Bijlage 1 Privacyreglement Regionale Dienst Openbare Gezondheidszorg Hollands Midden Juli 2018
Inleiding
Binnen Regionale Dienst Openbare Gezondheidzorg Hollands Midden (RDOG HM) wordt veel gewerkt met (bijzondere) persoonsgegevens van cliënten, diens wettelijk vertegenwoordigers, medewerkers en (keten)partners. Deze gegevens worden verzameld om de aan RDOG HM opgedragen (wettelijke) taken op een goede wijze te kunnen uitvoeren. Een betrokkene moet erop kunnen vertrouwen dat RDOG HM zorgvuldig en veilig met diens persoonsgegevens omgaat. Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen verschillende eisen aan de bescherming van gegevens en privacy. RDOG HM is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen te nemen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.
RDOG HM geeft middels dit reglement een invulling aan hoe wordt omgegaan met privacy binnen de organisatie en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit reglement is van toepassing op de gehele organisatie, alle processen, sectoren, onderdelen, objecten en gegevensverzamelingen van RDOG HM. Voor de verwerking van persoonsgegevens van medewerkers van RDOG HM is de ‘Regeling gegevensbescherming medewerkers RDOG HM’ van toepassing.
In (beleids)documenten kunnen bepalingen uit dit reglement nader uitgewerkt zijn, bv. op welke wijze betrokkenen hun rechten ten aanzien van de verwerkingen kunnen uitoefenen.
Wettelijk kader voor de verwerking van persoonsgegevens
RDOG HM is een organisatie met vele verschillende (wettelijke) taken al dan niet in opdracht van de gemeenten in de regio Hollands Midden, waarbij per taak verschillende persoonsgegevens verwerkt kunnen worden. RDOG HM is verplicht waarborgen te geven die bij deze verwerkingen nodig zijn. Daarbij dient zij rekening te houden met de bepalingen uit de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) maar ook onder meer met het bepaalde in de Wet Publieke Gezondheid (Wpg), de Wet op de geneeskundige behandelingsovereenkomst (Wgbo), de Wet maatschappelijke ondersteuning 2015 (Wmo), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz), de Wet op de beroepen in de individuele gezondheidszorg (Wet BIG) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
RDOG HM neemt bovenstaand wettelijk kader en de andere op RDOG HM 1 van toepassing zijnde privacy wet- en regelgeving in dit reglement in acht.
Algemene bepalingen
-
1.1
PersoonsgegevensAlle gegevens die informatie kunnen verschaffen over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’). Denk hierbij aan naam, adres, woonplaats, geboortedatum en e-mailadres. Anonieme persoonsgegevens zijn geen persoonsgegevens en vallen niet onder dit reglement.
-
1.2
Bijzondere persoonsgegevensPersoonsgegevens waaruit iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken. Daarnaast zijn bijzondere persoonsgegevens genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
-
1.3
VerwerkingEen verwerking is alles wat je met een persoonsgegeven doet, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
-
1.4
BetrokkeneDe persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.
-
1.5
Wettelijk vertegenwoordigerDe ouder(s) of voogd(en) die het gezag uitoefen(t) en over een minderjarige, de mentor of curator van de betrokkene die niet in staat is tot een redelijke waardering van diens belangen ter zake.
-
1.6
VerwerkingsverantwoordelijkeEen natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
-
1.7
VerwerkerDe persoon of organisatie die de persoonsgegevens verwerkt in opdracht en ten behoeve van een andere persoon of organisatie.
-
1.8
Autoriteit PersoonsgegevensDe conform artikel 51 AVG ingestelde onafhankelijke overheidsinstantie dat tot taak heeft het handhaven van de bepalingen uit de privacy wet- en regelgeving.
-
1.9
OntvangerEen natuurlijke persoon of een rechtspersoon, een overheidsorganisatie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt.
-
1.10
BestandEen gestructureerde verzameling persoonsgegevens die via een bepaalde logica toegankelijk is, bv. een archiefkast of verzameling naamkaartjes.
-
1.11
Geautomatiseerde verwerkingVerwerkingen die worden uitgevoerd met behulp van computers, smartphones, tablets, servers, databases etc.
