privacyreglement IJsselzorg

De directie van IJsselzorg

overwegende dat:
  • IJsselzorg bestaat uit medewerkers werkzaam als zorgprofessional, re-integratie-professional,  ondersteunend personeel of management;
  • de persoonsgegevens van betrokkenen in verband met de passende hulpverlening op zorgvuldige wijze binnen de wettelijke kaders in IJsselzorg moeten worden verwerkt;
  • IJsselzorg de diverse aspecten aangaande privacy reeds binnen de eigen organisatie heeft ingeregeld en onder andere haar partners in het Sociaal Domein uitnodigt om hetzelfde te doen;

 

gelet op:
  • de Wet Langdurige Zorg
  • de Wet Forensische Zorg
  • Wet maatschappelijke ondersteuning 2015;
  • Wet op de geneeskundige behandelovereenkomst (Wgbo);
  • Wet op de beroepen in de individuele gezondheidszorg (Wet Big);
  • Algemene Verordening Gegevensbescherming (2016/679);
  • Uitvoeringswet Algemene Verordening Gegevensbescherming;
  • Verzamelwet VWS 2016.
  • de Wet Zorg en Dwang
  • de Wet Verplichte GGZ
  • De WkkGZ

 

besluit vast te stellen het:
privacyreglement voor IJsselzorg

 

Artikel 1 Definities

De definities zoals vastgelegd in de inkoop en/of aanbestedingsovereenkomsten tussen verwijzers en IJsselzorg zijn op dit reglement van toepassing. Aanvullend gelden de volgende begrippen:

a. accountoverleg IJsselzorg: overleg tussen verwijzers en IJsselzorg;

b. AP: De Autoriteit Persoonsgegevens, voorheen College Bescherming Persoonsgegevens;

c. bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

d. bijzonder persoonsgegeven: verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid en strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen;

e. cliënt: de betrokkene, te weten de persoon of personen die enige vorm van advies, (ambulante)begeleiding (inclusief dagbesteding en begeleiding bij arbeidsre-integratie) van IJsselzorg ontvangt/ontvangen en op wie een persoonsgegeven betrekking heeft;

f. conflict van plichten: situatie waarin de geheimhoudingsplicht botst met het recht of de plicht om te spreken. Dit is in ieder geval aan de orde wanneer een belang van de cliënt, een mantelzorger, derde, verantwoordelijke of de veiligheid van burgers de doorbreking van de geheimhoudingsplicht noodzaakt en rechtvaardigt, terwijl het bewaren van het geheim voor de cliënt, een mantelzorger, een derde of de veiligheid van burgers ernstig nadeel of gevaar oplevert;

g. derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

h. directeur/bestuurder: er is een directeur/bestuurder die statutair verantwoordelijk is voor de besloten vennootschap;

i. dossiervorming: een geheel van archiefbescheiden opgemaakt door de zorgprofessional die inhoudelijk betrokken is bij de hulpvraag en begeleiding van een cliënt;

j. gemeente; betrokken verwijzende gemeente.

k. geheimhoudingsplicht: de verplichting van een beroepskracht tot geheimhouding van hetgeen cliënten aan hem bij het uitoefenen van zijn beroep als geheim hebben toevertrouwd, of wat de beroepskracht als geheim heeft vernomen, of wat de beroepskracht heeft vernomen waarvan hij het vertrouwelijke karakter moest begrijpen;

l. mantelzorger: iedere persoon in het netwerk van de cliënt die informeel, langdurig en onbetaald bijdraagt aan de hulpverlening, niet zijnde een zorgprofessional die beroepshalve hulp verleent. De zorgverlening vloeit direct voort uit de sociale relatie;

m. persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

n. IJsselzorg: IJsselzorg Besloten Vennootschap (BV);

o. leidinggevende en/of werkbegeleider IJsselzorg: er is een operationeel/tactisch leidinggevende binnen IJsselzorg die opdrachten omtrent de organisatie en uitvoering van taken van (een vertegenwoordiger van) de directie ontvangt;

p. toestemmingsverklaring: het formulier dat de cliënt ondertekent en waarmee hij aangeeft dat hij toestemming geeft voor het verstrekken van informatie over hem aan een of meer anderen;

