Reglement Privacy - en Informatiebeveiliging Yes We Can Clinics 

1. Reikwijdte en Beleid 

Yes We Can Clinics staat voor optimale databeveiliging en waarborgt het recht op privacy. Daarvoor treft Yes We Can alle noodzakelijke maatregelen om risico’s op schending daarvan beheersbaar te houden. Het bestuur is verantwoordelijk en de stafmedewerkers kwaliteit en beleid en ICT nemen hierin het voortouw. Waar nodig schakelen we externe expertise in, o.a. als het gaat om het inschatten van risico’s. Jaarlijks wordt de risico-inventarisatie geactualiseerd en maatregelen/beleid zo nodig bijgesteld. Dit als onderdeel van de jaarlijkse managementbeoordeling, die uitgevoerd wordt met het oog op de ISO 9001. Het beleid is verwoord in het privacyreglement en het verwerkingsregister. Beiden zijn openbaar en opvraagbaar. Intern toezicht wordt uitgevoerd door de Functionaris Gegevensbescherming. Dit reglement is van toepassing binnen Yes We Can Clinics en heeft betrekking op de verwerkingen van gegevens van hen die bij Yes We Can onder behandeling zijn, zijn geweest, zich hebben aangemeld of contact hebben gezocht. Dit reglement is van toepassing op zowel op papier als elektronisch verwerkte gegevens. 

2.1 Definities 

Persoonsgegevens: Elk gegeven dat is ter herleiden tot een persoon. 

Gezondheidsgegevens: Gegevens over de lichamelijke of geestelijke gezondheid van een persoon. 

Bijzondere gegevens: Gegevens over godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven. Strafrechtelijke en aanverwante gegevens behoren hier ook toe. 

Verwerking van persoonsgegevens: Alle handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of in een andere vorm beschikbaar stellen, samenbrengen, met elkaar in verband brengen, alsmede het versleutelen, afschermen, uitwissen of vernietigen van gegevens.

Bestand: Elk gestructureerd geheel van persoonsgegevens. 

Medewerker: Degene die betrokken is bij het betreffende dossier. Het betreft hier in alle gevallen een behandelaar, behandelcoördinator, hoofdbehandelaar en een medewerker van de zorgadministratie en/of secretariaat. 

Bewerker: Degene die voor Yes We Can Clinics zelfstandig en op eigen verantwoordelijkheid persoonsgegevens verwerkt (bijvoorbeeld een externe kwaliteitsauditor of een onderzoeksbureau). 

Betrokkene: Degene op wie een persoonsgegeven betrekking heeft, meestal de jongere, of zijn (wettelijk) vertegenwoordiger. 

Derde: Elke persoon of instantie die geen betrokkene, bewerker, of een persoon is die namens Yes We Can Clinics of de bewerker persoonsgegevens verwerkt, zoals een hulpverlener of P&O-medewerker. 

Toestemming van de betrokkene: Door betrokkene in vrijheid gegeven, specifieke en op basis van goede informatie berustende toestemming voor de verwerking van zijn persoonsgegevens. 

Autoriteit Persoonsgegevens: (AP): De toezichthouder, de onafhankelijke instantie die erover waakt dat persoonsgegevens zorgvuldig en veilig worden verwerkt en zo nodig sancties kan opleggen als dat niet gebeurt. 

Datalek: inbreuk op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 WBP). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. 

Cookie:  een klein bestandje dat met pagina’s van deze website wordt meegestuurd en door uw browser op uw harde schrijf van uw computer wordt opgeslagen.

2.2 Goede en veilige verwerking van gegevens van patiënten 

2.2.1 Voor welke doelen mogen gegevens worden verwerkt? 
Binnen Yes We Can Clinics worden persoonsgegevens alleen verwerkt: 

1. met een duidelijk doel en niet meer dan nodig: persoonsgegevens worden alleen verwerkt voor welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en moeten toereikend, relevant en niet bovenmatig zijn. 

