Reglement Privacybescherming GGD IJsselland

Originele publicatie downloaden:
Download het PDF bestand
Link naar originele publicatie:
Deze link gaat naar een andere site
Type bekendmaking:
Overige besluiten van algemene strekking
Publicatiedatum:
30-06-2017





Reglement Privacybescherming GGD IJsselland

ALGEMENE TOELICHTING BIJ REGLEMENT PRIVACYBESCHERMING GGD IJSSELLAND

 

Verschillende wetten geven regels voor het omgaan met de privacy van burgers in het algemeen en van patiënten of jeugdigen in het bijzonder. Voorbeelden daarvan zijn de Wet bescherming persoonsgegevens, de Wet op de geneeskundige behandelingsovereenkomst, de Wet maatschappelijke ondersteuning 2015 en de Jeugdwet.

Hoewel het hebben van een privacyreglement formeel-juridisch niet verplicht is, is het toch goed om een dergelijk reglement voor de organisatie te hebben. Een reglement maakt de wetgeving voor management, medewerkers en burgers inzichtelijk. Bovendien wordt in het kader van de HKZ-certificering getoetst aan normen op het gebied van privacybescherming. Zo wordt er gekeken of er sprake is van een beleid ten aanzien van de omgang met en geheimhouding van klantgegevens en of er hiervoor richtlijnen voor de medewerkers aanwezig zijn. Het reglement dient als kapstok voor het privacybeleid van de organisatie. Aanvullend op dit reglement kunnen protocollen en richtlijnen voor de medewerkers worden opgesteld.

Het reglement komt uiteraard niet in plaats van de wetgeving, maar geeft een vertaling van onderdelen daarvan voor de organisatie. Voor specifieke vraagstukken op het gebied van de privacybescherming is het soms nodig om terug te vallen op de wetteksten zelf, omdat daarin de verbijzondering van de algemene regels zijn beschreven. Het reglement is een hulpmiddel en geen uitputtende opsomming van de wettelijke verplichtingen. Nieuwe wetgeving, nieuwe samenwerkingsrelaties, taken en opvattingen van professionals en beleidsmakers en ontwikkelingen op het gebied van omgaan met persoonsgegevens, informatisering en automatisering kunnen gevolgen hebben voor het privacybeleid van de organisatie en bijvoorbeeld het opstellen van nieuwe richtlijnen wenselijk maken. Het is zaak om hier in de organisatie alert op te blijven en hier op een systematische, inzichtelijke en toegankelijke wijze mee om te gaan. Het reglement privacybescherming is een dynamisch document dat actueel gehouden wordt en waarvan de meest actuele versie (digitaal) toegankelijk is voor de gehele organisatie en voor het algemeen publiek.

ALGEMENE BEPALINGEN

1 Begripsbepalingen

1.1 Persoonsgegeven

Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Anonieme gegevens zijn geen persoonsgegevens en vallen niet onder dit reglement.

 

Voorbeelden:

Personalia en identificatiegegevens

Persoonsgegevens, die betrekking hebben op persoonlijke bijzonderheden van betrokkene (naam, adres, woonplaats e.d.).

 

Medische of psychologische gegevens

Persoonsgegevens, direct of indirect betrekking hebbend op de lichamelijke of geestelijke gesteldheid van betrokkene, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening.

 

Financiële en administratieve gegevens

Gegevens die in de administratie van GGD IJsselland en de persoonsdossiers zijn opgenomen, niet zijnde personalia, identificatie-, medische of psychologische gegevens, die noodzakelijk zijn voor de financiering en/of administratieve afhandeling van de zorgverlening.

 

1.2 Verwerking van persoonsgegevens

Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

 

1.3 Bestand

Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografische wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.

 

1.4 Verantwoordelijke

De natuurlijke persoon, rechtspersoon of ieder ander die, of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

 

1.5 Bewerker

Externe persoon of organisatie die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtsgezag te zijn onderworpen.

 

1.6 Betrokkene

Degene op wie een persoonsgegeven betrekking heeft.

N.b. voor de uitoefening van de rechten en verplichtingen van en ten opzichte van de betrokkene kan diens eventuele wettelijke vertegenwoordiger hiervoor in de plaats treden.

 

1.7 Derde

Ieder ander dan de betrokkene, de verantwoordelijke, de bewerker, of degene(n) die onder gezag van de verantwoordelijke of de bewerker gemachtigd is (zijn) om persoonsgegevens te verwerken.