r. verantwoordelijke: directeur/bestuurder van de besloten vennootschap;

s. verwerken van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van ter beschikking stellen, samenbrengen , met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

t. wettelijk vertegenwoordiger: persoon of personen die in geval van minderjarigheid, of in geval van wilsonbekwaamheid, aantoonbaar de cliënt in en buiten rechte vertegenwoordigt;

u. verwerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens;

v. zorgprofessional: persoon die professionele en beroepshalve hulp of begeleiding levert als medewerker binnen  IJsselzorg, daartoe door IJsselzorg in ingehuurd of genoemde hulp levert in samenwerking, althans overleg met IJsselzorg

 

Artikel 2 Reikwijdte

1. Dit privacyreglement is van toepassing op alle geheel of gedeeltelijke, al dan niet geautomatiseerde verwerking van gegevens binnen IJsselzorg, alsmede op de verwerking van gegevens tussen medewerkers van IJsselzorg en samenwerkingspartners, derden of andere hulpverleners.

2. IJsselzorg verwerkt gewone persoonsgegevens van de cliënt, zoals de naam, geboortedatum en adres gegevens. Daarnaast verwerkt IJsselzorg persoonsgegevens in de categorie ‘Bijzondere persoonsgegevens’. De verwerking van persoonsgegevens heeft betrekking op:

a. de signalering, vraagverheldering en toeleiding naar hulp;

b. het maken van een probleemanalyse en/of het uitvoeren en opmaken van een intakeverslag.

c. verslaglegging;

d. de bespreking met andere betrokken hulpverleners;

e. het volgen van het geboden zorg- en hulpverleningsaanbod door andere betrokken disciplines.

f. verzorgen van begeleiding vanuit IJsselzorg, onder andere door het vastleggen en evalueren van deze begeleiding middels opgestelde rapportages binnen een elektronisch cliëntendossier. Dit dossier voldoet aan de hieraan gestelde eisen vanuit geldende kwaliteitsmodellen en anderszins voorgeschreven wet en regelgeving.

g. het uitvoeren van controles;

h. het verrichten van de financieel-administratieve verwerking van de aan cliënt geboden hulp en ondersteuning;

i. het voeren van een bezwaar- of beroepsprocedure.

3. Indien de hulpverlening niet start binnen of via IJsselzorg vindt er geen dossiervorming plaats.

 

Artikel 3 Doel verwerken persoonsgegevens

Het verwerken van persoonsgegevens in IJsselzorg heeft tot doel om:

1. uitvoering te geven aan de Wet Langdurige Zorg, de Wet Maatschappelijke Ondersteuning, de Wet Forensische Zorg; de financieel-administratieve processen en controle daarbij inbegrepen.

2. te zorgen voor een goede vervulling van de wettelijke verplichtingen en de private taak van IJsselzorg. 

 

Artikel 4 Toestemming verwerking persoonsgegevens

1. Indien de verwerking van persoonsgegevens blijkt uit wetgeving, noodzakelijk is voor de behartiging van een vitaal belang van betrokkene of noodzakelijk is voor een zwaarwegend algemeen belang, is toestemming niet nodig. In alle andere gevallen is ondubbelzinnige toestemming vereist. Hiervoor dienen noodzaak en doel specifiek te worden benoemd en vooraf te worden besproken met cliënt, en dienen passende maatregelen genomen te worden ter bescherming van de levenssfeer van cliënt.

2. De in het vorig lid genoemde toestemming geschiedt door een actieve handeling waaruit voor die specifieke situatie het doel en de noodzaak staat omschreven, het aanvinken van een keuzemogelijkheid is hierbij inbegrepen. Indien de cliënt jonger is dan 12 jaar, of indien er sprake is van wilsonbekwaamheid verleent de wettelijk vertegenwoordiger de toestemming.

 

Artikel 5 Ontvangers

1. Mantelzorgers ontvangen, indien nodig, enkel informatie over de ondersteuningsvraag van de cliënt. Voor het overige zijn mantelzorgers, elk voor hun deel, gebonden aan het gestelde in de AVG.

