|
Na invoering op 1 september 2001 van de Wet Bescherming Persoons¬gegevens (WBP) is het voor zorginstellingen niet meer verplicht te beschikken over een privacyreglement. Als instrument ter bewaking en bevordering van de kwaliteit van werken binnen MEE-organisaties is een privacyreglement echter zowel gewenst als geschikt.
In dit privacyreglement is beschreven op welke manier MEE Twente de WBP hanteert.
Soms zal dit privacyreglement geen rechtstreeks antwoord geven op concrete situaties waar medewerkers van MEE-organisaties in de prak¬tijk mee te maken krijgen. Voor de toepassing van dit reglement en voor het raadplegen van de WBP kunnen medewerkers en ook cliënten de sociaal juridisch medewerker consulteren
|
PRIVACYREGLEMENT
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
De WBP hanteert begrippen die telkens terugkeren in de wet. Veel van deze begrippen zijn ook overgenomen in dit privacyreglement. Hieronder wordt aangegeven wat onder deze begrippen moet worden verstaan.
·Persoonsgegevens: elk gegeven dat herleidbaar is tot een natuurlijke persoon.
|
Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van ter¬beschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwisselen of vernietigen van gegevens. |
- Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens.
- Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.
- Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
- Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (Binnen MEE-organisaties is dit in de regel de Raad van Bestuur/directie).
- Bewerker: diegene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
- Betrokkene: degene op wie de persoonsgegevens betrekking hebben of diens wettelijk vertegenwoordiger.
- Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enige persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.
- Ontvanger: degene aan wie de persoonsgegevens worden verstrekt.
- Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende ondubbelzinnige toestemming waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt; indien deze toestemming door betrokkene mondeling wordt gegeven, zal deze mondelinge toestemming door of namens de verantwoordelijke schriftelijk worden bevestigd.
- Het College bescherming persoonsgegevens: het College dat tot taak heeft toe te zien op de verwerking van persoonsgegevens.
- Klachtencommissie: de commissie die is ingesteld overeenkomstig de Wet Klachtrecht Cliënten Zorgsector.
|
2. REIKWIJDTE
Dit reglement is van toepassing op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Het gaat zowel om persoonsgegevens die op papier staan als om elektronisch opgeslagen persoonsgegevens. |
3. DOEL
Het doel van dit reglement is een praktische uitwerking te geven aan de bepalingen van de Wet Bescherming Persoonsgegevens. Dit reglement is van toepassing binnen de MEE-organisatie en heeft betrekking op alle verwerkingen van persoonsgegevens. |
4. VERTEGENWOORDIGING Mensen met een handicap zijn soms niet in staat zijn om zelfstandig hun rechten uit te oefenen, in welk geval ruimte bestaat voor optreden door een vertegenwoordiger. De verantwoordelijke houdt zich bij de toepassing van de WBP aan de volgende aan de WGBO (Wet op de Geneeskundige Behandelings-overeenkomst) ontleende regels: |
- Indien de betrokkene jonger is dan twaalf jaar, treden de ouders, die het ouderlijk gezag uitoefenen dan wel de voogd in plaats van de betrokkene.
- Hetzelfde geldt voor de betrokkene die de leeftijd van twaalf jaar heeft bereikt, maar nog niet de leeftijd van achttien jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake.
- Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders op.
- Indien de betrokkene in de leeftijdscategorie van zestien tot achttien valt en in staat is tot een redelijke waardering van zijn belangen dienen de ouder(s) te worden beschouwd als derden.
- Indien de betrokkene achttien jaar of ouder is en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, treedt, in volgorde als hier weergegeven, als vertegenwoordiger voor hem op:
|
- de curator of mentor indien de betrokkene onder curatele staat of ten behoeve van hem het mentorschap is ingesteld;
- de persoonlijk gemachtigde indien de betrokkene deze schriftelijk heeft gemachtigd, tenzij deze persoon niet optreedt;
- de echtgenoot of andere levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt;
- een ouder, kind, broer of zus van de betrokkene, tenzij deze persoon dat niet wenst.
|
- Ook indien de betrokkene die de leeftijd van achttien jaar heeft bereikt, wel in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een andere persoon schriftelijk te machtigen in diens plaats als vertegenwoordiger te treden.
- De toestemming kan door de betrokkene of zijn vertegenwoordiger te allen tijde worden ingetrokken.
- De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.
- Indien een vertegenwoordiger optreedt namens de betrokkene, komt de verantwoordelijke zijn verplichtingen die voortvloeien uit de wet en dit reglement na jegens deze vertegenwoordiger.
|
5. VOORWAARDEN VOOR RECHTMATIGE VERWERKING
|
Teneinde de verwerking van persoonsgegevens te voorzien van een rechtmatige basis zal de MEE-organisatie zich aan de volgende regels houden:
|
- Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt.
- Persoonsgegevens worden niet – verder – verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
- Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. Dit betekent dat de registratie van de persoonsgegevens moet passen binnen het voor die registratie omschreven doel, alsmede dat de aard en de omvang van de verzamelde gegevens dusdanig is, dat het doel van de registratie daarmee wordt bewerkstelligd.
- De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking van persoonsgegevens. Zijn handelwijze met betrekking tot de verwerking van de persoonsgegevens en de verstrekking van gegevens wordt beperkt door dit reglement.
- De verantwoordelijke is aansprakelijk voor de eventuele schade als gevolg van het niet naleven van dit reglement.
