start de praktijk de behandeling contact

INTERN PRIVACYBELEID Praktijk voor Psychotherapie Schipper

1. Inleiding

Dit is het privacybeleid van Juliette Schipper. Dit privacybeleid heeft betrekking op het verwerken van (bijzondere) persoonsgegevens in het kader van zowel de zorgverlening als de (interne) bedrijfsvoering van Juliette Schipper.

Juliette Schipper is als zorgaanbieder verwerkingsverantwoordelijke en bepaalt het doel en de middelen voor de verwerking van (bijzondere) persoonsgegevens. Dit document beschrijft de wijze waarop zij als verwerkingsverantwoordelijke met (bijzondere) persoonsgegevens omgaat, zodat aan de vereisten van de Algemene verordening gegevensbescherming (‘AVG’) wordt voldaan.

Aan bod komen de volgende onderwerpen:

2. Actualisatie en controle naleving privacybeleid;

3. Categorieën persoonsgegevens en doelen;

4. Organisatorische en technische maatregelen / beveiliging;

5. Informatieplicht;

6. Verwerkingsregister;

7. Verwerkers en ontvangers;

8. Bewaartermijnen;

9. Beveiligingsincidenten;

10. Rechten van betrokkenen.

2. Actualisatie en controle naleving privacybeleid

Het privacybeleid zal periodiek worden geëvalueerd en zo nodig worden aangepast. Eveneens zal periodiek worden gecontroleerd of het privacybeleid door medewerkers en verwerkers wordt nageleefd.

3. Categorieën persoonsgegevens en verwerkingsdoelen

Juliette Schipper verwerkt persoonsgegevens van de volgende categorieën personen:

a. (potentiële) patiënten;

b. bezoekers aan het praktijkpand;

c. bezoekers van de website van de praktijk;

d. deelnemers aan bijeenkomsten van Juliette Schipper;  

e. medewerkers;

f. alle overige personen die met Juliette Schipper contact opnemen of van wie zij persoonsgegevens verwerkt.

a. (potentiële) patiënten

Juliette Schipper verwerkt persoonsgegevens van (potentiële) patiënten, ten behoeve van identificatie van de patiënt en de uitvoering van de behandelovereenkomst. Voor identificatie gaat het om naam, contact- en adresgegevens, geboortedatum en kenmerk van het identiteitsbewijs en BSN van de patiënt. Voor de uitvoering van de behandelovereenkomst gaat het ook om andere (bijzondere) persoonsgegevens, zoals medische gegevens.

De opgenomen gegevens van een patiënt worden in het ICT-systeem van de praktijk opgeslagen.

b. bezoekers aan de praktijk

Er worden geen camerabeelden gemaakt binnen de praktijk;

c. bezoekers van de website

Via de website worden geen gegevens verzameld.

d. deelnemers aan bijeenkomsten

Bespreking van casus met collega’s wordt uitsluitend geanonimiseerd uitgevoerd.

e. medewerkers

Binnen de praktijk werkt een freelance medewerker. Er zijn geen medewerkers met een dienstverband. Juliette Schipper verwerkt persoonsgegevens van deze medewerker, voor zover dat noodzakelijk is voor de uitvoering van een wettelijke verplichting of als de medewerker toestemming heeft gegeven.  

f. overige personen

In het kader van de behandeling, kan Juliette Schipper ook gebruikmaken van gegevens afkomstig van andere hulpverleners.

4. Organisatorische en technische maatregelen / beveiliging

Uitgangspunt voor Juliette Schipper is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld, zowel intern als bij inschakeling van derde partijen. Voor beide gevallen heeft zij passende technische en organisatorische maatregelen getroffen om persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking.

5. Informatieplicht

Juliette Schipper informeert de freelance praktijkondersteuner over hoe met persoonsgegevens wordt omgegaan. Voor haar, is om die reden een extern privacystatement opgesteld.  

