftelijk behandeloverkomst in is toegevoegd aan het cliëntendossier.
V Op mijn website staat informatie over mijn werkwijze, de dossierplicht en de verplichtingen als gevogl van de WGBO, de WKKgz en de beroepscode.
V Indien kinderen jonger dan 16 jaar zijn, geven beide ouders schriftelijke toestemming tot de behandeling en daarmee tot het vastleggen van gegevens in het dossier. Het wordt toegevoegd aan het cliëntendosiier.
V Ik vraag bezoekers van mijn site hun naam, e-mailadres e.d. in te vullen.
V Ik leg uit waardoor deze persoongegevens zijn en wat ik ermee doe.
V Ik heb contact via e-mail en WhatsApp.
- Verschillende collega's hebben toegang tot het patiëntendossier. Zij vallen eveneens onder het beroepsgeheim en hanteren dezelfde regels.
Stap 4: Leg vast wie er daadwerkelijk werken met de cliëntdossiers?
In deze stap legt u vast wie daadwerkelijk werkt met de cliëntendossiers. Door een vinkje, of een kruisje in het hokje van uw keuze te plaatsen. legt u vast welke situaties op u van toepassing zijn. U kunt ook nog andere tekst toevoegen
V Ik ben ZZP-ér en ben de enige die toegang heeft tot de dossiers, Vanuit de beroepscode heb ik een beroepsgeheim.
- Er zijn ook medewerkers die toegang hebben tot de patiëntendossiers. Zij vallen eveneens ondere ht beroepsgeheim en hanteren dezelfde regels.
V Ik bespreek wel eens met collea's of intervisiegroepen casuïsteiken uit de praktijk Dat gaat altijd anoniem en onherkenbaar.
Stap 5: vastleggen hoe u de beveiliging van de persoonsgegevens (cliëntendossiers) heeft geregeld
U bent verplicht om passende technische en organisatorische maatregelen te nemen om het verlies van persoonsgegevens of onrechtmatige verwerking tegen te gaan.
U kunt hier aangeven hoe u de beveiliging heeft geregeld door een vinkje, of een kruisje in het vierkant te plaatsen. U kunt ook nog andere tekst toevoegen
V Ik werk met papiere cliëntendossiers. Deze worden in een afgesloten kast bewaard.
V Ik werk met een digitaal cliëntendossier. Dit is beveiligd door een wachtwoord.
V Ik werk met een digitaal cliëntendossier dat is versleuteld en beveiligd met een wachtwoord.
V Ik maak regelmatig een back-up van mijn cliëntbestanden.
V Bij een huisbezoek gebruik ik een afgesloten akteta waarvan ik de enige de code ken.
V Doordat ik regelmatig de laatste versie update van mijn software installeer zorg ik ervoor dat mijn software optimaal beveiligd is.
Stap 6: Leg vast welke externe personen of bedrijven toegang hebben tot de persoonsgegevens en daarmee tot de groep verwerkers behoren waarmee u een verwerkersovereenkomst moet afsluiten.
Er zijn situaties waarin er externe leveranciers zijn die de persoonsgegevens uit het cliëntendossier soms kunnen inzien. U kunt hierbij denken aan:
- de websitebouwer;
- de leveranciers van het programma van de digitale cliëntendossiers
- de drukker die adresbestanden krijgt om samen te voegen tot een brief, of etiket;
- de accountant, of het administratiebureau die de nota’s verzendt en administreert
- de software-aanbieder van de digitale nieuwsbrief
Met deze leveranciers moet u een z.g. verwerkersovereenkomst afsluiten.
Er is een voorbeeld opgenomen van een dergelijke overeenkomst als bijlage bij dit document.
Leveranciers waarmee ik een verwerkersovereenkomst heb afgesloten zijn:
- Sensitherapie: Kees de Vries en Cornel van Noppen: voor het toesturen van remedies en aanvullende middelen.
Stap 7: Leg vast hoe u omgaat met datalekken
In deze stap leest u eerst onderstaande tekst en daarna kunt u aangeven met een vinkje, of kruisje in het vierkant te plaatsen dat u conform deze beschrijving zult aan handelen
Toelichting op deze stap:
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (dus ook therapeuten) direct (binnen 72 uur na het datalek) een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben.
Soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.
Wanneer moet u een datalek melden?
U hoeft een datalek alleen te melden aan de Autoriteit Persoonsgegevens, als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als een aanzienlijke kans bestaat dat dit gebeurt. Dat is het geval als er bij het datalek ofwel persoonsgegevens verloren zijn gegaan (ze zijn voor u niet meer terug te halen en er was geen back-up) ofwel onrechtmatige verwerking van de persoonsgegevens niet is uit te sluiten (iemand heeft mogelijk toegang (gehad) tot de persoonsgegevens terwijl diegene daartoe niet bevoegd was en u hebt geen controle over wat diegene met de gegevens heeft gedaan of nog zal doen).
U hoeft de betrokkenen (de cliënten van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. Dat kan het geval zijn als er gegevens van gevoelige aard zijn gelekt (bijvoorbeeld gezondheidsgegevens) die door derden kunnen worden misbruikt.
Ik heb de uitleg begrepen en zal er naar handelen. Ik geef aan met een kruisje of vinkje in het vierkant wat in mijn situatie van toepassing is.
V Ik begrijp wanneer ik een datalek moet melden en zal daarnaar handelen.
V Ik heb afspraken gemaakt in de verwerkerovereenkomst mete leveranciers en ik word daardoor tijdig geïnformeered als er een datalek is geweest.
