Privacyreglement GGZ Heuvelrug

1. Begripsomschrijvingen
In dit reglement wordt onder de hierna aangegeven begrippen en termen het volgende verstaan:
a. persoonsgegevens: een gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
b. persoonsregistratie: een samenhangende verzameling van op verschillende personen betrekking hebbende persoonsgegevens, die al dan niet langs geautomatiseerde weg wordt gevoerd of met het oog op een doeltreffende raadpleging van die gegevens systematisch is aangelegd, ongeacht of die registratie gecentraliseerd of verspreid is.
c. cliënt: degene met wie of ten behoeve van wie door de verantwoordelijke een geneeskundige behandelingsovereenkomst is gesloten.
d. verantwoordelijke: GGZ Heuvelrug, ten deze vertegenwoordigd door haar Raad
van Bestuur, die het doel van en de middelen voor de verwerking van de
persoonsgegevens vaststelt.
e. professional: de middels arbeids- of raamovereenkomst aan GGZ Heuvelrug verbonden, bij de uitvoering van de geneeskundige behandelingsovereenkomst betrokken, hulpverlener.
f. hulpverlener: de bij de uitvoering van de behandelingsovereenkomst betrokken hulpverleners, al dan niet verbonden aan GGZ Heuvelrug.
g. personeel: personen die aan het rechtstreeks gezag van GGZ Heuvelrug zijn onderworpen, daaronder niet begrepen een professional of een bewerker.
h. bewerker: degene, die ten behoeve van de verantwoordelijke, daartoe gemachtigd door de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen, daaronder niet begrepen de professionals.
i. derde: ieder niet zijnde cliënt, verantwoordelijke, professional, hulpverlener, personeel of bewerker.
j. verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens uit de registratie aan een derde.
k. verwerken van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden of op enigerlei wijze te beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
l. verwijzer: individuele, natuurlijke persoon die rechtmatig bevoegd is tot het doen van verwijzingen naar een een ggz-instelling voor Basis- en/of specialistische ggz.

2. Dossierplicht en doel van de persoonsregistratie
2.1 De verantwoordelijke en de professionals zijn als hulpverleners gehouden een dossier in te richten met betrekking tot de behandeling van de cliënt.
2.2 Het doel van het aanleggen van waarborgen van een goede zorg en hulpverlening aan de cliënt, daaronder begrepen intercollegiale toetsing en kwaliteitsbewaking van de door de verantwoordelijke te leveren zorg, alsmede in het voorkomende geval het kunnen behandelen van klachten en procedures.
2.3. In het dossier worden gegevens opgenomen omtrent de gezondheid van de cliënt en de te diens aanzien uitgevoerde verrichtingen, alsmede andere gegevens voor zover die voor een goede hulpverlening noodzakelijk is.
2.4 In dit reglement wordt niet beoogd om ten nadele van de cliënt van de wettelijke regeling af te wijken.

3. Beroepsgeheim en verwerking persoonsgegevens
3.1 De verantwoordelijke en iedere bij de behandeling betrokken hulpverlener hebben de plicht om te zwijgen over alles wat hen bekend wordt in het kader van de behandeling. Zij zijn hiervan slechts ontheven na toestemming van de cliënt, door een wettelijke plicht tot gegevensverstrekking, alsmede in het overleg met hulpverleners die deel uitmaken van de behandeleenheid en bij een ernstig conflict van plichten. De verantwoordelijke heeft tot taak om het personeel te wijzen op het afgeleid beroepsgeheim en toe te zien op het respecteren daarvan.
3.2 Persoonsgegevens worden slechts verwerkt, indien en voor zover dit noodzakelijk is voor de uitvoering van de behandelingsovereenkomst, of na toestemming van de cliënt, of indien dat noodzakelijk is ter bestrijding van een ernstig gevaar voor de gezondheid van de cliënt, of ter nakoming van een wettelijke plicht, of indien dit noodzakelijk is met het oog op het belang van een ander dan de cliënt en het belang van degene van wie de gegevens worden verwerkt gelet op de bijzondere omstandigheden van het geval daarvoor dient te wijken.
3.3 De verantwoordelijke, het personeel, een bewerker en de bij de behandeling betrokken hulpverleners zijn slechts bevoegd tot verwerking van de persoonsgegevens, daaronder begrepen inzage in de persoonsregistratie, voor zover dat voor de uitvoering van hun taken noodzakelijk is.

4 Verplichtingen van de verantwoordelijke
4.1 De verantwoordelijke treft de nodige voorzieningen ter bevordering van de juistheid en de volledigheid van de in de persoonsregistratie opgenomen gegevens. De gegevens worden digitaal opgeslagen op de door de verantwoordelijke daartoe voorgeschreven wijze.
4.2 De verantwoordelijke draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsregistratie tegen verlies of aantasting van de daarin opgenomen gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.
4.3 De verantwoordelijke kan een bewerker bij schriftelijke overeenkomst opdracht geven om, uitsluitend ten behoeve van de verantwoordelijke en in overeenstemming met de bepalingen van dit reglement, persoonsgegevens uit de persoonsregistratie te verwerken. De verantwoordelijke draagt er zorg voor dat in de overeenkomst met een bewerker bepalingen worden opgenomen op grond waarvan de bewerker waarborgt dat eenzelfde bescherming van de persoonlijke levenssfeer geldt als die welke met dit reglement wordt beoogd.

