Privacyverklaring
Inleiding
Bescherming van de persoonlijke levenssfeer van cliënten, opdrachtgevers en bezoekers van website is voor 2-act.nu een vanzelfsprekende zaak. Persoonlijke gegevens worden dan ook door ons met de grootst mogelijke zorgvuldigheid en vertrouwelijkheid behandeld, beheerd en naar beste kunnen beveiligd. 2-act.nu volgt daarin de voorschriften van de Algemene Verordening Gegevensbescherming (AVG) 2018. Onderdeel hiervan is deze privacyverklaring, die toegankelijk is via onze website www.2-act.nu en desgewenst schriftelijk opgevraagd kan worden.
Met name betekent dit dat wij:
- Vragen om jouw toestemming als wij deze nodig hebben voor de verwerking van jouw persoonsgegevens;
- Jouw persoonsgegevens verwerken in overeenstemming met het doel waarvoor deze zijn verstrekt;
- Enkel die persoonsgegevens verwerken welke minimaal nodig zijn;
- Passende technische en organisatorische maatregelen hebben genomen zodat de beveiliging van jouw persoonsgegevens gewaarborgd zijn;
- Op de hoogte zijn van jouw rechten omtrent jouw persoonsgegevens, je hierop willen wijzen en deze respecteren;
- Geen persoonsgegevens doorgeven aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt.
- Doel verwerking en gebruik van persoonsgegevens
Voor een goede behandeling is het noodzakelijk dat wij, als behandelende therapeuten, een dossier aanleggen. Dit is ook een wettelijke plicht opgelegd door de WGBO. Het dossier bevat aantekeningen over jouw gezondheidstoestand en gegevens over de uitgevoerde therapieën en behandelingen. Ook worden in het dossier gegevens opgenomen die voor de behandeling noodzakelijk zijn en die wij, na jouw expliciete toestemming, hebben opgevraagd bij een andere zorgverlener, bijvoorbeeld bij de huisarts.
De gegevens uit jouw dossier kunnen ook nog voor de volgende doelen gebruikt worden:
- Om andere zorgverleners te informeren, bijvoorbeeld als de therapie is afgerond of bij een verwijzing naar een andere behandelaar. Dit gebeurt alleen met jouw expliciete toestemming.
- Voor het gebruik voor waarneming tijdens afwezigheid van je eigen therapeut;
- Voor geanonimiseerd gebruik tijdens intercollegiale toetsing;
- Een klein deel van de gegevens uit het dossier wordt gebruikt voor de financiële administratie, zodat wij een factuur kunnen opstellen.
- Als wij vanwege een andere reden gebruik willen maken van jouw gegevens, dan zullen wij je eerst informeren en expliciet jouw toestemming vragen.
Behalve de AVG, zijn de WGBO (Wet op de geneeskundige behandelingsovereenkomst) en de beroepscode van onze beroepsvereniging en van het Register Beroepsbeoefenaren Complementaire Zorg (RBCZ) van toepassing op ons werk. Deze zijn van invloed op de doeleinden waarvoor wij persoonsgegevens vastleggen. Om die reden gaan wij als volgt om met persoonsgegevens:
Dossierplicht
Op grond van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) zijn wij als zorgverlener verplicht een medisch dossier bij te houden.
Bewaartermijn
De hoofdregel voor het bewaren van medische dossiers staat in de WGBO. Dat is 20 jaar, gerekend vanaf de datum van vastlegging van ieder afzonderlijk gegeven. Bij minderjarigen start de bewaartermijn vanaf de 18de verjaardag. De termijn kan langer zijn indien dit noodzakelijk is met het oog op de behandeling (bijvoorbeeld indien iemand een chronische ziekte heeft).
Beroepsgeheim
Voor ons als therapeut geldt op grond van de beroepscode en het wettelijk geregeld medisch beroepsgeheim een geheimhoudingsplicht. Medewerkers van een psychosociale of complementaire praktijk zijn middels een arbeidscontract en vanuit hun eigen beroepscode aan een geheimhoudingsplicht gebonden.
Minderjarigen
Indien de patiënt minderjarig is en de leeftijd van twaalf maar nog niet die van zestien jaren heeft bereikt, is tevens de toestemming van de ouders die het gezag over hem uitoefenen of van zijn voogd vereist. De verrichting kan evenwel zonder de toestemming van de ouders of de voogd worden uitgevoerd, indien zij kennelijk nodig is teneinde ernstig nadeel voor de patiënt te voorkomen, alsmede indien de patiënt ook na de weigering van de toestemming, de verrichting weloverwogen blijft wensen. Ouder(s) van minderjarigen tot 16 jaar hebben medebeslissingsrecht over de behandeling. Ouders hebben recht op informatie en inzage in het dossier, wanneer dit gekoppeld is aan het medebeslissingsrecht voor de behandeling. Er bestaat een uitzondering op dit inzagerecht, namelijk wanneer de professional van mening is dat de uitoefening van bepaalde patiënten rechten indruist tegen het belang van de patiënt.