6. Verwerkingsregister

Juliette Schipper houdt een verwerkingsregister bij. Dit register bevat een beschrijving van onder meer de verwerkingsdoeleinden, categorieën betrokkenen en ontvangers, bewaartermijnen en beveiligingsmaatregelen. In het verwerkingsregister worden verwerkingsactiviteiten per categorie betrokkene en per categorie persoonsgegeven bijgehouden.

Het verwerkingsregister (Excel-bestand) is opgenomen in het ICT-systeem van de praktijk.  

7. Verwerkers en ontvangers

Verwerkers

Juliette Schipper kan bij het verwerken van persoonsgegevens gebruikmaken van externe dienstverleners. Deze dienstverleners verwerken uitsluitend persoonsgegevens op instructie van haar. Met deze partijen heeft zij verwerkersovereenkomsten gesloten. In deze overeenkomsten zijn afspraken vastgelegd over onder meer de aard en doeleinden van de verwerking, het soort persoonsgegevens dat wordt verwerkt, geheimhoudingsplicht, instructies over de verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van subverwerkers, privacyrechten van betrokkenen, audits en controle alsook het retourneren en/of verwijderen van persoonsgegevens door de verwerker.

Juliette Schipper maakt gebruik van de volgende verwerkers:

Petra Knötschke

Ontvangers

Juliette Schipper verstrekt persoonsgegevens van betrokkenen aan derden wanneer dat noodzakelijk is in het kader van de uitvoering van de behandelovereenkomst, de uitvoering van een (arbeids)overeenkomst of in geval van een wettelijke verplichting. Daarbuiten worden geen persoonsgegevens aan derden verstrekt zonder voorafgaande uitdrukkelijke toestemming van de betrokkene.  

8. Bewaartermijnen

Juliette Schipper vernietigt persoonsgegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden. De persoonsgegevens worden in dat geval verwijderd.

Zij hanteert in beginsel de volgende bewaartermijnen:

a. medische gegevens: ten minste 15 jaar na het einde van de behandelovereenkomst;

b. (financieel-)administratieve gegevens: 7 jaar na vastlegging van de gegevens.

9. Beveiligingsincidenten

Juliette Schipper heeft passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beëindigen en de schade zo veel mogelijk te beperken, dient als volgt te worden gehandeld.

Bij elk incident met betrekking tot persoonsgegevens zal Juliette Schipper beoordelen:

- of sprake is van een incident dat betrekking heeft op (bijzondere) persoonsgegevens;

- welke maatregelen genomen moeten worden om het incident te beëindigen en de gevolgen te beperken;

- of inschakeling van een externe partij is benodigd om bij de oplossing van het incident te assisteren;

- of het incident aan de AP dient te worden gemeld;

- of degenen op wie de persoonsgegevens betrekking hebben, over het incident dienen te worden ingelicht;

- welke maatregelen er genomen moeten worden om herhaling van het incident te voorkomen.

Juliette Schipper documenteert alle inbreuken in verband met persoonsgegevens in het datalekkenregister.  

10. Rechten van betrokkenen

Rechten die een betrokkene volgens de AVG in zijn algemeenheid heeft, zijn het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid, het recht van bezwaar en het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming. Juliette Schipper heeft zodanige technische maatregelen genomen dat aan een gerechtvaardigde uitoefening van deze rechten gevolg kan worden gegeven.

Verzoeken van betrokkenen met betrekking tot persoonsgegevens worden door Juliette Schipper afgewikkeld.

Verzoeken en de afhandeling daarvan worden opgeslagen in een afzonderlijke map in het ICT-systeem.

In beginsel worden aan de verzoeker voor de behandeling van het verzoek geen kosten in rekening gebracht. Niettemin kan de verzoeker een redelijke vergoeding op basis van de administratieve kosten in rekening worden gebracht, bijvoorbeeld in geval van herhaalde (ongegronde) verzoeken of als meer dan één kopie van een dossier wordt verlangd.

Als het verzoek wordt gehonoreerd en het verzoek heeft betrekking op rectificatie, wissing of beperking van de verwerking, dienen ook de externe partijen die de persoonsgegevens hebben ontvangen van het verzoek in kennis te worden gesteld.