 

1.8 Ontvanger

Degene aan wie de persoonsgegevens worden verstrekt.

 

1.9 Toestemming van betrokkene

Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat zijn persoonsgegevens worden verwerkt.

 

1.10 Autoriteit Persoonsgegevens

Het College dat tot taak heeft toe te zien op de verwerking van persoonsgegevens overeenkomstig de Wet bescherming persoonsgegevens.

 

1.11 Verstrekken van persoonsgegevens

Het bekend maken of ter beschikking stellen van persoonsgegevens.

 

1.12 GGD

GGD IJsselland.

 

1.13 Wbp

De Wet bescherming persoonsgegevens.

ARTIKELGEWIJZE TOELICHTING 1 Begripsbepalingen

De definities uit dit artikel zijn voor het grootste gedeelte (1.1 tot en met 1.10) definities zoals die in de Wet bescherming persoonsgegevens worden gehanteerd.

2 Reikwijdte

2.1 Dit reglement is van toepassing op zowel geautomatiseerde als handmatige verwerking van medische en niet-medische persoonsgegevens binnen de GGD, met uitzondering van personele gegevensverwerkingen.

 

2.2 Voor het beheer van, inzage in c.q. toegang tot personeelsgegevens heeft de GGD regels vastgelegd in een protocol.

 

2.3 Elk gebruik van persoonsgegevens dient te berusten op ten minste één van de volgende gronden:

  • a.

    toestemming van betrokkene

  • b.

    noodzakelijkheid voor de uitvoering of voorbereiding van een overeenkomst

  • c.

    het nakomen van een wettelijke verplichting

  • d.

    noodzakelijkheid ter vrijwaring van vitale belangen (zoals een ernstig gevaar voor de gezondheid)

  • e.

    noodzakelijk voor een goede vervulling van een publiekrechtelijke taak

  • f.

    noodzakelijk in verband met een gerechtvaardigd belang van de verantwoordelijke.

ARTIKELGEWIJZE TOELICHTING 2 Reikwijdte

Dit reglement is van toepassing op verwerkingen van persoonsgegevens die plaatsvinden in het kader van de taken van de GGD op het terrein van de gezondheidszorg. Voor het beheer van, inzage in c.q. toegang tot personeelsgegevens bestaan al afzonderlijke regels voor de organisatie.

 

De Wbp is gebaseerd op een aantal beginselen:

  • *

    rechtmatigheidbeginsel: de gegevensverwerking moet in overeenstemming met de wet, behoorlijk en zorgvuldig zijn;

  • *

    beginsel van doelbinding: er dient sprake te zijn van gegevensverzameling voor welbepaalde en uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Er mogen geen gegevens worden verzameld zonder precies doel;

  • *

    subsidiariteitsbeginsel: kan het doel ook met eenvoudiger middelen worden bereikt?

  • *

    grondslagbeginsel: elk gebruik van persoonsgegevens dient te zijn gebaseerd op ten minste één van de zes in de Wbp (en in artikel 2.3 van het reglement) opgenomen gronden;

  • *

    kwaliteitsbeginsel: de kwaliteit van de gegevens dient te voldoen aan de criteria van : toereikendheid, relevantie, geen bovenmatigheid en nauwkeurigheid;

  • *

    transparantiebeginsel: het moet de betrokkene zichtbaar kunnen worden gemaakt wat er met zijn/haar gegevens gebeurt. Om zijn/haar rechten te kunnen uitoefenen moet hij/zij van de verwerking van hem/haar betreffende gegevens op de hoogte zijn.

VERWERKING VAN PERSOONSGEGEVENS

3 Beschrijving van registraties

3.1 Van alle registraties van persoonsgegevens die bij de GGD in een bestand zijn opgenomen legt de GGD per registratie vast:

  • a.

    de grondslagen van de verwerking

  • b.

    of er sprake is van het inschakelen van (een) bewerker(s), welke dat is (zijn), en of de GGD schriftelijke afspraken heeft gemaakt met de bewerker(s) over de beveiliging van de persoonsgegevens

  • c.

    een omschrijving van de verwerking van de persoonsgegevens

  • d.

    doel(en) van de verwerking

  • e.

    categorieën van betrokkenen

  • f.

    welke (categorieën) van gegevens voor elke categorie van betrokkene worden verstrekt

  • g.

    doel(en) van het verzamelen van de gegevens

  • h.

    welke bijzondere gegevens worden verwerkt van de categorieën van betrokkenen

  • i.

    aan welke ontvangers gegevens worden verstrekt en welk soort gegevens dit betreft

  • j.

    hoe de beveiliging is geregeld

  • k.

    wie toegang heeft tot de persoonsgegevens en welke bevoegdheid zij hebben

  • l.

    voor welke tijd de verwerking geschiedt en wat er na afloop met de gegevens gebeurt.

