Reglement AVG- Privacybeleid osteopathiepraktijk Rodrigus

1           Introductie

1.0       Osteopathiepraktijk Rodrigus is een praktijk waarbinnen Patrick Rodrigus osteopathie als dienstverlening aanbiedt. Om dat doel te kunnen uitvoeren dient Osteopathiepraktijk Rodrigus persoonsgegevens van patiënten te verwerken en gebruiken binnen de dagelijkse bedrijfsvoering. 

1.1       De gegevens die worden gedocumenteerd zijn privacy gevoelig. Het gaat om persoonsgegevens, aan de hand waarvan de betrokkene zowel direct als indirect geïdentificeerd kan worden. 

1.2       Het betreft hier registratie van persoonsgegevens met een gerechtvaardigd belang. Immers de patiënten melden zich zelf aan bij Osteopathiepraktijk  Rodrigus . Zij willen graag geholpen worden door de osteopaat voor hun klachten.

1.3       De gegevens zoals Osteopathiepraktijk Rodrigus registreert zijn slechts bedoeld voor intern gebruik. De persoonsgegevens worden gebruikt om te waarborgen dat de osteopaat de patiënt zo goed mogelijk van dienst kan zijn. Van dienst zijn in het verhelpen van de klachten en van dienst zijn door het mogelijk maken dat de ziektekostenverzekering de kosten zoveel mogelijk vergoedt.

1.4       De volgende persoonsgegevens worden verwerkt: 

  • Voor- en achternaam
  • Geslacht
  • Geboortedatum
  • Adresgegevens
  • Telefoonnummer 
  • E-mailadres
  • Overige persoonsgegevens die u actief verstrekt bijvoorbeeld via ons contactformulier, telefonisch, in correspondentie en tijdens de consulten.

2          Toestemming

2.1       Voor de verwerking van bepaalde gegevens is toestemming nodig van de betrokkene. Dat is het geval indien het gaat om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Ook het nationaal identificatienummer (BSN) is een zaak waarbij expliciete toestemming van de betrokkene nodig is, indien dat nummer wordt verwerkt. Osteopathiepraktijk Rodrigus verwerkt het BSN nummer van haar patiënten nu Osteopaten verplicht zijn dit nummer te gebruiken in correspondentie met andere zorgverleners. Het verwerken van gegevens over de gezondheid betreft eveneens een bijzondere categorie gegevens waarvan voor de verwerking toestemming nodig is van de patiënt. Het heeft echter de sterke voorkeur het verwerken van alle persoonsgegevens op voorhand met patiënten te bespreken en bij die verwerking expliciet te vermelden of de patiënt toestemming heeft gegeven voor die verwerking. 

2.1       Osteopathiepraktijk Rodrigus zal op de volgende wijze invulling geven aan deze benodigde toestemming. Naast het opstellen van een behandelplan zal bij de intake van een patiënt een overzicht worden gegeven van de afspraken. Deze zullen met de patiënt worden doorgenomen en vervolgens aan de patiënt ter hand worden gesteld dan wel aan de patiënt worden verzonden per mail, waarbij aangetekend wordt dat het hier een bevestiging van de gemaakte afspraken betreft. Er zal om een ontvangstbevestiging worden verzocht bij de patiënt. Op deze ‘opdrachtbevestiging’ zullen de belangrijkste gegevens worden benoemd over wat de patiënt kan verwachten van de osteopaat. Het gaat om het volgende: 

  • dat patiënt is gewezen op het feit dat persoonsgegevens verwerkt zullen worden en om welke persoonsgegevens het gaat;
  • dat patiënt voor die verwerking expliciet toestemming heeft verleend;
  • dat patiënt rechten heeft ten aanzien van het verwerken van persoonsgegevens 
  • en dat patiënt deze en de verdere werkwijze van Osteopathiepraktijk Rodrigus met betrekking tot die persoonsgegevens kan nalezen in het onderhavige reglement zoals op de website van Osteopathiepraktijk Rodrigus staat vermeld;
  • dat patiënt gewezen wordt op de bewaartermijn(en) van de persoonsgegevens;
  • dat patiënt de mogelijkheid heeft een klacht tegen Osteopathiepraktijk Rodrigus in te dienen bij het NRO of NOF;
  • wat het consulttarief is van Osteopathiepraktijk Rodrigus. 