5 Rechten van de client
Inzage en afschrift
5.1 De cliënt heeft recht op inzage in en afschrift van de met betrekking tot zijn persoon in de persoonsregistratie verwerkte gegevens. De verstrekking blijft achterwege voor zover dit noodzakelijk is in het belang van de bescherming van de persoonlijke levenssfeer van een ander.
5.2 Een verzoek om inzage of afschrift van de gegevens wordt schriftelijk ingediend
bij de verantwoordelijke of de professional. Een verzoek om een specificatie van
de financiële gegevens wordt schriftelijk ingediend bij het secretariaat van GGZ .. Heuvelrug. De gegevens worden slechts aan de cliënt verstrekt in persoon en nadat . deze zich met een geldig legitimatiebewijs heeft gelegitimeerd.
5.3 Het secretariaat behandelt het verzoek zo spoedig mogelijk, doch uiterlijk binnen vier weken. Een weigering om aan het verzoek te voldoen wordt met redenen omkleed. Van het verlenen van inzage of afschrift wordt een aantekening gemaakt in de persoonsregistratie.
Verwijdering gegevens
5.4 Op verzoek van de cliënt worden gegevens met betrekking tot de persoon van de cliënt uit de persoonsregistratie verwijderd, tenzij
a. de wet het bewaren van de gegevens, ondanks een verzoek van de cliënt tot vernietiging of verwijdering, dwingend voorschrijft;
b. een ander dan de cliënt een aanmerkelijk belang heeft bij het bewaren van de gegevens, of
c. goed hulpverlenerschap aan de verwijdering of vernietiging in de weg staat.
5.5 Een verzoek tot verwijdering van gegevens wordt schriftelijk ingediend bij de verantwoordelijke en met redenen omkleed.
5.6 De verantwoordelijke beslist binnen drie maanden op het verzoek. Van de beslissing wordt schriftelijk kennis gegeven aan de cliënt. Het verzoek en de beslissing worden bewaard.
Mededeling wijziging
5.7 De verantwoordelijke doet mededeling van de correctie of verwijdering van de persoonsgegevens aan degenen aan wie naar zijn weten in het jaar voorafgaand aan het desbetreffende verzoek tot correctie of verwijdering en in de sinds dat verzoek verstreken periode de gegevens heeft verstrekt waarop de correctie of verwijdering betrekking heeft. De verantwoordelijke meldt aan de cliënt aan wie een dergelijke mededeling is gedaan.

6 Verstrekking van gegevens aan derden
6.1 Persoonsgegevens uit de persoonsregistratie worden slechts verstrekt aan derden ………….met inachtneming van het bepaalde in 3.1 van dit reglement omtrent het ………….beroepsgeheim.
Gepseudonimiseerde gegevens die betrekking hebben op de voortgang van de behandeling en het resultaat (zoals bijvoorbeeld ROM-gegevens) worden met een sectorbrede databank gedeeld, onder andere om benchmarking mogelijk te maken.
6.2 Cliënt kan bezwaar maken tegen het verstrekken van diagnostische gegevens op de factuur van de verzekeraar, zie hiervoor de privacyverklaring (in epos)

7. Gegevensverstrekking na overlijden
Het beroepsgeheim van de hulpverleners blijft ook na het overlijden van de cliënt van kracht. Nabestaanden en andere derden kunnen de hulpverlener niet van zijn beroepsgeheim ontheffen. Gegevens worden na het overlijden van de cliënt slechts verstrekt indien:
a. de cliënt daartoe vóór het overlijden toestemming heeft gegeven;
b. de toestemming van de cliënt kan worden verondersteld;
c. een wettelijke plicht tot verstrekking van de gegevens bestaat;
d. er een conflict van plichten bestaat ter voorkoming van ernstig nadeel bij een derde of de cliënt zelf;
e. er een zwaarwegend belang is dat noopt tot doorbreking van het beroepsgeheim;

8 Bewaartermijn gegevens
De wettelijke bewaartermijn voor medische gegevens is 15 jaar, te rekenen vanaf het tijdstip waarop de gegevens in de persoonsregistratie zijn opgenomen, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit.

9 Geschillen
9.1 Indien de verantwoordelijke een uit dit reglement voortvloeiende verplichting niet nakomt kan de geregistreerde zich met een klacht tot de verantwoordelijke wenden.
9.2 Een dergelijke klacht wordt behandeld overeenkomstig het door de verantwoordelijke vastgestelde klachtenbeleid.

10. Meldplicht Datalekken
Wanneer er ondanks alle zorgvuldigheid onbedoeld privacy gevoelige informatie bij onbevoegden terecht is gekomen of heeft kunnen komen, is er sprake van een datalek. Een datalek moet direct gemeld worden aan de Functionaris gegevensbeheer van GGZ Heuvelrug. De Raad van Bestuur zal ervoor zorg dragen dat het datalek gemeld wordt bij de Autoriteit persoonsgegevens en zo nodig aan de betrokken perso(o)n(en) wiens gegevens zijn gelekt.

11. Slotbepalingen
Dit reglement is ter inzage op de website van GGZ Heuvelrug