 

3.2 De beschrijvingen als bedoeld in lid 1 worden bijgehouden door de organisatie en zijn op te vragen bij de GGD.

 

3.3 De bewerker

De GGD verplicht eventueel ingeschakelde bewerkers met een overeenkomst de regels op het gebied van privacybescherming na te leven. De taken, rechten en verplichtingen van de bewerker worden door de verantwoordelijke schriftelijk vastgelegd. Dit houdt in dat de bewerker in ieder geval een geheimhoudingsplicht heeft en slechts toegang heeft tot, dan wel kennis neemt van persoonsgegevens voor zover dit, gelet op technische middelen ter voorkoming daarvan, strikt noodzakelijk is ten behoeve van door hem uit te voeren werkzaamheden.

De bewerker is voorts verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van onder andere apparatuur, programmatuur en de gegevens waarmee de persoonsregistraties worden gevoerd. De ter zake getroffen regelingen zijn bij de bewerker in te zien.

 

3.4 Verstrekking van gegevens

  • 1.

    Voor verstrekking van persoonsgegevens aan derden is in principe de uitdrukkelijke (mondelinge of schriftelijke) toestemming van de betrokkene vereist. Het verstrekken van gegevens aan derden zonder toestemming geschiedt slechts wanneer hier een wettelijke grondslag voor is. Het al dan niet verlenen van toestemming wordt aangetekend in het dossier. In het dossier wordt bij verstrekking van gegevens aan derden eveneens vastgelegd aan wie wanneer welke gegevens zijn verstrekt.

  • 2.

    Binnen de GGD kunnen, voor zover voor hun taakuitoefening noodzakelijk is, persoonsgegevens worden verstrekt aan:

    • degene, die rechtstreeks betrokken is bij de actuele zorg of hulpverlening aan de betrokkene, en

    • personen en instanties, die tot taak hebben de verleende zorg te controleren en te toetsen.

    •  

  • 3.

    Buiten de GGD kunnen, voor zover voor hun taakuitoefening noodzakelijk, persoonsgegevens worden verstrekt, aan:

    • degene, die rechtstreeks betrokken is bij de actuele zorg of hulpverlening aan de betrokkene en tijdelijk of permanent de zorg overneemt, tenzij betrokkene een bezwaar ertegen heeft kenbaar gemaakt

    • personen en instanties, die tot taak hebben de verleende zorg te controleren en te toetsen.

    • betrokken ziektekostenverzekeraar

    • andere personen en instanties voor zover wettelijk is toegestaan.

 

3.5 Toegang tot persoonsgegevens

  • 1.

    Onverminderd eventuele wettelijke voorschriften ter zake hebben toegang tot de persoonsgegevens de beroepsbeoefenaar die deze gegevens verwerkt of diens waarnemer.

  • 2.

    Voorts hebben toegang tot persoonsgegevens in het betreffende bestand de aangewezen gebruikers van de registratie, werkzaam binnen de GGD, die zijn genoemd in de beschrijvingen bedoeld in artikel 3 zijn opgenomen.

  • 3.

    Personen (intern en extern) belast met het uitvoeren van audits in het kader van het kwaliteitsbeleid hebben eveneens toegang tot persoonsgegevens, voor zover dit voor de uitoefening van hun taak als auditor noodzakelijk is.

  • 4.

    De verantwoordelijke heeft als zodanig geen toegang tot persoonsgegevens.

 

3.6 Bewaartermijnen

  • 1.

    Met inachtneming van eventuele wettelijke voorschriften stelt de verantwoordelijke vast hoe lang de in de registratie(s) opgenomen persoonsgegevens bewaard blijven.

  • 2.

    Vernietiging blijft achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, wanneer bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de beroepsbeoefenaar overeenstemming bestaat.

    Indien de bewaartermijn is verstreken, worden de desbetreffende persoonsgegevens binnen één jaar verwijderd en vernietigd.

  • 3.

    Indien de desbetreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.