-
2.1
Dit reglement is van toepassing op een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens door RDOG HM of wanneer persoonsgegevens door RDOG HM zijn opgenomen in een bestand of daartoe bestemd zijn en die verband houden met de aan RDOG HM opgedragen (wettelijke) taken.
-
2.2
Dit reglement is niet van toepassing op de verwerking van persoonsgegevens van medewerkers van RDOG HM. Voor medewerkers is het ‘Reglement bescherming persoonsgegevens medewerkers RDOG HM’ van toepassing.
-
3.
Verwerkingsverantwoordelijke
De bestuursorganen van RDOG HM zijn allemaal verantwoordelijken voor de verwerkingen die door of namens RDOG HM worden uitgevoerd. De bestuursorganen van RDOG HM zijn het algemeen bestuur, het dagelijks bestuur en de voorzitter van het dagelijks bestuur.
-
4.
Toegang tot persoonsgegevens
Directe toegang tot de persoonsgegevens van een betrokkene hebben alleen die personen die werkzaam zijn voor RDOG HM en die belast zijn met het uitvoeren van een betreffende (wettelijke) taak van RDOG HM of van de verwerker. Deze personen hebben uitsluitend toegang voor zover noodzakelijk voor de uitvoering van hun taak. Anderen dan de hiervoor genoemde personen hebben slechts toegang indien een wettelijk voorschrift RDOG HM verplicht tot het verlenen van toegang.
-
5.
Vertegenwoordiging
Indien persoonsgegevens worden verwerkt van minderjarigen jonger dan zestien jaar of van een betrokkene die niet in staat kan worden geacht tot een redelijke waardering van diens belangen ter zake, treden de wettelijke vertegenwoordigers in de plaats van de betrokkene, tenzij bij of krachtens de wet anders is bepaald.
Verwerking van persoonsgegevens
-
6.1
Persoonsgegevens mogen alleen worden verwerkt indien daarvoor een doel bestaat. Voor de verwerking van persoonsgegevens door RDOG HM gelden de volgende algemene doeleinden:
-
a.
Het mogelijk maken van de uitvoering van de aan RDOG HM opgedragen (wettelijke) taken;
-
b.
Het voldoen aan wettelijke verplichtingen in het kader van de uitvoering van de aan RDOG HM opgedragen (wettelijke) taken;
-
c.
Ondersteuning en instandhouding van preventie, zorg en nazorg aan betrokkenen;
-
d.
Het financieel afhandelen van geboden zorg aan de betrokkene met de betrokkene dan wel met diens zorgverzekeraar c.q. de opdrachtgever;
-
e.
Ondersteuning bij intercollegiale toetsing en evaluatie;
-
f.
Het vastleggen van gegevens met het oog op het ontwikkelen van beleid, ten behoeve van wetenschappelijk onderzoek, onderwijs en advisering;
-
g.
Het adviseren van gemeentebesturen in het kader van het door hen te voeren gezondheidsbeleid;
-
h.
Het vastleggen van gegevens die nodig zijn voor een verantwoorde bedrijfsvoering van RDOG HM.
-
6.2
Voor de bijzondere doeleinden per verwerking wordt verwezen naar het register van verwerkingsactiviteiten van RDOG HM zoals bedoeld in artikel 9 van dit reglement.
-
7.1
Persoonsgegevens worden door RDOG HM in overeenstemming met de wet- en regelgeving verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. In dit kader draagt RDOG HM er zorg voor dat het voor de betrokkene inzichtelijk is in hoeverre en op welke manier er persoonsgegevens bij RDOG HM van de betrokkene worden verwerkt.
-
7.2
Persoonsgegevens worden voor de in artikel 6 van dit reglement genoemde doeleinden door RDOG HM verzameld en worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
-
7.3
Persoonsgegevens worden slechts door RDOG HM verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn. RDOG HM treft tevens de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen persoonsgegevens.
-
7.5
RDOG HM draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsgegevens tegen verlies of aantasting van gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.
-
7.6
RDOG HM geeft alleen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie op grond van goedgekeurde afspraken door de Europese Commissie.
