Waarom worden gegevens opgenomen?
Osteopathie Praktijk Mijn Osteopaat is een praktijk waarbinnen osteopathie als dienstverlening wordt aangeboden. Om dat doel te kunnen uitvoeren dient Osteopathie Praktijk Mijn Osteopaat persoonsgegevens van patiënten te verwerken en gebruiken binnen de dagelijkse bedrijfsvoering.
De gegevens die worden gedocumenteerd zijn privacy gevoelig. Het gaat om persoonsgegevens, aan de hand waarvan de betrokkene zowel direct als indirect geïdentificeerd kan worden. Ten einde er zeker van te zijn dat met die gegevens wordt omgegaan op een wijze die verantwoord is en voldoet aan de privacy wetgeving zoals per 25 mei 2018 van kracht zal worden heeft Osteopathie Praktijk Mijn Osteopaat ervoor gekozen met het onderhavige protocol in kaart te brengen op welke wijze invulling wordt gegeven aan de AVG.
Het betreft hier registratie van persoonsgegevens met een gerechtvaardigd belang. Immers de patiënten melden zich zelf aan bij Osteopathie Praktijk Roosendaal. Zij willen graag geholpen worden door de osteopaat voor hun klachten.
Rechten van patiënten
Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de Verordening diverse rechten aan de patiënt. Onderstaande rechten kunnen tegen de verwerkingsverantwoordelijke worden uitgeoefend:
– Recht op informatie over de verwerkingen
– Recht op inzage in zijn gegevens
– Recht op correctie van de gegevens als deze niet kloppen
– Recht op verwijdering van de gegevens en “recht om vergeten te worden”
– Recht op beperking van de gegevensverwerking
– Recht op verzet tegen de gegevensverwerking
– Recht op overdracht van zijn gegevens
– Recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming
Een (voormalig) patiënt kan om bovenstaande gegevens verzoeken waarbij legitimering vereist is zodat Osteopathie Praktijk Mijn Osteopaat met voldoende zekerheid kan vaststellen dat degene die het verzoek doet daadwerkelijk de betrokkene is.
Osteopathie Praktijk Mijn Osteopaat zal binnen 1 maand na ontvangst van het verzoek de (voormalige) patiënt informeren over de uitvoering van het verzoek. Bij complexe, of een veelvoud aan verzoeken kan deze termijn verlengd worden met maximaal 2 maanden. De (voormalige) patiënt zal in een dergelijk geval van verlengde termijn van uitvoering van het verzoek daaromtrent geïnformeerd worden. De informatie wordt in principe schriftelijk verstrekt.
In sommige gevallen mag Osteopathie Praktijk Mijn Osteopaat weigeren tot uitvoering van het verzoek om gegevensverstrekking over te gaan, dan wel daarvoor kosten in rekening brengen. Het moet dan gaan om de situatie dat een buitensporig of ongegrond verzoek wordt gedaan. (bijv. meerdere verzoeken achter elkaar om dezelfde gegevens. Dan wel wanneer sprake is van een van de beschermende noodzakelijkheidscriteria welke de AVG kent zoals bijvoorbeeld in het kader van een (strafrechtelijk) onderzoek naar de (voormalig) patiënt). Indien Osteopathie Praktijk Mijn Osteopaat weigert aan het verzoek te voldoen, zal Osteopathie Praktijk Mijn Osteopaat zulks motiveren en de betrokkene wijzen op het klachtrecht bij de toezichthouder AVG.
Osteopathie Praktijk Mijn Osteopaat realiseert zich dat indien zij een schriftelijke beslissing neemt in het kader van de uitoefening van de rechten van de betrokkene, dit dan geldt als een besluit inde zin van de Algemene wet bestuursrecht.
In sommige gevallen dient Osteopathie Praktijk Mijn Osteopaat de betrokken patiënt uit zichzelf te informeren. Dit is het geval indien:
– gegevens buiten de betrokkene om worden verkregen
– gegevens voor een ander doel gebruikt gaan worden dan waar de gegevens oorspronkelijk voor waren afgegeven. Osteopathie Praktijk Mijn Osteopaat zal in die gevallen binnen 1 maand betrokkene informeren.
– De behandeling van de patiënt eindigt zal Osteopathie Praktijk Mijn Osteopaat de persoonsgegevens nog enige tijd in haar systeem bewaren. De wet Wgbo bepaalt dat medische dossiers 15 jaar moeten worden bewaard. Aan die termijn zal Osteopathie Praktijk Mijn Osteopaat zich houden. De dossiers zullen na 15 jaar vernietigd worden. Binnen het dossier bevinden zich tevens gegevens van niet medische aard.
– teneinde er zeker van te zijn dat de (voormalig) patiënt een volledig beeld heeft van de wijze waarop met diens persoonsgegevens wordt omgegaan en met welk doel en onder welke grondslag, zal iedere betrokken bij registratie toegang krijgen tot deze privacy-statement en de hierbij behorende documenten. Osteopathie Praktijk Mijn Osteopaat zal deze gegevens op de website plaatsen en iedere betrokkene op die vindplaats wijzen.