2. Een derde partij ontvangt slechts informatie over een cliënt wanneer de voortgang van een specifieke ondersteuningsvraag dit noodzaakt en/ of er specialistische expertise is vereist voor een goede uitvoering van de begeleiding van cliënt..

3. Ingeval daartoe een wettelijke plicht bestaat, worden gegevens verstrekt aan een derde partij. Cliënt wordt hiervan op de hoogte gesteld.

 

Artikel 6 Grondslagen voor gegevensverwerking

1. Gegevens worden verwerkt conform het gestelde in art 6 AVG en artikel 9 AVG conform de uitvoeringskaders zoals vastgelegd in art. 22 tot en met 47 van de UAGV en de WMO. In dat geval wordt gehandeld conform de privacy bepalingen in de Europese en/of lidstatelijk geldende wet- en regelgeving.

2. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk en proportioneel zijn, en er geen andere manier is om over gewenste informatie te beschikken.

 

Artikel 7 Geheimhoudingplicht

1. Voor zover in vigerende wet- en regelgeving niet afdoende geregeld, legt IJsselzorg aan personen en medewerkers die persoonsgegevens verwerken, een plicht tot geheimhouding op. Deze verklaring strekt tot geheimhouding van de persoonsgegevens waarvan de medewerkers kennis nemen en welke zij in of voor IJsselzorg verwerken, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

2. Een derde is via wet of verklaring gebonden aan geheimhouding en enkel dat wat er nodig is voor een adequate adressering van de ondersteuningsvraag van cliënt en/of diens mantelzorger wordt uitgewisseld. Cliënt wordt van de uitwisseling op de hoogte gesteld.

3. Binnen IJsselzorg geldt geheimhouding voor personen en medewerkers die op locatie van IJsselzorg vertrouwelijke bedrijfs- en fabricagegegevens van andere zorgaanbieders onder ogen krijgen, welke door natuurlijke personen of rechtspersonen vertrouwelijk aan IJsselzorg zijn meegedeeld of waarvan een ieder binnen IJsselzorg het vertrouwelijk karakter heeft kunnen begrijpen. De bestuurder van IJsselzorg is verantwoordelijk voor de naleving van deze geheimhoudingsplicht.

 

Artikel 8 Doorbreking geheimhouding, beroepsgeheim en toestemmingsvereisten

1. Doorbreking van beroepsgeheim en de geheimhoudingsplicht van de medewerker van IJsselzorg kan uitsluitend wanneer er sprake is van een noodzaak, én:

a. de wet, of de uitoefening van de private taak, geen toestemming van cliënt of diens wettelijk vertegenwoordiger vraagt.

b. ondubbelzinnige toestemming van de cliënt of diens wettelijk vertegenwoordiger bestaat. De cliënt dient volledig te zijn geïnformeerd alvorens deze toestemming kan geven.

c. indien de verwerking van persoonsgegevens van cliënt uit de wet voortvloeit, dan wel wordt gebruikt voor doeleinden bij wet bepaald, wordt aan de cliënt medegedeeld waarom in dit geval zijn persoonsgegevens zonder diens toestemming worden verwerkt.

2. In geval van een conflict van plichten is doorbreking van het beroepsgeheim mogelijk zoals omschreven in artikel 1 sub f. Toestemming van cliënt kan in dat geval achterwege blijven mits:

a. nagegaan is of alles in het werking is gesteld om toestemming van de cliënt te krijgen. Zo niet, waarom was dit niet mogelijk?

b. al het mogelijke is geprobeerd om zonder doorbreking van de geheimhoudingsplicht het probleem op te lossen.

c. het niet doorbreken van de geheimhouding vrijwel zeker ernstige schade oplevert voor cliënt of derden.

d. het niet doorbreken van de geheimhouding de behartiging van het gerechtvaardigd belang van verantwoordelijke in belangrijke mate schaadt.

e. de afweging in het dossier van cliënt wordt vastgelegd. Dat betekent in ieder geval dat met naam en toenaam het type informatie en type gegevensverwerking wordt genoemd wat de doorbreking van het toestemmingsvereiste rechtvaardigt, en de reden waarom dit type informatie benodigd is.

