Inhoud
Inleiding
Artikel 1: Begripsbepalingen
Artikel 2: Reikwijdte
Artikel 3: Doel reglement
Artikel 4: Vertegenwoordiging
Artikel 5: Voorwaarden voor rechtmatige verwerking
Artikel 6: Verwerking persoonsgegevens (niet zijnde zorggegevens)
Artikel 7: Specifieke regels voor de verwerking van zorggegevens
Artikel 8: Informatieplicht
Artikel 9: Recht op inzage en afschrift van opgenomen persoonsgegevens
Artikel 10: Recht op wijziging of verwijdering van opgenomen persoonsgegevens
Artikel 11: Verstrekking en uitwisseling van persoonsgegevens
Artikel 12: Beveiliging
Artikel 13: Bewaren van gegevens
Artikel 14: Datalekken
Artikel 15: Klachten/ Bezwaar
Inleiding
Contactgegevens Broeder en Zuster Zorg
Adres : Kapitein Hatterasstraat 23
Postcode en Plaats : 5015 BB Tilburg
Telefoon : 088-220600
Email : info@broederenzusterzorg.nl
Directie : Soumia Ozakar
Functionaris Gegevensbeheer : Tonny Gajadin
Email : t.gajadin@broederenzusterzorg.nl
Artikel 1: Begripsbepalingen
1. Wet AVG: Wet Algemene verordening gegevensbescherming;
2. Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of
geestelijke gesteldheid van klanten, verzameld door een beroepsbeoefenaar van de gezondheidszorg in
het kader van zijn beroepsuitoefening;
3. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke
persoon;
4. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot
persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken,
wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of
enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals
het afschermen, uitwissen of vernietigen van gegevens;
5. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens;
6. Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;
7. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens
gecentraliseerd of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde
criteria toegankelijk is en betrekking heeft op verschillende personen;
8. Verantwoordelijke: de natuurlijke persoon, rechtspersoon of het bestuursorgaan dat het doel van en
de middelen voor de verwerking van persoonsgegevens vaststelt;
9. Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan
zijn rechtstreeks gezag te zijn onderworpen;
10. Klant: degene op wie een persoonsgegeven betrekking heeft;
11. Derde: ieder, niet zijnde de klant, de klant, de verantwoordelijke, de bewerker, of een persoon die
onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om
persoonsgegevens te verwerken;
12. Ontvanger: degene aan wie de persoonsgegevens worden versterkt;
13. Toestemming van de klant: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de
klant aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;
Dit reglement is van toepassing op zowel geautomatiseerde als handmatige verwerking van medische en
niet-medische persoonsgegevens binnen Broeder en Zusterzorg.
Het doel van dit reglement is het voldoen aan- en een praktische uitwerking geven van de bepalingen van
de wet Algemene verordening gegevensbescherming, AVG. Dit reglement is van toepassing binnen
Broeder en Zuster zorg en heeft betrekking op alle verwerkingen van persoonsgegevens van cliënten en
medewerkers.
Artikel 4: Vertegenwoordiging
1) Indien de klant jonger is dan 12 jaar treden de ouders, die het ouderlijke gezag uitoefenen dan wel de
voogd op in plaats van de klant zelf.
2) Hetzelfde geldt voor de klant die de leeftijd van 12 jaar heeft bereikt en niet in staat kan worden
geacht tot een redelijke waardering van zijn belangen ter zake.
3) Indien de klant in de leeftijdscategorie van 12 tot 16 valt en in staat is tot een redelijke waardering van
zijn belangen ter zake, treden naast de klant zelf diens ouders op.
4) Indien de klant ouder is dan 18 jaar en niet in staat kan worden geacht tot een redelijke waardering
van zijn belangen ter zake, treedt in onderstaande volgorde voor hem als vertegenwoordiger op:
a. de curator of mentor indien klant onder curatele staat of ten behoeve van hem het mentorschap is
ingesteld;
b. de persoonlijk gemachtigde indien de klant deze schriftelijk heeft gemachtigd, tenzij deze persoon
niet optreedt;
c. de echtgenoot of andere levensgezel van klant, tenzij deze persoon dat niet wenst of ontbreekt;
d. een kind, broer of zus van klant.
5) Echter ook indien klant de leeftijd van 18 jaar heeft bereikt en wel in staat is tot een redelijke waardering
van zijn belangen ter zake, heeft hij de mogelijkheid een andere persoon schriftelijk te machtigen in
diens plaats als vertegenwoordiger te treden.
6) Indien een vertegenwoordiger optreedt namens klant komt de verantwoordelijke zijn verplichtingen die
voortvloeien uit de wet en dit reglement na jegens deze vertegenwoordiger, tenzij die nakoming niet
verenigbaar is met de zorg van een goed verantwoordelijke
Artikel 5: Voorwaarden voor rechtmatige verwerking
1. Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige
wijze verwerkt.
2. Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
doeleinden verzameld, als omschreven bij artikel 6, punt 1.
3. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden
waarvoor ze zijn verkregen.
4. De verantwoordelijke is verantwoordelijk voor het goed functioneren van het verwerkingsproces van
persoonsgegevens. Zijn handelwijze met betrekking tot de verwerking van de persoonsgegevens en de
verstrekking van gegevens wordt bepaald door dit reglement. De verantwoordelijke is aansprakelijk
voor de eventuele schade als gevolg van het niet naleven van dit reglement.
5. De verantwoordelijke is niet aansprakelijk indien hij kan aantonen dat hem aangaande de betreffende
onrechtmatigheid niet kan worden toegerekend.
1. Persoonsgegevens mogen slechts worden verwerkt indien:
a) de klant voor de verwerking toestemming heeft verleend;
b) verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de klant partij is;
c) de verwerking noodzakelijk is om een wettelijke verplichting na te komen;
d) de verwerking noodzakelijk is ter vrijwaring van een evident belang van de klant;
e) de verwerking noodzakelijk is voor een goede vervulling van een publiekrechtelijke taak;
f) de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de
verwerker of een derde aan wie de gegevens worden verstrekt, tenzij het belang van de
persoonlijke levenssfeer van degene van wie de gegevens worden verwerkt zwaarder weegt.
2. Welke persoonsgegeven worden vastgelegd door Broeder en Zuster Zorg:
a) Naam adres woonplaats
b) BSN en WID-nummer
c) Telefoonnummer(s)
d) Polis gegevens zorgverzekeraar of gegevens WMO/WLZ
e) Verslaglegging, rapportage, indicatie, evaluatie en documenten ten behoeven van een
verantwoorde en kwalitatieve uitvoering van de zorgverlening
Artikel 7: Specifieke regels voor de verwerking van zorggegevens
1. Voor verwerking van zorggegevens is de uitdrukkelijke toestemming van klant vereist, tenzij het een
geval betreft als genoemd in lid 2 of lid 6 of indien verstrekking noodzakelijk is ter uitvoering van een
wettelijk voorschrift.
2. Zonder toestemming van klant kunnen – met inachtneming van lid – door de verantwoordelijke
persoonsgegevens betreffende de gezondheid worden verstrekt aan:
– Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke
dienstverlening voor zover dat noodzakelijk is met het oog op een goede behandeling of verzorging
van klant, dan wel het beheer van de betreffende instelling;
– Verzekeraars voor zover dat noodzakelijk is voor de beoordeling van het door de
verzekeringsinstelling te verzekeren risico met uitsluiting van lid 4 en de klant geen bezwaar heeft
gemaakt, dan wel voor zover dat noodzakelijk is voor de uitvoering van de verzekerings-
overeenkomst.
3. De persoonsgegevens worden alleen verstrekt aan personen die uit hoofde van ambt, beroep of
wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.
4. Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de
gegevensverwerking van de beroepsbeoefenaar die deze gegevens heeft verzameld of diens
waarnemer evenals de verantwoordelijke en de bewerker voor zover dat met het oog op een goede
behandeling of verzorging noodzakelijk is.
5. Persoonsgegevens betreffende erfelijke eigenschappen mogen alleen worden verstrekt voor zover
deze gegevens uitsluitend betrekking hebben op de klant die deze gegevens zelf heeft verwerkt, tenzij
een zwaarwegend geneeskundig belang prevaleert.
6. Indien persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijze niet herleidbaar zijn, kan
de verantwoordelijke besluiten deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn
met het doel van de gegevensverstrekking.
7. Persoonsgegevens kunnen alleen dan zonder toestemming van klant worden verstrekt ten behoeve
van wetenschappelijk onderzoek en statistiek indien:
a) Het onderzoek een algemeen belang dient, en
b) De verwerking voor het betreffende onderzoek of statistiek noodzakelijk is, en
c) Het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredig grote inspanning
kost, en
d) Bij de uitvoering is voorzien in dusdanige waarborgen dat de persoonlijke levenssfeer van klant
niet onevenredig wordt geschaad.
8. De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, politieke
gezindheid, gezondheid, seksuele leven en betreffende het lidmaatschap van een vakvereniging is
verboden. Tenzij de verwerking geschiedt door Broeder en Zusterzorg in het kader van haar
hulpverlenende taak door verwerkers, voor zover dat met het oog op een goede behandeling of
verzorging van de klant, noodzakelijk is. In dergelijke situatie wordt vooraf met de klant overlegd en
om toestemming gevraagd.
9. Bijzondere persoonsgegevens worden verwerkt door personen die uit hoofde van ambt, beroep,
wettelijk voorschrift of krachtens overeenkomst tot geheimhouding zijn verplicht.