Register van verwerkingsactiviteiten
Osteopathie Praktijk Mijn Osteopaat verwerkt persoonsgegevens van patiënten. Ten aanzien van al deze vormen van verwerkingen van persoonsgegevens zal Osteopathie Praktijk Mijn Osteopaat een register van verwerkingsactiviteiten bijhouden. Daarin worden alle soorten van persoonsgegevens die verwerkt zullen worden opgenoemd.
In het geval de patiënt een klacht indient tegen de osteopaat, zullen die gegevens eveneens worden verwerkt door Osteopathie Praktijk Mijn Osteopaat.
DPIA (Data protection impact assessment)
DPIA staat voor gegevensbeschermingseffect-beoordeling. Een DPIA is alleen verplicht wanneer sprake is van gegevensverwerking welke waarschijnlijk een oog privacy risico oplevert. Binnen de AVG worden 3 situaties besproken wanneer sprake is van verhoogd risico:
– systematisch en uitvoerig persoonlijke aspecten evalueren
– op grote schaal bijzondere persoonsgegevens verwerken
– op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied
Naast de criteria uit de AVG zelf heeft de werkgroep van Europese privacy-toezichthouders een lijst met 9 criteria opgesteld om nader te bezien of een DPIA nodig is. De criteria die op osteopaten van toepassing kunnen zijn:
– Gevoelige gegevens verwerking
– Grootschalige gegevens verwerking
– Gegevensverwerking over kwetsbare personen
De privacy-toezichthouders zien verwerkingen van bijzondere persoonsgegevens door individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen DPIA uit te voeren. Het ligt voor de hand dat de gegevensverwerking door de individuele osteopaat aldus evenmin de uitvoering van een DPIA behoeft. Osteopathie Praktijk Mijn Osteopaat zal zodoende geen DPIA uitvoeren.
Evenwel is Osteopathie Praktijk Mijn Osteopaat zich ervan bewust dat sprake is van bijzondere persoonsgegevens. De inhoud van een medisch dossier is gevoelig voor de betrokkene en vergt een grote mate van vertrouwelijkheid. Osteopathie Praktijk Mijn Osteopaat zal zich zodoende inzetten die gegevens vertrouwelijk te laten blijven.
De gegevens zoals Osteopathie Praktijk Mijn Osteopaat registreert zijn slechts bedoeld voor intern gebruik. De persoonsgegevens worden gebruikt om te waarborgen dat de osteopaat de patiënte zo goed mogelijk van dienst kan zijn. Van dienst zijn in het verhelpen van klachten en van dienst zijn door het mogelijk maken dat de ziektekostenverzekering de kosten zoveel mogelijk vergoedt.
Op termijn zal de Autoriteit Persoonsgegevens (AP) een lijst van verwerkingen publiceren waar een DPIA voor verplicht is. Zodra die lijst er is, zal Osteopathie Praktijk Mijn Osteopaat haar verwerking van persoonsgegevens opnieuw tegen het licht houden om te bezien of nog nadere maatregelen nodig zijn.
Privacy by design & privacy by default
Privacy door ontwerp en door standaardinstellingen voor producenten. Osteopathie Praktijk Mijn Osteopaat is producent van een dienst, welke wordt ondersteund door de verwerking van persoonsgegevens. Zodoende houdt Osteopathie Praktijk Mijn Osteopaat bij de ontwikkeling en uitwerking van die dienst rekening met het recht op bescherming van persoonsgegevens. Met inachtneming van de stand van de techniek ziet Osteopathie Praktijk Mijn Osteopaat erop toe dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.
Osteopathie Praktijk Mijn Osteopaat let daarbij op:
– het minimaliseren van de verwerking van persoonsgegevens
– slechts het BSN nummer noteren, doch geen kopie maken van het legitimatiebewijs.
– transparantie m.b.t. de functies en de verwerking van persoonsgegevens
– het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking
– beveiligingskenmerken creëren en verbeteren
Functionaris voor de gegevensbescherming
Net als voor de DPIA geldt dat de individuele praktijk van een osteopaat door de AP niet wordt gezien als een grootschalige verwerker. Het instellen van een FG is ondanks dat het gaat om bijzondere persoonsgegevens niet noodzakelijk. Daarbij stipt Osteopathie Praktijk Mijn Osteopaat nogmaals aan dat in deze sprake is van het verwerken van persoonsgegevens op verzoek van de patiënt, nu deze een zo goed mogelijke behandeling wenst. Osteopathie Praktijk Mijn Osteopaat verwerkt geen persoonsgegevens voor commerciële doeleinde. Patiënten worden niet gevolgd door Osteopathie Praktijk Mijn Osteopaat aan de hand van de persoonsgegevens.
Osteopathie Praktijk Mijn Osteopaat benadrukt opnieuw zich te realiseren persoonsgegevens te verwerken die een hoge mate van vertrouwelijkheid kennen. Osteopathie Praktijk mijn Osteopaat meent echter alle maatregelen te hebben genomen, teneinde erop toe te zien dat de persoonsgegevens van patiënten niet voor andere doeleinden gebruikt worden dan bedoeld is.