 

3.7 Beveiliging

De GGD voert beleid op het gebied van gegevensbescherming en legt dit vast. De GGD draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsgegevens tegen verlies of aantasting van gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.

ARTIKELGEWIJZE TOELICHTING 3 Beschrijving van registraties

3.1 Dit artikel is bedoeld om per registratie een concreet beeld te krijgen van voor de privacybescherming relevante aspecten. De onderdelen die per registratie moeten worden beschreven komen deels overeen met de onderdelen die zijn beschreven en gemeld aan de Autoriteit Persoonsgegevens, en zijn aangevuld met enkele andere concrete onderdelen waarover de organisatie afspraken moet hebben. De meldingen aan de Autoriteit Persoonsgegevens zijn echter beperkt tot geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens (die voor de verwezenlijking van (een) doeleinde(n) bestemd is). Op basis van dit artikel in het reglement zijn ook de niet geautomatiseerde registraties in beeld gebracht en beschreven.

 

3.2 De beschrijvingen maken geen direct onderdeel uit van dit reglement maar worden afzonderlijk bijgehouden, waardoor het gemakkelijker is deze actueel te houden en nieuwe beschrijvingen op te nemen zonder het reglement zelf hierop aan te hoeven passen. 3.3 tot en met 3.6

De artikelen 3.3 tot en met 3.6 geven kaders voor de beschrijving van enkele specifieke onderdelen (bewerker, verstrekking van en toegang tot gegevens, bewaartermijnen en beveiliging).

 

Artikel 3.4 gaat over de verstrekking van gegevens aan derden. Hiervoor is in principe toestemming van de betrokkene vereist. Er kunnen echter redenen zijn waarom hiervan toch wordt afgeweken, bijvoorbeeld in het geval van (een ernstig vermoeden van) kindermishandeling. Verschillende wetten geven regels voor gevallen waarin het toestemmingsvereiste niet doorslaggevend hoeft te zijn voor het verstrekken van gegevens aan derden. Zo bepaalt de WGBO dat de hulpverlener zijn verplichtingen na komt tegenover wettelijke vertegenwoordigers van (o.a) de patiënt jonger dan 12 jaar, tenzij die nakoming niet verenigbaar is met de zorg van een goed hulpverlener. Het gaat te ver om al deze bepalingen in het reglement op te nemen. Of aan het toestemmingsvereiste voorbij kan worden gegaan is vaak ook een kwestie van interpretatie van (vrij algemeen geformuleerde) regels. Soms moet van geval tot geval een afweging worden gemaakt. Lid 2 van dit artikel geeft een nadere specificatie van mogelijkheden om persoonsgegevens te verstrekken binnen de wettelijke kaders.

Artikel 4 Geheimhouding

4.1 Degenen die toegang hebben tot persoonsgegevens zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behalve wanneer een wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

4.2 De GGD draagt er zorg voor dat medewerkers op de hoogte zijn van de geheimhoudingsplicht.

ARTIKELGEWIJZE TOELICHTING 4 Geheimhouding

De medewerkers werkzaam voor de GGD die toegang hebben tot persoonsgegevens zijn verplicht tot geheimhouding daarvan (tenzij..). Deze geheimhoudingsplicht wordt expliciet onder hun aandacht gebracht.

5 Informatieplicht

De GGD informeert de betrokkene op de daarvoor wettelijk geldende momenten actief over de persoonsgegevens die worden verwerkt en met welk doel, wat er met de gegevens gebeurt en wie daarvoor verantwoordelijk is. De GGD draagt er zorg voor dat betrokkene over deze informatie kan beschikken.

ARTIKELGEWIJZE TOELICHTING 5 Informatieplicht

De Wbp kent bepalingen over het moment waarop de betrokkene informatie moet worden verstrekt over de identiteit van de verantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens (art. 33,34,44).

6 Rechten van betrokkene

6.1 De betrokkene heeft rechten ten aanzien van op hem betrekking hebbende verwerkte persoonsgegevens, zoals het recht op inzage in, kopie van en/of correctie, aanvulling of verwijdering van persoonsgegevens,

het recht op afscherming van gegevens en het recht op verzet tegen het verwerken van zijn persoonsgegevens.

6.2 Verzoeken ter uitoefening van de rechten worden binnen vier weken na ontvangst van het verzoek in behandeling genomen volgens daarvoor opgestelde protocollen van de GGD.