10. Onverminderd eventuele wettelijke voorschriften ter zake, hebben slechts toegang tot de
persoonsgegevens de door de beheerder aangewezen personen van Broeder en Zusterzorg en de
beroepsbeoefenaar die de gegevens verwerkt of diens waarnemer.
Artikel 8: Informatieplicht
1. De verwerker zorgt ervoor dat de klant wordt geïnformeerd over de identiteit van de verwerkende
instantie en het doel van de verwerking. In de praktijk zal de betrokken verwerker de klant mondeling
of via een folder informeren en vergewist hij of zij zich ervan dat de klant de informatie begrijpt.
2. De verwerker zorgt ervoor dat de klant wordt geïnformeerd over de persoonsgegevens die worden
verwerkt en met welk doel, wat er met de gegevens gebeurt en wie daarvoor verantwoordelijk is en
over het recht van de klant om bezwaar te maken tegen de gegevensverwerking op grond van
bijzondere persoonlijke omstandigheden.
De verwerker dient zich ervan te overtuigen dat de klant over deze informatie kan beschikken.
3. Indien de klant bezwaar maakt tegen de gegevensverwerking op grond van bijzondere
omstandigheden, wordt het bezwaar binnen vier weken na ontvangst beoordeeld.
Artikel 9: Recht op inzage en afschrift van opgenomen persoonsgegevens
1. De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende
verwerkte gegevens (recht op inzage);
2. De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier
weken, plaatsvinden respectievelijk worden verstrekt;
3. Recht op inzage kan worden geweigerd of beperkt als het een onevenredig nadeel voor een derde met
zich meebrengt (bijvoorbeeld wanneer zich in het dossier ook persoonsgegevens van familieleden
bevinden). Een besluit tot weigering of beperking van inzage en afschrift wordt genomen door de
directie van Broeder en Zuster zorg.
Artikel 10: Recht op wijziging of verwijdering van opgenomen persoonsgegevens
1. De klant kan de verantwoordelijke verzoeken de opgenomen persoonsgegevens te verbeteren, aan te
vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de
doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met
een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen.
2. De verantwoordelijke bericht de verzoeker binnen vier (4) weken na ontvangst van het verzoek
schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een gehele of gedeeltelijke weigering is steeds
met grondige redenen onderbouwd.
3. De verantwoordelijke verwijdert en vernietigt de gegevens binnen drie (3) maanden na een daartoe
strekkend verzoek van klant, tenzij redelijkerwijze aannemelijk is dat de bewaring van aanmerkelijk
belang is voor een ander dan klant, alsmede voor zover bewaring vereist is op grond van een wettelijk
voorschrift.
Artikel 11: Verstrekking en uitwisseling van persoonsgegevens
1. De verstrekking en uitwisseling van persoonsgegevens is gebonden aan (wettelijke) regels. Op grond
van AVG hebben medewerkers van Broeder en Zusterzorg een beroepsgeheim of
geheimhoudingsplicht. Persoonsgegevens worden in beginsel alleen met toestemming van de klant
aan derden verstrekt.
2. Gegevens uit het klantdossier kunnen met veronderstelde toestemming worden gedeeld met
rechtstreeks bij de behandeling betrokken medebehandelaars voor zover verstrekking van de
gegevens noodzakelijk is voor een goede behandeling.
Daarnaast kunnen er bijzondere omstandigheden zijn waarin de zwijgplicht kan worden doorbroken
wanneer daarvoor een evident belang aanwezig is. Er moet in dat geval voldaan zijn aan de volgende vijf
voorwaarden:
1. Is het mogelijk om toestemming van de klant te verkrijgen voor de gegevensverstrekking en zo
niet, is alles in het werk gesteld om eerst toestemming van de klant te verkrijgen;
2. Er is een evident belang aanwezig, namelijk een ernstig gevaar voor de gezondheid van de
klant of anderen (of de vrees daarvoor) dat het doorbreken van de zwijgplicht rechtvaardigt;
3. Door het doorbreken van de zwijgplicht wordt het ernstige gevaar voor de gezondheid van
klant of anderen, voorkomen of beperkt;
4. Er is geen andere weg dan het doorbreken van het geheim om het ernstige gevaar voor de
gezondheid van de klant of anderen te voorkomen of te beperken;
5. Alleen de noodzakelijke informatie wordt verstrekt.
Artikel 12: Beveiliging
De verwerker draagt zorg voor de naleving van de wet en het reglement en treft daartoe
voorzieningen van technische en organisatorische aard ter beveiliging van de gegevens tegen verlies
of aantasting en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.