-
8.1
Persoonsgegevens mogen slechts worden verwerkt indien deze berust op ten minste één van de volgende gronden:
-
a.
de betrokkene heeft voor de verwerking diens ondubbelzinnige toestemming verleend;
-
b.
de gegevensverwerking is noodzakelijk voor de uitvoering of voorbereiding van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van de overeenkomst maatregelen te nemen;
-
c.
de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan RDOG HM onderworpen is;
-
d.
de gegevensverwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene of van een andere natuurlijke persoon;
-
e.
de gegevensverwerking is noodzakelijk voor de goede vervulling van een taak van algemeen belang of van een publiekrechtelijke taak dat aan RDOG HM is opgedragen;
-
f.
de verwerking is noodzakelijkheid voor de behartiging van de gerechtvaardigde belangen van RDOG HM of van een derde aan wie de gegevens worden verstrekt, tenzij het belang van de betrokkene op de bescherming van de persoonlijke levenssfeer prevaleert.
-
8.2
Behoudens het bij of krachtens de wet bepaalde is verwerking van bijzondere persoonsgegevens verboden. Ten behoeve van de uitvoering van bepaalde (wettelijke) taken is RDOG HM bevoegd en/of verplicht om zonder toestemming van de betrokkene bijzondere persoonsgegevens, waaronder gegevens omtrent de gezondheid, huiselijk geweld of kindermishandeling, ras en etnische afkomst en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid te verwerken.
-
8.3
Indien de verwerking berust op het bepaalde in lid 1 onder a is de betrokkene gerechtigd te allen tijde diens gegeven toestemming weer in te trekken. RDOG HM staakt vanaf dat moment de verwerking.
-
9.
Register van verwerkingsactiviteiten
-
9.1
RDOG HM houdt een register van verwerkingsactiviteiten die onder verantwoordelijkheid van RDOG HM plaatsvinden bij.
-
9.2
Het register van verwerkingsactiviteiten bevat de volgende gegevens:
-
a.
naam en contactgegevens van RDOG HM, eventuele gezamenlijke verwerkingsverantwoordelijken en van de functionaris van de gegevensbescherming van RDOG HM;
-
b.
de (bijzondere) verwerkingsdoeleinden;
-
c.
een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
-
d.
de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
-
e.
indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie;
-
f.
de termijnen waarbinnen de verschillende categorieën van gegevens moeten worden vernietigd;
-
g.
indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
-
9.3
In het register van verwerkingsactiviteiten van RDOG HM worden de volgende categorieën van persoonsgegevens gehanteerd:
-
-
-
-
Overige personalia (zoals telefoonnummer en e-mailadres);
-
-
Sociaal/medische gegevens;
-
-
Financiële en administratieve gegevens;
-
-
Gegevens derden (zoals huisarts of andere betrokken behandelaar).
Rechten van de betrokkene
-
10.1
RDOG HM informeert de betrokkene over de persoonsgegevens die worden verwerkt, met welk doel deze worden verwerkt, wie daarvoor verantwoordelijk is, aan wie deze eventueel worden verstrekt of doorgegeven, hoe lang deze worden bewaard, welke rechten betrokkene ten aanzien van de verwerking heeft en waar de betrokkene indien gewenst een klacht kan indienen. Betrokkene wordt daarbij gewezen op dit reglement en andere beschikbare bronnen waarin te vinden is hoe met de persoonsgegevens binnen RDOG HM wordt omgegaan.
-
10.2
Indien de persoonsgegevens verkregen zijn van de betrokkene zelf, informeert RDOG HM bij de verkrijging daarvan betrokkene over de in lid 1 opgenomen informatie.
-
10.3
Indien de persoonsgegevens niet van de betrokkene zelf zijn verkregen, informeert RDOG HM de betrokkene uiterlijk binnen één maand na verkrijging van diens persoonsgegevens over de in lid 1 opgenomen informatie tenzij uitzonderlijke omstandigheden of een wettelijke bepaling een langere termijn vergen. RDOG HM verstrekt daarbij tevens informatie over de herkomst van de persoonsgegevens tenzij een uitzondering bij of krachtens de wet van toepassing is.