2. met toestemming van betrokkene; 

3. nodig voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, bijvoorbeeld de behandelingsovereenkomst; 

4. nodig om een wettelijke verplichting na te komen, bijvoorbeeld de dossierplicht in de Wgbo of gegevensverstrekking bij overplaatsing van een gedwongen opgenomen patiënt vanaf het moment van overplaatsing voor de behandeling verantwoordelijke persoon; 

5. nodig om ernstig gevaar voor de gezondheid van betrokkene te bestrijden, bijvoorbeeld overdrachtsinformatie aan derden bij crisis of cameratoezicht in de waakkamer; 

6. nodig voor de goede vervulling van een publiekrechtelijke taak door een bestuursorgaan, bijvoorbeeld de informatie die de gemeente nodig heeft in verband met een herindicatie van ondersteuning op grond van de Wmo 2015 of 

7. noodzakelijk voor de belangen van Yes We Can Clinics of van een derde én het belang van degene van wie de gegevens worden verwerkt niet prevaleert; 

2.2.2 Welke beveiligingsmaatregelen worden getroffen? 
Yes We Can Clinics beveiligt persoonsgegevens tegen verlies of enige vorm van onrechtmatige of onnodige verwerking. Bij het treffen van beveiligingsmaatregelen wordt een afweging gemaakt tussen enerzijds de stand van de techniek en de kosten van de tenuitvoerlegging en anderzijds de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. Voor de verstrekking van gegevens via e-mail wordt zo mogelijk gebruik gemaakt van de beveiligde emailverbinding. 

2.2.3 Wie mag gezondheidsgegevens verwerken? 
Hulpverleners en medewerkers van Yes We Can Clinics mogen alleen gezondheidsgegevens verwerken die voor een goede behandeling of verzorging van de betrokkene of het beheer van Yes We Can Clinics noodzakelijk zijn. Iedere medewerker binnen Yes We Can Clinics heeft voor geheimhoudingsplicht getekend in de arbeidsvoorwaarden. Mochten er stagiaires of andere externen (tijdelijk) werkzaam zijn, dient er ook getekend te worden voor geheimhouding. 

2.2.4 Gegevensverwerking door (extern) Bewerker 
Yes We Can Clinics kan de verwerking (extern) uitbesteden aan een bewerker. De bewerker, waaraan een deel van gegevensverwerking is uitbesteed, is daarnaast zelfstandig aansprakelijk zijn voor schade of een deel van de schade die voortvloeit uit zijn werkzaamheden. Hoe 3 die aansprakelijkheid wordt verdeeld, wordt beoordeeld door de schadeverzekeraar of de rechter. Yes We Can Clinics heeft goede afspraken vastgelegd in een bewerkersovereenkomst. 

2.2.5 Aansprakelijkheid Yes We Can Clinics en/of bewerker / bewerkersovereenkomst. 
Yes We Can Clinics is in beginsel verantwoordelijk en aansprakelijk voor schade die voortvloeit uit het toerekenbaar tekortschieten of niet voldoende naleven van de Wbp, waaronder de beveiligingseisen in artikel 13. 

2.2.6 Wanneer mogen bijzondere gegevens worden verwerkt? 
Bijzondere gegevens mogen alleen als aanvulling op gezondheidsgegevens worden verwerkt als dat nodig is voor goede behandeling of verzorging van de betrokkene. 

2.2.7 Wanneer mogen gegevens aan een ander worden verstrekt voor wetenschappelijk onderzoek en statistiek op het gebied van de volksgezondheid?
Als de gegevens geanonimiseerd zijn, waarmee deze gegevens niet tot de betrokkene herleidbaar zijn en dan alleen met toestemming van betrokkene, tenzij: a. het vragen van toestemming in redelijkheid niet mogelijk is maar bij de uitvoering van het onderzoek zodanige waarborgen gelden, dat de persoonlijke levenssfeer van de patiënt niet onevenredig wordt geschaad, of b. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener ervoor zorgt dat gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen. Verder moet: het onderzoek een algemeen belang dienen en aangetoond zijn dat het onderzoek niet zonder de gegevens kan worden uitgevoerd. 

2.2.8 Afspraken met de onderzoeker 
Yes We Can Clinics en de onderzoeker maken schriftelijke afspraken over de maatregelen die de onderzoeker neemt om de privacy van de betrokkene te beschermen. 

2.2.9 Geheimhoudingsplicht 
Persoonsgegevens worden alleen verwerkt door personen met een plicht tot geheimhouding op grond van de wet of overeenkomst. Bij de verstrekking van gegevens aan derden worden de voorschriften van GGZ Nederland gevolgd: Wegwijzer Beroepsgeheim in samenwerkingsverbanden en Handreiking Beroepsgeheim. 

2.2.10 Hoe worden persoonsgegevens bewaard? 
Yes We Can Clinics bewaart gegevens op een veilige wijze, die in overeenstemming is met de geldende wet- en regelgeving. 