3. Informatie verstrekking aan de wettelijk vertegenwoordigers van de cliënt kan alleen geweigerd worden indien de verstrekking ervan strijdig is met de belangen van de cliënt, of de cliënt nadrukkelijk bezwaar heeft gemaakt tegen de informatieverstrekking. In geval er sprake is van gedeeld ouderlijk gezag en de cliënt is nog geen 16 jaar, dan weegt IJsselzorg het belang van cliënt en eventuele strijdigheid hiermee indien de informatie aan (één van de) ouders wordt verstrekt, en legt deze weging vast in het dossier van de cliënt.

 

Artikel 9 Rechten cliënt

Behoudens het gestelde in artikel 8 lid 3 heeft de cliënt, althans diens wettelijk vertegenwoordiger, recht op:

a. informatie, zodat hij/zij kan nagaan wat er met de gegevens gebeurt;

b. inzage in het eigen dossier. Indien gewenst wordt aan cliënt een kopie van zijn dossier, of delen daarvan gegeven met inachtneming van de privacy van anderen.

c. verbetering, aanvulling, verwijdering, (vernietiging) of afscherming;

d. beperking van de verwerking in specifieke situaties genoemd in artikel 18 van de AVG;

e. intrekken van de in artikel 4 bedoelde toestemming. IJsselzorg dient de gegevensverwerking per direct te stoppen. Intrekking van een toestemmingsverklaring geldt niet met terugwerkende kracht;

f. een besluit wat niet enkel stoelt op automatische verwerking van gegevens, tenzij een dergelijk besluit nodig is voor

a. de totstandkoming of uitvoering van een overeenkomst tussen betrokkene en verwerkersverantwoordelijke of

b. de mogelijkheid tot automatische gegevensverwerking, uitmondend in een besluit, bij wet is geregeld of

c. betrokkene ondubbelzinnige toestemming heeft gegeven.

Cliënten kunnen een schriftelijk verzoek indienen voor het inzien van hun dossier. 

 

Artikel 10 Bezwaar

Cliënten hebben het recht om te weigeren gegevens aan (een medewerker van) IJsselzorg te verstrekken. Daarnaast hebben cliënten te allen tijde het recht om gegeven toestemming voor een bepaalde verwerking in te trekken. Tegen een besluit om afwijzingen van de rechten zoals bedoeld in artikel 9 sub a, b, c en d kan belanghebbende schriftelijk bij de verantwoordelijke bezwaar maken. De Algemene Wet Bestuursrecht is van toepassing.

 

Artikel 11 Archivering en bewaartermijn

1. De zorgdrager en beheerder voor/van het archief is IJsselzorg. 

2. Een dossier wordt conform de in de geldende wet genoemde termijn bewaard en vernietigd. De bewaartermijn conform de Wgbo bedraagt 20 jaar, te rekenen vanaf  de datum van de laatste verwerking, of zoveel langer als redelijkerwijs uit de zorg van een goed zorgprofessional voortvloeit. De bewaartermijn conform de Wmo 2015 bedraagt 15 jaar, te rekenen vanaf de datum van de laatste verwerking, of zoveel langer als redelijkerwijs in verband met een zorgvuldige uitvoering van de taken volgens deze wet noodzakelijk is tenzij de cliënt eerder om vernietiging verzoekt.

3. Medische gegevens en test – en onderzoeksuitslagen, deel uitmakend van een behandelplan van een samenwerkingspartner worden overeenkomstig de termijnen genoemd in de WGBO bewaard, tenzij cliënt eerder om vernietiging verzoekt.

4. Persoonsgegevens welke worden verwerkt ten behoeve van een registratie over korte ondersteuningsvragen en die, na beoordeling, geen nadere aanpak door IJSSELZORG of zorgprofessional behoeven, worden vernietigd.

5. Persoonsgegevens die worden verwerkt ten behoeve een Plan van Aanpak (begeleidingsplan en/of re-integratieplan en/of verstrekking van hulp, worden overeenkomstig de termijnen genoemd in het tweede lid bewaard.