-
10.4
Lid 1 en lid 3 is niet van toepassing wanneer en voor zover de betrokkene al over deze informatie beschikt.
-
10.5
Het verstrekken van informatie zoals genoemd in lid 3 blijft achterwege indien:
-
a.
dat onmogelijk blijkt of onevenredig veel inspanning van RDOG HM zou vergen;
-
b.
indien het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij of krachtens de wet;
-
c.
de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een wettelijk geregeld beroepsgeheim.
-
11.
Rechten van de betrokkene
-
11.1
De betrokkene heeft het recht:
-
a.
om bij RDOG HM te informeren of diens persoonsgegevens worden verwerkt;
-
b.
op inzage in, kopie van en/of correctie, aanvulling of verwijdering van op de betrokkene betrekking hebbende door RDOG HM verwerkte persoonsgegevens;
-
c.
om RDOG HM te verzoeken diens persoonsgegevens te rectificeren, af te schermen, te beperken of over te dragen;
-
d.
om niet onderworpen te worden aan geautomatiseerde besluitvorming, waaronder profilering.
-
e.
om vanwege met diens specifieke situatie verband houdende redenen zich tegen de verwerking van diens persoonsgegevens door RDOG HM te verzetten indien:
-
-
de verwerking door RDOG HM plaatsvindt omdat dit noodzakelijk is voor de uitoefening van een taak van algemeen belang of openbaar gezag;
-
-
de verwerking plaatsvindt in verband met een gerechtvaardigd belang van RDOG HM;
-
-
de persoonsgegevens worden verwerkt ten behoeve van directe marketing;
-
-
de persoonsgegevens worden verwerkt voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden.
-
11.2
Verzoeken ter uitvoering van bovengenoemde rechten worden zo spoedig mogelijk maar uiterlijk binnen één maand na ontvangst van het verzoek door RDOG HM beantwoord. Indien het verzoek erg complex is of gelet op het aantal verzoeken van de betrokkene kan RDOG HM deze termijn met maximaal twee maanden verlengen. De betrokkene wordt binnen één maand van deze verlenging op de hoogte gebracht.
-
11.3
Indien de betrokkene het verzoek elektronisch indient, wordt indien mogelijk de beantwoording van het verzoek elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
-
11.4
RDOG HM kan het uitvoeren van bovengenoemde rechten door betrokkene beperken of (gedeeltelijk) weigeren indien dit bij of krachtens de wet is bepaald.
-
11.5
Voor de verstrekking van een afschrift worden geen kosten in rekening gebracht tenzij sprake is van ongegronde of buitensporige verzoeken. Indien de betrokkene om bijkomende kopieën verzoekt, kan RDOG HM op basis van de administratieve kosten wel een redelijke vergoeding van betrokkene vragen voor deze kopieën. Deze redelijke vergoeding bedraagt € 0,23 per pagina met een maximum van € 22,50 in het geval de kopie meer dan honderd pagina’s betreft.
-
11.6
RDOG HM stelt iedere ontvanger aan wie persoonsgegevens van de betrokkene zijn verstrekt, in kennis van elke rectificatie of verwijdering van persoonsgegevens of beperking van de verwerking tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.
-
11.7
RDOG HM draagt zorg voor het vaststellen van de identiteit van de betrokkene ten behoeve van het uitoefenen van diens rechten. Dit ten behoeve van de controle of degene die het verzoek doet ook daadwerkelijk degene is op wie de gegevens betrekking hebben.
Derdenverstrekking
-
12.
Derdenverstrekking
RDOG HM verstrekt alleen met toestemming van de betrokkene inlichtingen over de betrokkene, dan wel afschrift van de bescheiden, aan anderen dan de betrokkene, tenzij bij of krachtens de wet anders is bepaald. Verstrekking mag verder alleen plaatsvinden voor zover daardoor de persoonlijke levenssfeer van een ander niet wordt geschaad. Verstrekking kan zonder inachtneming van het voorgaande plaatsvinden indien het bij of krachtens de wet bepaalde daartoe verplicht.
-
13.