Dossierinzage
Ondergetekende heeft op afspraak het recht op inzage in zijn/haar dossier, binnen de muren van de praktijk. Het dossier mag bij inzage niet worden gefotografeerd. De persoonlijke werkaantekeningen van de behandelaar vallen niet onder het inzagerecht van het dossier.
- Bij jeugdigen tot 12 jaar is het dossier alleen inzichtelijk voor de wettelijk vertegenwoordiger(s).
- Vanaf 12 jaar krijgt jeugdige zelf inzicht in dossier en is het verplicht dat de jeugdige toestemming geeft voor inzage dossier aan wettelijk vertegenwoordiger(s).
- Vanaf 16 jaar besluit de jeugdige zelf of hij/zij jeugdhulp wil ontvangen en wie er inzage heeft in dossier.
- Vanaf 18 jaar besluit de (jong)volwassene of hij/zij hulp wil ontvangen en wie er inzage heeft in het dossier.
Interne en externe kwaliteitscontrole
Onze praktijk wordt jaarlijks bezocht door een externe auditor die controleert of we aan de kwaliteitseisen van het ISO 9001-2015 keurmerk voldoen. Inzage in cliëntdossiers maakt deel uit van deze kwaliteitsaudit. Wij geven alleen inzage in dossiers waarvan de (ouder(s) van de) cliënt vooraf uitdrukkelijk schriftelijk toestemming heeft gegeven. De auditors hebben een beroepsgeheim.
- Gegevens die worden vastgelegd in ons dossier
In ons beveiligd cliëntsysteem (2-stapsverificatie) worden de volgende persoonsgegevens vastgelegd:
- Naam, adres, postcode, woonplaats van de cliënt(en)
- Geboortedatum van de cliënt(en)
- Telefoonnummer en e-mail van de cliënt(en)
Bij minderjarige cliënten:
- Ook naam, adres, postcode, woonplaats, telefoonnummer en e-mailadres van beide ouders
Indien dit in belang is van de begeleiding/behandeling, leggen wij de volgende verdere gegevens vast:
- Huisarts (ook bij gemeentelijk gesubsidieerde trajecten)
- School van de minderjarige cliënt
Indien dit in belang is van de begeleiding/behandeling, leggen wij de volgende bijzondere persoonsgegevens vast:
- Godsdienst of levensovertuiging
- Gezondheid
- Zaken m.b.t. de seksualiteit
- Mogelijke strafrechtelijke gegevens zoals een melding bij Veilig Thuis, begeleiding door jeugdzorg, geweldconflicten in het gezin
Burger Service Nummer (BSN)
Organisaties buiten de overheid mogen een Burgerservicenummer alleen gebruiken als dit in een wet is bepaald. En alleen voor het doel dat in de wet staat omschreven. Wij leggen het Burgerservicenummer vast voor jeugdige en WMO-cliënten die worden gefinancierd door de gemeente. Het BSN-nummer wordt vastgelegd t.b.v. beschikkingen die worden aangevraagd en de declaraties van trajecten die worden bekostigd vanuit de jeugdwet en/of WMO. De correspondentie met de gemeente wordt beveiligd verzonden.
- Cliënten informatie voorziening
Wij vinden het belangrijk onze cliënten te informeren over de wijze waarop wij gegevens vastleggen. Dit doen wij op de volgende wijze:
- We informeren (ouders van) cliënten mondeling over de dossierplicht tijdens de intake.
- Deze informatie ligt vast in een schriftelijke behandelovereenkomst.
- Op de website staat informatie over onze werkwijze, de dossierplicht en de verplichtingen als gevolg van de WGBO, de Wkkgz en de beroepscode.
- Indien kinderen jonger zijn dan 16 jaar, geven beide ouders schriftelijk toestemming tot de behandeling en daarmee tot het vastleggen van gegevens in een dossier.
- Wij vragen bezoekers van onze site om hun naam, e-mailadres e.d. in te vullen indien zij een contactformulier invullen. Onze website wordt beveiligd via een SSL-certificaat. Hiermee wordt vertrouwelijke informatie versleuteld verzonden, zodat gegevens niet onderschept kunnen worden. Wij voldoen daarmee aan de nieuwe AVG.
- Wie werken er met cliëntendossiers
- Verschillende collega’s hebben toegang tot patiëntendossiers. Zij vallen eveneens onder het beroepsgeheim en hanteren dezelfde regels vanuit de beroepscode.
- Er zijn ook medewerkers die toegang hebben tot de patiëntendossiers. In de arbeidsovereenkomst is de geheimhouding geregeld en hebben een Verklaring Omtrent het Gedrag (VOG) overlegd.
- Wij bespreken wel eens met collega’s of in intervisiegroepen casuïstiek uit de praktijk. Dat gaat altijd anoniem en onherkenbaar
- Beveiliging van de persoonsgegevens (cliëntendossiers)
- Wij werken met papieren cliëntendossiers. Deze worden in een afgesloten kast bewaard.
- Wij werken met een digitaal cliëntendossier. Dit is beveiligd door een wachtwoord, versleuteld en voorzien van een 2-stapsverificatie.