3          Rechten van betrokkenen

3.1       Om een eerlijke verwerking van persoonsgegevens te waarborgen heeft de betrokkene diverse rechten:

  • het recht op informatie over de verwerkingen.
  • het recht op inzage in zijn gegevens.
  • het recht op correctie van de gegevens als deze niet kloppen.
  • het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’.
  • het recht op beperking van de gegevensverwerking.
  • het recht op verzet tegen de gegevensverwerking.
  • het recht op overdracht van zijn gegevens (dataportabiliteit).
  • het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.

3.2       Een patiënt of voormalig patiënt (de betrokkene) kan om bovenstaande gegevens verzoeken. De betrokkene kan zulks doen per mail naar Turn on JavaScript!; De betrokkene dient zich daarbij te legitimeren, opdat Osteopathiepraktijk Rodrigus met voldoende zekerheid kan vaststellen dat degene die het verzoek doet daadwerkelijk de betrokkene is. 

3.3       Osteopathiepraktijk Rodrigus zal binnen 1 maand na ontvangst van het verzoek betrokken informeren over de uitvoering van het verzoek. Bij complexe, of een veelvoud aan, verzoeken kan deze termijn verlengd worden met maximaal 2 maanden. De betrokkene zal in een dergelijk geval van verlengde termijn van uitvoering van het verzoek daaromtrent geïnformeerd worden. De informatie wordt in principe schriftelijk verstrekt.

3.4       In sommige gevallen mag Osteopathiepraktijk Rodrigus weigeren tot uitvoering van het verzoek om gegevensverstrekking over te gaan, dan wel daarvoor kosten in rekening brengen. Het moet dan gaan om de situatie dat de betrokkene buitensporige of ongegronde verzoeken doet. (Bijvoorbeeld meerdere verzoeken achter elkaar om dezelfde gegevens. Dan wel wanneer sprake is van een van de beschermende noodzakelijkheidscriteria welke de AVG kent zoals bijvoorbeeld in het kader van een (strafrechtelijk) onderzoek naar de betrokkene). Indien Osteopathiepraktijk Rodrigus weigert aan het verzoek te voldoen, zal deze zulks motiveren en de betrokkene wijzen op het klachtrecht bij de toezichthouder AVG.

3.5       Osteopathiepraktijk Rodrigus realiseert zich dat indien zij een schriftelijke beslissing neemt in het kader van de uitoefening van de rechten van de betrokkene, dat dit dan geldt als een besluit in de zin van de Algemene wet bestuursrecht.

3.6       In sommige gevallen dient Osteopathiepraktijk Rodrigus de betrokken patiënt uit zichzelf te informeren. Dit is het geval indien:

  • gegevens buiten de betrokkene om worden verkregen
  • gegevens voor een ander doel gebruikt gaan worden dan waar de gegevens oorspronkelijk voor waren afgegeven. Osteopathiepraktijk Rodrigus zal in die gevallen binnen 1 maand betrokkene informeren.

3.7       Indien de behandeling van de patiënt eindigt zal Osteopathiepraktijk Rodrigus de persoonsgegevens nog enige tijd in haar systeem bewaren. De wet Wgbo bepaalt dat medische dossiers 15 jaar moeten worden bewaard. Aan die bewaartermijn zal Osteopathiepraktijk Rodrigus zich houden. De dossiers zullen na 15 jaar vernietigd worden. Binnen het dossier bevinden zich tevens gegevens van niet medische aard.

3.8       Ten einde er zeker van te zijn dat de betrokkene een volledig beeld heeft van de wijze waarop met diens persoonsgegevens wordt omgegaan en met welk doel en onder welke grondslag (gerechtvaardigd belang), zal iedere betrokken bij registratie toegang krijgen tot deze privacystatement en de hierbij behorende documenten. Osteopathiepraktijk Rodrigus zal deze gegevens op de website plaatsen en iedere betrokkene op die vindplaats wijzen.

3.9       In het geval de patiënt een klacht indient tegen de osteopaat, zullen die gegevens eveneens worden verwerkt door Osteopathiepraktijk Rodrigus .

4          Registratiesysteem

4.1       Osteopathiepraktijk Rodrigus maakt gebruik van het patiënten registratiesysteem Crossuite voor het verwerken van de persoonsgegevens in een patiëntenbeheerplatform. Dit bedrijf dient zodoende gezien te worden als een verwerker. Ten einde ervan verzekerd te zijn dat Crossuite zich aan de vereisten houdt welke nodig zijn om te voldoen aan de AVG heeft Osteopathiepraktijk Rodrigus een verwerkersovereenkomst afgesloten met Crossuite. 