Statistiek of wetenschappelijk onderzoek
-
13.1
Zonder toestemming van de betrokkene kunnen ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van onder meer de volksgezondheid, opgroei- en opvoedingsproblemen, psychische problemen en stoornissen, kinderbescherming of jeugdreclassering aan een ander desgevraagd inlichtingen over de betrokkene of inzage in de persoonsgegevens van betrokkene worden verstrekt indien:
-
a.
het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, of;
-
b.
het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.
-
13.2
Verstrekking overeenkomstig het eerste lid is slechts mogelijk indien:
-
a.
het onderzoek het algemeen belang dient,
-
b.
het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd, en
-
c.
voor zover de betrokkene tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt.
-
13.3
Bij verstrekking overeenkomstig het eerste lid wordt daarvan aantekening gehouden in het dossier waarin de persoonsgegevens van betrokkene zijn opgeslagen.
Bewaartermijnen en vernietiging
-
14.1
RDOG HM bewaart persoonsgegevens niet langer dan noodzakelijk is in het kader van het doel van de verwerking.
-
14.2
In afwijking van het gestelde in lid 1 kan bij of krachtens de wet een langere bewaartermijn van toepassing zijn. Voor het volledige overzicht van de bewaartermijnen per verwerking wordt verwezen naar het register van verwerkingsactiviteiten van RDOG HM.
-
15.1
RDOG HM vernietigt de door haar bewaarde persoonsgegevens binnen drie maanden na een daartoe strekkend, en een door RDOG HM gehonoreerd, verzoek van de betrokkene.
-
15.2
Indien de bewaartermijn zoals genoemd in artikel 14 van dit reglement is verstreken, worden de desbetreffende persoonsgegevens zo spoedig mogelijk doch uiterlijk binnen één jaar na het verstrijken van de termijn verwijderd en vernietigd.
-
15.3
Vernietiging blijft achterwege wanneer:
-
-
langere bewaring redelijkerwijs voortvloeit uit de zorg van een goed hulpverlener;
-
-
redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene;
-
-
bewaring op grond van een wettelijk voorschrift vereist is;
-
-
indien daarover tussen de betrokkene en de beroepsbeoefenaar overeenstemming bestaat;
-
-
indien de desbetreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
Overige- en slotbepalingen
-
16.1
Indien de betrokkene van mening is dat de bepalingen van dit reglement of de wet niet worden nageleefd of een andere reden heeft tot klagen kan de betrokkene daartoe bij RDOG HM een klacht indienen. Op indiening en behandeling van klachten is de Klachtenregeling RDOG HM van toepassing.
-
16.2
Een beslissing op een verzoek als bedoeld in artikel 11 van dit reglement geldt als een besluit in de zin van de Algemene wet bestuursrecht. Tegen deze besluiten zijn bezwaar en beroep mogelijk conform hoofdstuk 6 van de Algemene wet bestuursrecht.
-
16.3
Indien betrokkene van mening is dat diens rechten worden geschonden kan deze zich ook wenden tot andere (rechterlijke) instanties, waaronder de Autoriteit Persoonsgegevens.
-
17.1
Dit reglement kan worden aangehaald als ‘Privacyreglement RDOG HM’ en treedt in werking op de datum van uitgifte in het publicatieblad waarin zij wordt geplaatst.
-
17.2
Dit reglement kan door betrokkenen worden opgevraagd bij RDOG HM en is op de website www.rdoghm.nl te raadplegen. RDOG HM draagt zorg dat via de overige websites (van sectoren of onderdelen) van RDOG HM, dit reglement eenvoudig raadpleegbaar is voor betrokkenen.
-
17.3
Voor zover dit reglement in strijd is met de geldende wet- en regelgeving is de wet- en regelgeving leidend.
-
17.4
Dit reglement kan door het dagelijks bestuur van RDOG HM worden gewijzigd en vervangt alle voorgaande reglementen met betrekking tot de bescherming van persoonsgegevens van betrokkenen.
Aldus vastgesteld in de vergadering op 4 juli 2018.
Het algemeen bestuur van RDOG HM,
de voorzitter,
M. Damen
de secretaris,
J.M.M. de Gouw