2.2.11 Hoe lang worden persoonsgegevens bewaard? 
Persoonsgegevens worden niet langer bewaard dan noodzakelijk is om de doelen te bereiken waarvoor de gegevens worden verwerkt, tenzij a. zij geanonimiseerd worden of b. voor zover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard. In de Wgbo geldt als algemene regel dat gegevens vijftien jaren na beëindiging van de behandeling worden bewaard. YWCC hanteert dit tevens als maximum. Camerabeelden gemaakt voor de beveiliging en beelden gemaakt in de waakkamer zijn bedoeld om live te bekijken en worden uiterlijk binnen 1 week gewist.

2.2.12 Meldplicht datalekken 
Yes We Can Clinics is verplicht een datalek te melden aan de AP als het datalek/de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt. Dit gebeurt via het meldloket datalekken. Yes We Can Clinics is verplicht de betrokkene(n) over een datalek te informeren als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens/hun persoonlijke levenssfeer. Bij het bepalen of sprake is van ernstige nadelige gevolgen voor de algemene privacy of in het bijzonder de privacy van betrokkene(n), wordt de Beleidsregels meldplicht datalekken van de AP gebruikt. 

2.3 Rechten van de betrokkenen 

2.3.1 Informatieplicht 
Als Yes We Can Clinics gegevens bij de betrokkene zelf opvraagt, informeert hij de betrokkene voorafgaand aan het verkrijgen van zijn persoonsgegevens over: 
a. de identiteit van de verzoeker; 
b. de doelen waarvoor zijn gegevens zijn bestemd en 
c. waarom het nodig is dat de verzochte gegevens verwerkt. 
d. extra informatie als dat voor goede zorg nodig is. 
e. de rechten van de betrokkene en op welke wijze de betrokkene deze rechten kan inroepen. 

Als Yes We Can Clinics (medewerker) gegevens van de betrokkene opvraagt bij een ander, informeert hij de betrokkene, voor zover deze dat nog niet weet, over zijn identiteit en de doeleinden van de verwerking en geeft hem de nodige nadere informatie: a. op het moment van vastlegging van de hem betreffende gegevens, of b. wanneer de gegevens bestemd zijn om te worden verstrekt aan een derde, uiterlijk op het moment van de eerste verstrekking. Yes We Can Clinics hoeft de betrokkene niet te informeren als het informeren van betrokkene onmogelijk blijkt of een onevenredige inspanning kost of als de verstrekking op grond van wet- en regelgeving verplicht is. In dat geval moet Yes We Can Clinics de betrokkene op diens verzoek informeren over het wettelijk voorschrift dat hem tot de vastlegging of verstrekking van de hem betreffende gegevens verplicht. 

2.3.2 Inzage en afschrift/kopie 
De betrokkene van 12 jaar of ouder heeft het recht op inzage en een kopie van de op zijn persoon betrekking hebbende verwerkte gegevens. Het gaat hier om informatie in zowel het digitale als het papieren patiëntendossier. Aantekeningen van behandelaar vallen hier niet onder. Hetzelfde geldt voor degene die als wettelijk vertegenwoordiger toestemming moet geven voor de behandelingsovereenkomst. De gevraagde inzage en/of de gevraagde kopie moet zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt. Voor de verstrekking van een kopie kan Yes We Can Clinics een vergoeding in rekening brengen. Inzage of afschrift kan worden geweigerd als dat noodzakelijk is in het belang van het kind of wanneer de persoonlijke levenssfeer van een ander wordt geschaad, bijvoorbeeld bij een vermoeden van kindermishandeling kan een ouder inzage in het kinddossier worden geweigerd en gescheiden ouders hebben geen inzage in informatie over elkaar. 