- Wij maken regelmatig een back-up van onze cliëntbestanden.
- Doordat wij regelmatig de laatste versie update van de software installeren, zorgen wij ervoor dat de software optimaal beveiligd is.
- De gegevens zijn beveiligd op onze PC middels een wachtwoord / vingerafdruk. De computer is vergrendeld en bij diefstal of verlies kunnen de gegevens op afstand worden gewist. Het cliëntendossier is versleuteld middels een autorisatiecode en wachtwoord.
- Tevens maken we gebruik van anti virus software. MacOS beschikt standaard over een eigen “anti-virus-programma”. Dit wordt ook wel XProtect genoemd en is onderdeel van File Quarantine en GateKeeper in macOS (OS X).
De gegevens worden onbeperkt bewaard in ons beveiligd cliëntsysteem. Het systeem signaleert wanneer de bewaartermijn van een bepaald gegeven is verstreken. Wij zullen dan de gegevens verwijderen.
Vanwege het feit dat cliëntsysteem via internet werkt en er zeer privacygevoelige gegevens verwerkt worden, is er door de leverancier van de software altijd veel aandacht besteedt aan de beveiliging van de software. Dit betreft onder meer:
Maatregel Uitleg Webserver
De software draait op een dedicated serveromgeving die is beveiligd met hardwarematige en softwarematige firewalls. Deze servers worden actief up-to-date gehouden door het installeren van de nieuwste beveiligingsupdates. De servers worden gehost in een gespecialiseerd en ISO 27001 & NEN7510 gecertificeerd datacenter. Dit datacenter is ook fysiek beveiligd, zodat onbevoegden geen toegang hebben tot serverruimtes.
Dataverkeer
Alle dataverkeer tussen gebruiker, softwareapplicatie en database verloopt over een beveiligde lijn via een SSL-certificaat met minimaal 256bit encryptie. Ook gegevensaanleveringen naar derde partijen zoals Vecozo, DIS en SVR vinden plaats via beveiligde protocollen.
Anti-hack functies
De applicatie bevat geïntegreerde maatregelen tegen hacken, waaronder functies ter detectie en voorkoming van zogenaamde SQL Injection attacks, Cross-Site Scripting (XSS) en Cross-Site Request Forgery (XSRF). Ook wordt bij detectie van pogingen tot hacken de toegang tot de applicatie automatisch geblokkeerd en worden deze pogingen automatisch gelogd en gerapporteerd aan de applicatiebeheerder.
Toegang
De applicatie bevat toegangsbeveiliging door middel van basis authenticatie en per gebruiker kan gekozen worden voor 2-factor authenticatie.
Beheer
De beheermodus van de softwareapplicatie is ook met 2-factor authenticatie beveiligd en applicatieservers zijn uitsluitend toegankelijk via het unieke IP-nummer van de Telasoft locatie.
Logging
Alle acties die gebruikers uitvoeren worden gelogd. Ook (mislukte) inlogpogingen worden in het applicatielog opgeslagen, zodat achterhaald kan worden vanaf welke IP-nummers is ingelogd. Deze technische voorzorgsmaatregelen voldoen aan de actuele stand van zaken in de techniek. Omdat beveiligingsexperts regelmatig nieuwe kwetsbaarheden vinden in softwaresystemen, worden wij periodiek door externe beveiligingsexpert getest. Daarmee kunnen we eventuele nieuwe kwetsbaarheden tijdig oplossen, zodat de beveiligingsrisico’s van uw gegevens geminimaliseerd worden.
- Verwerkingsovereenkomsten met externe personen / bedrijven
Leveranciers waarmee wij een verwerkersovereenkomst hebben afgesloten zijn:
- Praktijkdata (softwareleverancier, NEN7510 gecertificeerd door het auditteam van Kiwa Nederland)
- Vecozo (beveiligde omgeving voor communicatie met de gemeenten)
- Meldplicht datalekken
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (dus ook therapeuten) direct (binnen 72 uur na het datalek) een melding moeten doen bij de Autoriteit Persoons-gegevens zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Wij hoeven betrokkenen (de cliënten van wie de gegevens verwerkt zijn) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. Dat kan het geval zijn als er gegevens van gevoelige aard zijn gelekt (bijvoorbeeld gezondheidsgegevens) die door derden kunnen worden misbruikt. 2-act.nu is op de hoogte wanneer een datalek gemeld dient te worden en hoe er dan gehandeld dient te worden. In de verwerkersovereenkomst met leveranciers zijn afspraken gemaakt en wordt 2-act.nu tijdig geïnformeerd als er een datalek is geweest.
- Cookiebeleid
Wij plaatsen functionele- en statistieken cookies zodat de website www.2-act.nu goed werkt en anoniem gemeten kan worden. Voor cookies van derden hebben wij jouw toestemming nodig. Wanneer je onze website voor het eerst bezoekt of je hebt je cookies gewist, dan krijg je onze cookiemelding te zien.
Datum: 29 maart 2023
Naam: Drs. C.A.H.P. van de Ven, eigenaar 2-act.nu BV