Artikel 13: Bewaren van gegevens
1. Met inachtneming van eventuele wettelijke voorschriften worden de in het dossier opgenomen
gegevens omtrent de gezondheid van de klant gedurende 20 jaar bewaard, te rekenen vanaf de dag
dat ze zijn vervaardigd of zoveel langer als redelijkerwijs uit de zorg van een goed verwerker
voortvloeit en worden daarna verwijderd en vernietigd.
2. Indien gegevens, onjuist dan wel onvolledig zijn opgenomen, draagt de verantwoordelijke verwerker
zorg voor een zo spoedig mogelijke verwijdering, verbetering of aanvulling van die gegevens. De
verwijderde gegevens worden vernietigd.
3. De verantwoordelijke stelt vast gedurende welke termijn de opgenomen persoonsgegevens worden
bewaard. Daarbij geldt het volgende als richtlijn:
– Gegevens van niet medische aard worden niet langer bewaard dan noodzakelijk is voor
verwezenlijking van de doeleinden waarvoor zij zijn verwerkt, echter geanonimiseerde bewaring
voor uitsluitend historische, statistische of wetenschappelijke doeleinden is toegestaan.
4. Indien de bewaartermijn van de zorggegevens is verstreken worden de desbetreffende medische
gegevens binnen een termijn van drie (3) maanden verwijderd.
5. Bewaartermijn Persoonsgegevens:
Processen | Maximale bewaartermijn |
Sollicitatie procedure | 4 weken |
Indiensttreding arbeidsovereenkomst | 2 jaar |
Verzuimbeheer | 2 jaar |
Logging internetgebruik, netwerk | 6 maanden |
Gerechtelijke procedures | 2 jaar |
Cliënten administratie | 20 jaar |
Processen | Minimale bewaartermijn |
Salarisafspraken en arbeidsvoorwaarden | 7 jaar |
Loonbelasting en identiteitsbewijzen | 5 jaar |
Debiteuren- en crediteurenadministratie | 7 jaar |
Artikel 14: Datalekken
Vanaf 1 januari 2016 is de meldplicht datalekken van kracht. Deze meldplicht houdt in dat zorgorganisaties
een datalek van persoonsgegevens verplicht moeten melden aan de Autoriteit Persoonsgegevens
(voorheen Autoriteit Persoonsgegevens) en in sommige gevallen ook aan de betrokken personen.
Bij een datalek vallen gegevens (data) in handen van derden die daar geen toegang toe zouden mogen
hebben. Wanneer er sprake is van een datalek maakt Broeder en Zuster Zorg vervolgens een afweging of
daarvan een melding gemaakt moet worden bij de Autoriteit Persoonsgegevens.
1. Allereerst Broeder en Zuster Zorg bekijkt of er sprake is van een datalek van persoonsgegevens.
Wanneer het alleen om gegevens van de organisatie gaat hoeft er namelijk niet gemeld te worden.
Bij persoonsgegevens moet er sprake zijn van een kans op nadelige gevolgen voor de bescherming
van deze persoonsgegevens.
2. Broeder en Zuster Zorg kijkt nog om wat voor soort gegevens het gaat. Er moet een melding
gemaakt worden als er sprake is van veel gegevens en/of er sprake is van gevoelige informatie.
Bijvoorbeeld data over iemands geloof, financiële gegevens, medische gegevens, psychologische
gegevens, wachtwoorden en gegevens die gebruikt kunnen worden voor identiteitsfraude (zoals
biometrische gegevens, BSN-nummer). Melden bij de Autoriteit Persoonsgegevens wordt gedaan
binnen 72 uur.
3. Broeder en Zuster Zorg maakt een aparte afweging voor het melden aan de betrokken personen.
Wanneer er melding gedaan wordt aan de betrokken personen moet er ook altijd een melding
doen aan de Autoriteit Persoonsgegevens. Een melding aan de betrokken personen is nodig als er
misbruik gemaakt kan worden van de gegevens. Bijvoorbeeld wanneer medische gegevens van een
beroemd persoon gelekt zijn en deze mogelijk gepubliceerd zullen worden. De persoon kan zich
hier dan goed op voorbereiden en eventueel maatregelen nemen. Broeder en Zuster Zorg meldt
dit dan ook zo snel mogelijk!
Artikel 15: Klachten/ Bezwaar
Indien klant van mening is dat de bepalingen van dit reglement niet of onvoldoende worden nageleefd of
een andere reden tot klagen heeft, kan hij zich wenden tot:
1. De verantwoordelijke; Tonny Gajadin
2. De leidinggevende van de verantwoordelijke, waarbij de interne klachtenregeling van Broeder en
Zuster Zorg van toepassing is;
3. Het Autoriteit Persoonsgegevens, met een verzoek een onderzoek in te stellen of de wijze van
gegevensverwerking door de verantwoordelijke in overeenstemming is met de Wet bescherming
persoonsgegevens, dan wel gebruik te maken van de AVG neergelegde beroepsmogelijkheden.
( https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons)