Inleiding
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Dit is een nieuwe Europese privacywet. De AVG komt in plaats van de oude Wet bescherming persoonsgegevens (Wbp). In de AVG staan een aantal verplichte maatregelen genoemd waaraan ik, als therapeut, moet voldoen omdat ik gegevens vastleg in cliëntendossiers.
Verplichte maatregelen
De verplichte maatregelen die de AVG concreet noemt zijn:
- het bijhouden van een register van verwerkingsactiviteiten;
- het (laten) uitvoeren van een veiligheidscontrole van het digitale cliëntendossier. (Inner-Tree heeft geen digitaal dossier)
- het bijhouden van een register van datalekken die zijn opgetreden;
- het aantonen dat een cliënt daadwerkelijk toestemming heeft gegeven voor het vastleggen van gegevens in het cliëntendossier.
1. Welke persoonlijke gegevens we verzamelen en waarom we die verzamelen
CLIENTEN DOSSIER
De Wet op de geneeskundige behandelovereenkomst (WGBO) heeft mij als uw begeleider opgelegd een dossier aan te leggen. Deze informatie wordt vooraf aan elke nieuwe klant verstrekt via een behandelovereenkomst cq. “informed consent”. De informatie is ook te vinden op deze website in de sectie Veelgestelde Vragen/FAQ.
Jouw dossier bevat jouw naam, adres, geboortedatum, telefoonnummer, e-mailadres en wanneer je dat doorgeeft het relatienummer van jouw zorgverzekeraar. Jouw dossier bevat mijn zeer summiere aantekeningen op, en steekwoorden van voor mij opvallende zaken en een zeer korte beschrijving van de sessie of het resultaat daarvan. Ook worden in het dossier gegevens opgenomen die voor jouw behandeling noodzakelijk zijn en die ik, na jouw expliciete toestemming, heb opgevraagd bij een andere zorgverlener. Wat ik niet opneem zijn aantekeningen over jouw gezondheidstoestand en gegevens over uitgevoerde onderzoeken, behandelingen en sessies.
Deze gegevens in het cliëntendossier worden 20 jaar bewaard conform de wettelijke bewaartermijn uit de WGBO. Na die termijn, of bij mijn overlijden, wordt jouw dossier vernietigd. Er is dus geen overdracht zoals wel is vereist.
Wij doen ons best om jouw privacy te waarborgen. Dit betekent onder meer dat wij:
- zorgvuldig omgaan met jouw persoonlijke en medische gegevens,
- er voor zorgen dat onbevoegden geen toegang hebben tot jouw gegevens
- als uw behandelende therapeut heb ik als enige toegang tot de gegevens in jouw dossier.
Geen enkele informatie zal aan derden (zoals huisarts, specialist, andere therapeut ingeval van overdracht en/of doorverwijzing) gegeven worden, tenzij na jouw schriftelijk toestemming; óf wanneer de wet of mijn zorgplicht de geheimhouding doorbreekt.
De gegevens uit jouw dossier kunnen ook nog voor de volgende doelen gebruikt worden:
- Om letselschade verzekeraars te informeren, bijvoorbeeld over het verloop van de sessies. Dit gebeurt alleen met jouw expliciete toestemming en nadat duidelijk is wie de factuur betaalt.
- Voor het gebruik voor waarneming, tijdens mijn afwezigheid.
- Voor het geanonimiseerde gebruik tijdens intercollegiale toetsing.
- Een deel van de gegevens uit jouw dossier wordt gebruikt voor de financiële administratie, zodat ik of mijn administrateur, een factuur kan opstellen volgens de vereisten van de zorgverzekeraars.
- Om jou gepersonaliseerde emails te sturen; daarmee krijg je updates en nieuwsbrieven van mijn praktijk. In geen geval zal jouw mailadres aan iemand anders worden gegeven. Je kunt je ten alle tijden uitschrijven van de nieuwsbrieven.
- Om te kunnen beeldbellen wanneer sessies online zijn.
- Als ik vanwege een andere reden gebruik wil maken van jouw gegevens, dan zal ik jou eerst informeren en expliciet jouw toestemming vragen.
CLIENTEN DOSSIER EN JOUW RECHTEN
Je hebt -na afspraak- binnen de muren van de praktijk het recht op inzage in het dossier over jou en alle verdere rechten die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG) daarop betrekking hebbende. Er worden kosten in rekening gebracht voor de tijd van voorbereiden en inzage.
CLIENTEN DOSSIER EN ZORGNOTA
Op de zorgnota die je ontvangt staan de gegevens die door de zorgverzekeraar gevraagd worden, zodat je deze nota kan declareren bij jouw zorgverzekeraar.
- jouw naam, adres en woonplaats
- jouw geboortedatum
- de datum van de sessie
- een korte omschrijving van de sessie
- de kosten van het sessie
- Als je dat hebt doorgegeven: jouw relatienummer bij de zorgverzekeraar
De facturen (zorgnota’s) worden per e-mail naar jou verstuurd.
EIGEN WEBSITE: REACTIES
Als bezoekers reacties achterlaten op de site, verzamelen we de gegevens getoond in het reactieformulier, het IP-adres van de bezoeker en de browser user agent om te helpen spam te detecteren.
Een geanonimiseerde string, gemaakt op basis van je e-mailadres (dit wordt ook een hash genoemd) kan worden gestuurd naar de Gravatar service indien je dit gebruikt. De privacybeleidspagina kun je hier vinden: https://automattic.com/privacy/. Nadat je reactie is goedgekeurd, is je profielfoto publiekelijk zichtbaar in de context van je reactie.
EIGEN WEBSITE: CONTACTFORMULIER
Als een bezoeker het contactformulier invult worden de ingevulde gegevens (zoals naam, e-mailadres en telefoonnummer) vastgelegd in onze website en in het e-mail marketingprogramma.
EIGEN WEBSITE: COOKIES
Inleiding tot cookies
Wat is een cookie?
Wij maken op deze website gebruik van cookies. Een cookie is een eenvoudig klein bestandje dat met pagina’s van deze website [en/of Flash-applicaties] wordt meegestuurd en door uw browser op uw harde schrijf van uw computer wordt opgeslagen. De daarin opgeslagen informatie kan bij een volgend bezoek weer naar onze servers teruggestuurd worden.
Gebruik van permanente cookies
Met behulp van een permanente cookie kunnen wij jou herkennen bij een nieuw bezoek op onze website. De website kan daardoor speciaal op jouw voorkeuren worden ingesteld. Ook wanneer je toestemming hebt gegeven voor het plaatsen van cookies kunnen wij dit door middel van een cookie onthouden. Hierdoor hoef je niet steeds jouw voorkeuren te herhalen waardoor je dus tijd bespaart en een prettiger gebruik van onze website kunt maken. Permanente cookies kan je verwijderen via de instellingen van jouw browser.
Gebruik van sessie cookies
Met behulp van een sessie cookie kunnen wij zien welke onderdelen van de website je met dit bezoek hebt bekeken. Wij kunnen onze dienst daardoor zoveel mogelijk aanpassen op het surfgedrag van onze bezoekers. Deze cookies worden automatisch verwijderd zodra je jouw webbrowser afsluit.
In- en uitschakelen van cookies en verwijdering daarvan.
Meer informatie omtrent het in- en uitschakelen en het verwijderen van cookies kan je vinden in de instructies en/of met behulp van de Help-functie van jouw browser.”
Meer informatie over cookies?
Op de volgende websites kan je meer informatie over cookies vinden:
Cookierecht.nl
Consumentenbond: “Wat zijn cookies?”
Consumentenbond: “Waarvoor dienen cookies?”
Consumentenbond: “Cookies verwijderen”
Consumentenbond: “Cookies uitschakelen”
Your Online Choices: “A guide to online behavioural advertising””
COOKIES: VAN ONSZELF
Met jouw toestemming plaatsen wij een cookie op jouw apparatuur, welke kan worden opgevraagd zodra je een website uit ons netwerk bezoekt. Hierdoor kunnen wij te weten komen dat je naast onze website ook op de betreffende andere website(s) uit ons netwerk bent geweest. Het daardoor opgebouwde profiel is niet gekoppeld aan jouw naam, adres, e-mailadres en dergelijke, maar dient alleen om advertenties af te stemmen op jouw profiel, zodat deze zo veel mogelijk relevant voor je zijn.
COOKIES: VOORKEURENBALK BIJ OPENEN WEBSITE
Onderstaande gegevens worden bewaard voor een correcte werkwijze van de site of om de site te verbeteren.
Bij bezoek aan deze site is er een cookie voorkeurenbalk te zien. Daarin is aan te geven of gegevens met Google Analytics of Google Maps of Facebook mogen worden gedeeld. Alleen die anonieme gegevens die aan jouw IP-adres zijn gekoppeld worden geregistreerd. Bij Analytics wordt dat voor altijd bewaard.
Bij het delen van een post via de knop “social sharing” worden jouw gegevens doorgegeven aan het social media platform waarmee je een blog deelt.
Wanneer je een reactie achterlaat dan wordt die reactie en de metadata van die reactie voor altijd bewaard. Op deze manier kunnen we vervolgreacties automatisch herkennen en goedkeuren in plaats van dat we ze moeten modereren.
Voor gebruikers die geregistreerd op onze website (indien van toepassing), bewaren we ook persoonlijke informatie in hun gebruikersprofiel. Alle gebruikers kunnen hun persoonlijke informatie bekijken, wijzigen of verwijderen op ieder moment (de gebruikersnaam kan niet gewijzigd worden). Website beheerders kunnen deze informatie ook bekijken en wijzigen.
COOKIES: PLATFORM BEELDBELLEN
Wanneer sessies online zijn wordt een videoconferencing platform gebruikt dat voldoet aan de gestelde veiligheidseisen. Om contact te kunnen maken met elkaar wordt door het platform jouw e-mailadres vastgelegd en jouw IP-adres met daaraan gerelateerde gegevens.
COOKIES: GOOGLE ANALYTICS TRACKING
Via onze website wordt een cookie geplaatst van het Amerikaanse bedrijf Google, als deel van de “Analytics”-dienst. Wij gebruiken deze dienst om bij te houden en rapportages te krijgen over hoe bezoekers de website gebruiken. Google kan deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover derden de informatie namens Google verwerken. Wij hebben hier geen invloed op. Wij hebben Google wel/niet toegestaan de verkregen analytics informatie te gebruiken voor andere Google diensten.
De informatie die Google verzamelt wordt zo veel mogelijk geanonimiseerd. Uw IP-adres wordt nadrukkelijk niet meegegeven. De informatie wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Google stelt zich te houden aan de Safe Harbor principles en is aangesloten bij het Safe Harbor-programma van het Amerikaanse Ministerie van Handel. Dit houdt in dat er sprake is van een passend beschermingsniveau voor de verwerking van eventuele persoonsgegevens.
COOKIES: ACTIVECAMPAIGN TRACKING
Via onze website wordt een cookie geplaatst van het Amerikaanse bedrijf ActiveCampaign, als deel van de CRM en email marketing-dienst. Wij gebruiken deze dienst als klanten database en om bij te houden hoe bezoekers reageren op emails. ActiveCampaign kan deze informatie uitsluitend aan derden verschaffen indien hij hiertoe wettelijk wordt verplicht. Wij hebben hier geen invloed op. ActiveCampaign gebruikt de gegevens niet voor andere diensten en de gegevens bijven eigendom van Inner-Tree.
De informatie wordt overgebracht naar servers in de Verenigde Staten. ActiveCampaign stelt in hun DPA dat er sprake is van een passend beschermingsniveau voor de verwerking van persoonsgegevens.
COOKIES: SOCIAL MEDIA
Op onze website zijn buttons opgenomen om webpagina’s te kunnen promoten (“liken”) of delen op sociale netwerken als Facebook en Twitter.
Deze buttons werken door middel van stukjes code die van Facebook respectievelijk Twitter zelf afkomstig zijn. Door middel van deze code worden cookies geplaatst. Wij hebben daar geen invloed op. Leest u de privacyverklaring van Facebook respectievelijk van Twitter (welke regelmatig kunnen wijzigen) om te lezen wat zij met uw (persoons)gegevens doen die zij via deze cookies verwerken.
“De informatie die ze verzamelen wordt zo veel mogelijk geanonimiseerd. De informatie wordt overgebracht naar en door Twitter, Facebook, Google + en LinkedIn opgeslagen op servers in de Verenigde Staten. LinkedIn, Twitter, Facebook en Google + stellen zich te houden aan de Safe Harbor principes en zijn aangesloten bij het Safe Harbor-programma van het Amerikaanse Ministerie van Handel. Dit houdt in dat er sprake is van een passend beschermingsniveau voor de verwerking van eventuele persoonsgegevens.”
RECHTEN OVER JOUW DATA
Je hebt het recht om te vragen om inzage in en correctie of verwijdering van jouw gegevens. Zie hiervoor onze contactpagina. Om misbruik te voorkomen kunnen wij je daarbij vragen om je adequaat te identificeren. Wanneer het gaat om inzage in persoonsgegevens gekoppeld aan een cookie, dien je een kopie van het cookie in kwestie mee te sturen. Je kunt deze terug vinden in de instellingen van je browser.
Als je een account hebt op deze site of je hebt reacties achter gelaten, kan je verzoeken om een exportbestand van je persoonlijke gegevens die we van je hebben, inclusief alle gegevens die je ons opgegeven hebt. Je kan ook verzoeken dat we alle persoonlijke gegevens die we van je hebben verwijderen.
Dit bevat géén gegevens die we verplicht langjarig moeten bewaren in verband met fiscaal-administratieve, (zorg-)wettelijke of beveiligingsdoeleinden.
3. Procedure datalekken
TOELICHTING OP PDF STAPPENPLAN
Klik hier op de link voor het downloaden.
Opmerking 1: JA; Inner-Tree verwerkt persoonsgegevens op de eigen laptop, in het boekhoudpakket en in het e-mailpakket.
Opmerking 2: NEE
Opmerking 3: NEE; Inner-Tree werkt niet met grote aantallen persoonsgegevens. Het cliënten dossier bevat gevoelige gegevens maar wordt niet electronisch opgeslagen.
Opmerking 4: NEE; voor identiteitsfraude is ook een BSN of bankrekening nodig welke niet door Inner-Tree wordt vastgelegd.
Opmerking 5: NEE / JA; op de laptop is niets versleuteld maar is er wel een toegangswachtwoord, een firewall en VPN; het boekhoudpakket is wel versleuteld.
Inner-Tree hoeft geen melding te maken aan betrokkenen.
4. Verwerkersovereenkomsten
Inner-Tree heeft verwerkersovereenkomsten met:
- ActiveCampaign e-mailmarketing
- Informer administratiepakket
- Webex videoconferencing