Meldplicht Datalekken
Een datalek in de zin van de AVG is een inbreuk in verband met persoonsgegevens. Het is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Het is voor de kwalificatie als ‘inbreuk in verband met persoonsgegevens’ niet relevant dat er boze opzet in het spel is. Naast het ‘hacken’ van persoonsgegevens, kan ook gedacht worden aan gegevens die op een verloren laptop staan of een afgesloten website met persoonsgegevens die per ongeluk openstaat. Een inbreuk op de beveiliging houdt in dat zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Er is niet uitsluitend sprake van een dreiging, of van een tekortkoming in de beveiliging (ook wel aangeduid als een beveiligingslek) die zou kunnen leiden tot een beveiligingsincident. Er heeft zich daadwerkelijk een beveiligingsincident voorgedaan, waarbij de getroffen preventieve maatregelen niet toereikend waren om dit te voorkomen.
Osteopathie Praktijk Mijn Osteopaat zal ieder datalek aan de AP melden, tenzij onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Osteopathie Praktijk Mijn Osteopaat zal binnen 72 uur na ontdekking de AP in kennis stellen, ook indien nog niet alle informatie voorhanden is.
Bovendien zal Osteopathie Praktijk Mijn Osteopaat het datalek onverwijld melden aan de betrokkenen, indien sprake is van een hoog risico door de inbreuk op de persoonsgegevens. Voor de vraag of sprake is van een hoog risico zal Osteopathie Praktijk Mijn Osteopaat eerst nader onderzoek daar naar mogen doen.
Het datalek zal door Osteopathie Praktijk Mijn Osteopaat gedocumenteerd worden in een overzicht van datalekken die zich binnen Osteopathie Praktijk Mijn Osteopaat hebben voorgedaan. Niet alleen zullen de feiten omtrent de inbreuk en de gevolgen daarvan in dit overzicht worden gedocumenteerd, doch eveneens de genomen corrigerende maatregelen.
Verwerkersovereenkomsten
Osteopathie Praktijk Mijn Osteopaat maakt geen gebruik van derden voor het verwerken van de persoonsgegevens in een patiënten-beheerplatform. Osteopathie Praktijk Mijn Osteopaat maakt wel gebruik van een accountancykantoor. Deze verwerkt geen gegevens van patiënten.
Leidende Toezichthouder
Osteopathie Praktijk Mijn Osteopaat dient te bepalen onder welke toezichthouder zij valt. Osteopathie Praktijk Mijn Osteopaat heeft 1 vestiging te Roosendaal en 1 vestiging te Leuven. De vestiging in Roosendaal is op Nederlandse bodem. De werkzaamheden van Osteopathie Praktijk Mijn Osteopaat rusten op Nederlands grondgebied. De Leidende toezichthouder voor Osteopathie Praktijk Mijn Osteopaat te Roosendaal is dus de Autoriteit Persoonsgegevens te Nederland.
Toestemming
Voor de verwerking van bepaalde gegevens is toestemming nodig van de betrokkene. Dat is het geval indien het gaat om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Ook het nationaal identificatienummer (BSN) is een zaak waarbij expliciete toestemming van de betrokkene nodig is, indien dat nummer wordt verwerkt. Osteopathie Praktijk Mijn Osteopaat verwerkt het BSN nummer van haar patiënten nu osteopaten verplicht zijn dit nummer te gebruiken in correspondentie met andere zorgverleners. Het verwerken van gegevens over de gezondheid betreft eveneens een bijzondere categorie gegevens waarvan voor de verwerking toestemming nodig is van de patiënt. Het heeft echter de sterke voorkeur het verwerken van alle persoonsgegevens op voorhand met patiënten te bespreken en bij die verwerking expliciet te vermelden of de patiënt toestemming heeft gegeven voor die verwerking.
Osteopathie Praktijk Mijn Osteopaat zal op de volgende wijze invulling geven aan deze benodigde toestemming. Naast het opstellen van een behandelplan zal bij de intake van een patiënt die nog niet bekend is met de werkwijze van Osteopathie Praktijk Mijn Osteopaat een formulier worden overhandigd met daarop informatie over de tarieven, klachtenprocedure etc. Tevens zal een toestemmingsformulier worden overhandigd dat de patiënt dient te ondertekenen. Door ondertekening geeft de patiënt expliciet toestemming voor het verwerken van persoonsgegevens in het kader van de behandelingen.
Slotwoord
Osteopathie Praktijk Mijn Osteopaat gaat ervan uit met dit privacybeleid aan alle vereisten van de nieuwe AVG regels te voldoen. Osteopathie Praktijk Mijn Osteopaat is zich ervan bewust dat sprake is van nieuwe regelgeving en dat zulks inhoudt dat nog niet alle facetten zich even makkelijk laten uiteen zetten. Osteopathie Praktijk Mijn Osteopaat zal de aanpassingen, beslissingen en verder nieuws vanuit de AP volgen, opdat tijdige maatregelen genomen kunnen worden om deze beleidsregels alsnog verder aan te scherpen, of bij te snijden.