2.3.3 Aanvulling, verbetering of verwijdering, vernietiging en afscherming van persoonsgegevens 
De betrokkene kan schriftelijk vragen om a. zijn gegevens aan te vullen of van een eigen verklaring toe te voegen aan zijn dossier, b. correctie van zijn gegevens als deze onjuist, onvolledig of niet relevant zijn, of in strijd met de wet, in de verwerking voorkomen, c. bepaalde gegevens voor bepaalde personen af te schermen en hen de toegang tot die gegevens te laten blokkeren, d. om vernietiging van op hem betrekking hebbende gegevens. 5 Yes We Can Clinics informeert de verzoeker binnen vier weken na ontvangst van een schriftelijk verzoek tot aanvulling, correctie of vernietiging van zijn gegevens, of en op welke manier aan het verzoek voldaan wordt, met opgave van redenen. De beslissing tot verwijdering en/of vernietiging van gezondheidsgegevens wordt geregistreerd in het dossier van patiënt. Een verzoek tot gegevensvernietiging mag alleen worden geweigerd als: a. de wet zich tegen de vernietiging verzet; b. een derde een aanmerkelijk belang heeft bij bewaring van die gegevens, bijvoorbeeld een kind van een patiënt heeft een erfelijke ziekte; c. de patiënt heeft een procedure tegen de hulpverlener aangespannen of het is waarschijnlijk dat hij dit zal doen; d. in het dossier gegevens over (vermoedens van) kindermishandeling staan dan kunnen deze op grond van de Meldcode Huiselijk Geweld en Kindermishandeling alleen op verzoek van het kind zelf worden vernietigd en uitsluitend als het kind de leeftijd van 16 jaar heeft bereikt en wilsbekwaam kan worden geacht. 

2.3.4 Recht van verzet 
Betrokkene kan verzet aantekenen tegen een verwerking als nodig voor de goede vervulling van een publiekrechtelijke taak door een bestuursorgaan, of in het belang van Yes We Can Clinics of van een derde, tenzij het wettelijke openbare registers zijn. Yes We Can Clinics beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is, beëindigt hij onmiddellijk de verwerking. 

2.4 Vertegenwoordiging 

De wilsbekwame jeugdige van twaalf jaar of ouder oefent zelfstandig zijn rechten over zijn persoonsen gezondheidsgegevens uit. Vernietiging van gegevens over (vermoedens van) kindermishandeling vindt uitsluitend plaats met toestemming van een wilsbekwame jeugdige van zestien jaar en ouder. 

Is de betrokkene ouder dan achttien jaar en wilsonbekwaam, dan treedt als vertegenwoordiger voor hem op: de curator of mentor; indien er geen curator of mentor is; de persoon die de betrokkene schriftelijk heeft gemachtigd; indien er geen gemachtigde is, de echtgenoot of levensgezel van de betrokkene en indien deze ook ontbreekt een kind, broer of zus van de betrokkene. In het uiterste geval zorgt Yes We Can Clinics ervoor dat er zo snel mogelijk een wettelijk vertegenwoordiger voor betrokkene optreedt. Zo nodig, als familie of naaste dat niet kan of wil, verzoekt hij de rechter om een vertegenwoordiger te benoemen. 

2.5 Verplichte melding van gegevensverwerkingen 

Verwerkingen van persoons- en gezondheidsgegevens binnen Yes We Can Clinics worden gemeld bij de AP voor zover dit vereist is. 

2.6 Wat doen we met cookies?

Yes We Can Clinics plaatst “analytics cookies” van Google op uw computer. Wij gebruiken deze dienst om bij te houden en rapportages te krijgen over hoe bezoekers de website gebruiken en of onze site naar behoren werkt. Google kan deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover derden de informatie namens Google verwerken. Wij hebben hier geen invloed op. De informatie die Google verzamelt wordt zo veel mogelijk geanonimiseerd. Uw IP-adres wordt nadrukkelijk niet meegegeven. De informatie wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten.

2.7 Bij een klacht 

Bij een klacht over de naleving van dit reglement of een andere klacht, kan de betrokkene zich wenden tot de Functionaris Gegevensbescherming Brigitte de Jager, St. Gerardusplein 32, 5644 NG Eindhoven, brigitte.dejager@ywcc.nl.

2.8 Wijzigingen en inzage van dit reglement 

Dit reglement geldt per 1 januari 2018 en is in te zien op de website van Yes We Can Clinics.

Bronnen: Wet- en regelgeving via: http://wetten.overheid.nl/zoeken/ De website van de AP 6 Het naslagwerk Persoonsgegevens AP Beleidsregels handhaving door de AP, Hooghiemstra/Nouwt, Sdu Commentaar Wet bescherming persoonsgegevens, Sdu Uitgevers, Den Haag 2014, GGZ Nederland (redactie), Vraagbaak Psychiatrie en recht, 400 veelgestelde vragen, tweede druk (2007) GGZ Nederland, Handreiking WGBO (2013) GGZ Nederland, Handreiking beroepsgeheim. stappen voor zorgvuldig handelen (2012). GGZ Nederland, Over sommige patiënten moet je praten (2012) KNMG, GGZ Nederland c.s. Wegwijzer beroepsgeheim in samenwerkingsverbanden (2014)