6. Persoonsgegevens die worden aangereikt ten behoeve van de uitvoering van het gestelde in artikel 2 lid 3 worden overeenkomstig de termijnen genoemd in het tweede lid bewaard.

 

Artikel 12 Voorwaarden voor ICT

1. De door IJsselzorg vast te leggen gegevens worden digitaal opgeslagen. IJsselzorg is verantwoordelijk voor het beheer en beveiliging van deze systemen, tenzij deze verantwoordelijkheid wordt uitgesloten en/of overgenomen en/of redelijkerwijs niet voor rekening van IJsselzorg komt, door overeenkomsten met derden (leveranciers) van elektronische patiënten/cliënten dossiers.

2. IJsselzorg zal  wijzigingen in autorisaties betreffende genoemde systemen in verband met in- en uitdiensttreding van medewerkers onverwijld verwerken, althans binnen 14 dagen na einde van het dienstverband..

3. IJsselzorg zal cliënten, verwijzers en de AP onverwijld informeren over beveiligingsinbreuken, datalekken of andere gebeurtenissen die de veiligheid van persoonsgegevens in gevaar hebben gebracht, brengen of dreigen te brengen.

4. Medewerkers van IJsselzorg zijn verplicht om de instructies die voortvloeien uit, en samenhangen met, voorliggend document op te volgen.

5. Medewerkers van IJsselzorg versturen de gepersonaliseerde gegevens van cliënten alleen via een aangewezen beveiligde verbinding, zijnde beveiligde mail en/of andere aangewezen systemen.

 

Artikel 13 Verantwoordelijkheden en regie

1. De verantwoordelijke stelt het doel van en de middelen voor de verwerking van persoonsgegevens vast, en is verantwoordelijk voor de informatieverstrekking en de communicatie richting cliënten over de verwerking van persoonsgegevens.

2. De Inhoudelijk Manager van IJsselzorg is ten aanzien van privacy waarborgen binnen IJsselzorg het eerste aanspreekpunt

3. Het managementteam van IJsselzorg is in het kader van de privacy verantwoordelijk voor:

a. de naleving van het datalekprotocol voor medewerkers;

b. het zorg dragen dat zorgprofessionals de beginselen van de privacy wetgeving kennen en naleven;

c. het zorg dragen dat zorgprofessionals weten waar ze terecht kunnen met hun privacy vragen;

d. de implementatie van privacy maatregelen die voortkomen uit geldende wet en regelgeving.

e. de regelgeving inzake de privacy van cliënten en zorgprofessionals.

4. Indien het management van IJsselzorg op bovengenoemde punten nalatigheden constateert kan hij/zij opschalen naar de directeur/bestuurder. De directeur/bestuurder weegt af of hij of zij hierover in overleg treedt met de raad van commissarissen en/of contractpartijen/verwijzers.

 

Artikel 14 Werkinstructie

De directie van IJsselzorg is eindverantwoordelijk voor het opstellen van de werkinstructies en het actueel houden ervan.

 

Artikel 15 Duur van het reglement en evaluatie

1. Het reglement duurt voort zo lang IJsselzorg in haar huidige vorm bestaat. Indien de huidige vorm zal wijzigen, geldt voor dit reglement een overgangsperiode van één jaar. Deze overgangsperiode kan met maximaal één jaar worden verlengd. De verantwoordelijke dient hiertoe het besluit te nemen met medeneming van advies van de Functionaris Gegevensbescherming van IJsselzorg.

2. Er zullen periodiek evaluaties plaatsvinden, door middel van interne en externe audits op het gebied van kwaliteit. De geldende privacyregels maken onderdeel uit van deze audits in het kader van de ISO9001:2015 normen. De resultaten hiervan zijn de basis voor het eventueel aanpassen van protocollen en reglementen. 

3. Evaluatie kan leiden tot aanpassing of beëindiging van het reglement.

4. Waar nodig maken samenwerkingspartners nadere afspraken om een goede uitvoering van het reglement te verzekeren.

 

Artikel 16 Citeertitel

Dit reglement wordt aangehaald als Privacyreglement IJsselzorg.

heb je vragen?