6.3 Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht,doch deze mag niet meer bedragen dan het hiervoor geldende wettelijke maximum (opgenomen in het Besluit kostenvergoeding rechten betrokkene Wbp). 

ARTIKELGEWIJZE TOELICHTING 6 Rechten van betrokkene

Dit artikel geeft een opsomming van belangrijke rechten van de betrokkene. Op basis van verschillende wetten zijn verschillende rechten van toepassing. Het ‘Protocol uitoefenen cliëntenrechten persoonsgegevens’ geeft de procedures weer die de GGD organisatie hanteert bij een verzoek betreffende het uitoefenen van de rechten t.a.v. een persoonsregistratie m.b.t. de eigen persoon of m.b.t. degene die men wettelijk vertegenwoordigt.

7 Vertegenwoordiging

7.1 De wetgeving die op de verwerking van persoonsgegevens een betrokkene van toepassing is bepaalt wie de rechten m.b.t. de verwerkte persoonsgegevens mag uitoefenen. Indien betrokkene zelf zijn rechten (nog) niet mag uitoefenen kan zijn wettelijk vertegenwoordiger dit doen.

7.2 De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.

7.3 De verantwoordelijke komt zijn verplichtingen die voortvloeien uit wet en reglement na jegens de vertegenwoordiger van de betrokkene, tenzij die nakoming niet verenigbaar is met de zorg van een goed verantwoordelijke.

ARTIKELGEWIJZE TOELICHTING 7 Vertegenwoordiging

De Wbp kent m.b.t. de vertegenwoordiging een iets ander regime dan andere wetten, zoals de Wgbo of de Wmo 2015. De bijzondere wet gaat voor de algemene wet.

8 Klachten

Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij een klacht indienen bij de GGD.

ARTIKELGEWIJZE TOELICHTING 8 Klachten

In het geval van klachten zijn de geldende klachtenprocedures van de GGD van toepassing.

9 Bemoeizorg

De GGD hanteert voor bemoeizorg de landelijke ‘Handreiking gegevensuitwisseling in de bemoeizorg’ (2014) van KNMG en GGZ Nederland

ARTIKELGEWIJZE TOELICHTING 9 Bemoeizorg

Het Dagelijks Bestuur heeft op 4 maart 2011 besloten de landelijke handreiking voor bemoeizorg te hanteren. Dit in verband met de bijzondere doelgroep waar bemoeizorg zich op richt.

10 Informeren medewerkers

De GGD draagt er zorg voor dat de medewerkers op de hoogte zijn van en de beschikking hebben over dit reglement en over protocollen die hierop gebaseerd zijn.

ARTIKELGEWIJZE TOELICHTING 10 Informeren medewerkers

Dit reglement en protocollen op het gebied van privacy staan ter beschikking voor de organisatie via het Intranet en worden actief onder de aandacht gebracht.

11 Meldingen

De GGD draagt er zorg voor dat de organisatie de verwerkingen van persoonsgegevens die vallen onder de meldingsplicht van de Wbp worden gemeld bij het Autoriteit Persoonsgegevens, conform de bepalingen die daarvoor gelden.

ARTIKELGEWIJZE TOELICHTING 11 Meldingen

Voor bepaalde verwerkingen van persoonsgegeven geldt een meldingsplicht. Dit geldt voor geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens die voor de verwezenlijking van een (of meer samenhangende) doeleinde(n) bestemd zijn. Het team Bestuursbureau (medewerker bestuurlijke en juridische zaken) is contactpersoon voor de Autoriteit Persoonsgegevens.

OVERGANGS- EN SLOTBEPALINGEN

12 Looptijd van het reglement

Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende de hele looptijd van de verwerking van de persoonsgegevens.

ARTIKELGEWIJZE TOELICHTING 12 Looptijd

Het is wenselijk dat er een reglement is zolang er registraties worden bijgehouden

13 Inwerkingtreding

Dit reglement en wijzigingen daarvan treden de dag na bekendmaking in werking.

ARTIKELGEWIJZE TOELICHTING 13 Inwerkingtreding

Bekendmaking geschiedt via de website www.overheid.nl. Het reglement is ook te vinden op de website van GGD IJsselland:

www.ggdijsselland.nl

14 Citeertitel

Dit reglement wordt aangehaald als Reglement Privacybescherming GGD IJsselland.

 

Aldus vastgesteld d.d. 20 juni 2017

namens het Dagelijks Bestuur

drs. A.M. (Rianne) van den Berg,

directeur Publieke Gezondhei