4.2       Voor toegang tot het registratiesysteem wordt het systeem van een gebruikersnaam, wachtwoord en specifieke code gehanteerd.

4.3       Binnen de verwerkersovereenkomst met Crossuite zijn in ieder geval de volgende zaken geregeld: 

  • het onderwerp en de duur van de verwerking;
  • de aard en het doel van de verwerking;
  • het soort persoonsgegevens en de categorieën van betrokkenen;
  • de rechten en verplichtingen van de verwerkingsverantwoordelijke.
  • de persoonsgegevens alleen verwerkt worden onder schriftelijke instructie van Osteopathiepraktijk Rodrigus onder andere voor wat betreft de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (tenzij deze daartoe wettelijk is verplicht);
  • waarborg van de verwerker dat de toegang tot die gegevens is beperkt tot gemachtigde personen. Deze personen moeten gebonden zijn aan geheimhouding op grond van een overeenkomst of een wettelijke verplichting;
  • de verwerker minimaal hetzelfde niveau van beveiliging van de persoonsgegevens hanteert als Osteopathiepraktijk  Rodrigus doet;
  • de verwerker zal Osteopathiepraktijk Rodrigus alle mogelijke ondersteuning bieden bij het nakomen van haar verplichtingen met het oog op beantwoording van verzoeken rondom de rechten van betrokkenen;
  • verwerker Osteopathiepraktijk  Rodrigus zal bijstaan bij het nakomen van haar verplichtingen op het gebied van beveiliging van persoonsgegevens en de meldplicht datalekken;
  • na beëindiging van de overeenkomst tussen Osteopathiepraktijk  Rodrigus  en verwerker, de in uw opdracht verwerkte persoonsgegevens wist of aan Osteopathiepraktijk  Rodrigus  teruggeeft, en bestaande kopieën verwijdert;
  • Osteopathiepraktijk  Rodrigus  alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat de verplichtingen op grond van de Verordening rondom het inzetten van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken;
  • verwerker maakt inzichtelijk welke afspraken deze met betrekking tot sub-verwerkers maakt;
  • verwerker vermeldt de goedgekeurde gedragscodes en certificeringsmechanismen waar verwerker bij diens werkzaamheden gebruik van maakt;
  • verwerker garandeert Osteopathiepraktijk  Rodrigus  aan alle verplichtingen te voldoen zoals de AVG van verwerker verlangt.

4.4       Osteopathiepraktijk Rodrigus maakt geen gebruik van andere verwerkers dan Crossuite. Wel maakt Osteopathiepraktijk Rodrigus , gebruik van een boekhouder. Deze verwerkt geen gegevens van patiënten, maar heeft wel inzage in sommige persoonsgegevens. Vooral de gegevens rondom betalingen zal de boekhouder in kunnen zien. Zodoende heeft boekhouder een geheimhoudingsverklaring ondertekend. In die verklaring wordt niet alleen weergegeven dat de boekhouder zelf geheimhouding zal betrachten over alle persoonsgegevens die deze te zien krijgt van patiënten van Osteopathiepraktijk Rodrigus ook de medewerkers en derden waar de boekhouder gebruik van maakt hebben diezelfde geheimhoudingsplicht. Bovendien is in de verklaring opgenomen dat de boekhouder geen persoonsgegevens van patiënten zal verwerken.

5          Slotwoord

5.1       Osteopathiepraktijk Rodrigus benadrukt opnieuw zich te realiseren persoonsgegevens te verwerken die een hoge mate van vertrouwelijkheid kennen. De praktijk meent echter alle maatregelen te hebben genomen, ten einde erop toe te zien dat de persoonsgegevens van patiënten niet voor andere doeleinden gebruikt worden dan bedoeld is. 

5.2       Osteopathiepraktijk Rodrigus gaat ervan uit met dit privacybeleid aan alle vereisten van de nieuwe AVG regels te voldoen. Osteopathiepraktijk Rodrigus is zich ervan bewust dat sprake is van nieuwe regelgeving en dat zulks inhoudt dat nog niet alle facetten zich even makkelijk laten uiteenzetten. Osteopathiepraktijk Rodrigus zal de aanpassingen, beslissingen en verder nieuws vanuit de AP volgen, opdat tijdige maatregelen genomen kunnen worden deze beleidsregels alsnog verder aan te scherpen, of bij te werken.