- De verantwoordelijke heeft de plicht ervoor zorg te dragen dat een niet aan zijn rechtstreeks gezag onderworpen bewerker van de persoonsgegevens zich contractueel gebonden weet aan dit reglement.
|
6. VERWERKING VAN PERSOONSGEGEVENS BINNEN DE MEE-ORGANISATIE EN INFORMEREN VAN BETROKKENE Persoonsgegevens betreffende iemands gezondheid, handicap of beperking mogen slechts worden verwerkt indien de betrokkene voor deze verwerking zijn ondubbelzinnige toestemming heeft verleend. De verantwoordelijke informeert elke betrokkene die ingeschreven staat over de wijze waarop de MEE-organisatie met de persoonsgegevens omgaat*. Voor uitwisseling van persoonsgegevens tussen medewerkers van de MEE-organisatie is geen expliciete toestemming van betrokkene vereist voor zover deze uitwisseling vereist is voor de uitvoering van de overeenkomst tussen betrokkene en de MEE-organisatie en noodzakelijk is voor een goede behandeling of verzorging aan betrokkene dan wel het beheer en management van de MEE-organisatie. Uitwisseling van gegevens tussen MEE-organisaties is slechts mogelijk met toestemming van betrokkene en alleen in geval de ondersteuning van betrokkene aan een andere MEE-organisatie wordt overgedragen. |
7. VERSTREKKEN VAN PERSOONSGEGEVENS AAN DERDEN
Voor de verwerking van persoonsgegevens die bestaat uit het verstrekken van persoonsgegevens aan personen buiten de MEE-organisatie of aan andere instellingen is de toestemming van betrokkene vereist. Voor de gevallen waarin aan dit vereiste niet behoeft te voldaan volgt de MEE-organisatie de regeling in de WGBO (art. 7:457 BW). Dit betekent dat geen toestemming is vereist indien de verstrekking plaatsvindt op grond van een wettelijk voorschrift (lid 1), aan de vertegenwoordiger van de betrokkene (lid 3) of aan anderen binnen een ‘behandelteam’ die rechtstreeks zijn betrokken bij de uitvoering van de overeenkomst met betrokkene als bedoeld in lid 2 van art. 7:457 BW. |
8. RECHT OP INZAGE EN AFSCHRIFT VAN OPGENOMEN PERSOONSGEGEVENS |
- De betrokkene heeft het recht kennis te nemen van alsmede het recht op verstrekking van de op zijn persoon betrekking hebbende verwerkte persoonsgegevens.
- De gevraagde inzage en of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden, respectieve¬lijk worden verstrekt.
- Inzage en afschrift van deze gegevens kan worden geweigerd of beperkt op grond van gewichtige belangen van anderen dan de verzoeker.
- Een besluit tot weigering of beperking van inzage en afschrift wordt genomen door de directie van de MEE-organisatie. Het besluit kan voor toetsing worden voorgelegd aan de klachtencommissie.
- Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht.
|
9. RECHT OP AANVULLING, CORRECTIE, AFSCHERMING OF VERWIJDERING/VERNIETIGING VAN OPGENOMEN PERSOONSGEGEVENS |
- Op uitdrukkelijk verzoek van de betrokkene worden de verzamelde persoonsgegevens aangevuld, gecorrigeerd, afgeschermd voor derden of verwijderd/vernietigd.
- De betrokkene kan verzoeken om correctie van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijke voorschrift, in de verwerking voorkomen. Correcties moeten door de MEE-organisatie worden doorgegeven aan derden, indien zij de onjuiste gegevens hebben ontvangen.
- De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het schriftelijke verzoek tot aanvulling, correctie, afscherming of verwijdering/vernietiging in hoeverre hij daaraan wil voldoen. Niet gehonoreerde verzoeken worden schriftelijk gemotiveerd.
- Een gehonoreerd verzoek tot verwijdering/vernietiging van gegevens wordt binnen drie maanden na honorering uitgevoerd.
|
10. BEWAARTERMIJN VAN GEGEVENS |
- Persoonsgegevens worden tot 5 jaar na beëindiging van het contact met de betrokkene bewaard, tenzij met de betrokkene schriftelijk een langere bewaartermijn is afgesproken.
- Indien de bewaartermijn van de persoonsgegevens is verstreken worden de persoonsgegevens binnen een termijn van drie maanden verwijderd/vernietigd.
|
11. BEVEILIGING De WBP verplicht de verantwoordelijke technische en organisatorische maatregelen te nemen om persoonsgegevens tegen onbevoegde inzage te beschermen. De volgende bepalingen gelden ter beveiliging van persoonsgegevens: |
- Er worden niet meer persoonsgegevens verzameld dan nodig is voor het doel van de verzameling.
- Alleen direct betrokken medewerkers hebben inzage in persoonsgegevens.
- Alle persoonsgegevens zijn opgeborgen in afsluitbare kasten, laden, ruimten.
- Elektronisch opgeslagen persoonsgegevens zijn alleen na ingeven van een persoonlijk wachtwoord in te zien.
- Elektronisch opgeslagen gegevens worden versleuteld verzonden.
- Medewerkers hebben een geheimhoudingsplicht betreffende persoonsgegevens.
|
In dit kader wordt onder de term ‘medewerkers’ eveneens begrepen: invalkrachten en stagiaires. Hierbij geldt de aanvullende bepaling dat op de verantwoordelijke de verantwoordelijkheid rust deze categorie medewerkers expliciet en nadrukkelijk bekend te maken met het van kracht zijn van dit reglement.
|
12. KLACHTEN Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd kan hij zich wenden tot: |
- de verantwoordelijke
- de klachtencommissie van de MEE-organisatie die op grond van de binnen de instelling functionerende regeling voor onafhankelijke klachten behandeling belast is met de afhandeling van klachten
het College bescherming persoonsgegevens, met een verzoek een onderzoek in te stellen of de wijze van gegevensverwerking door de verantwoordelijke in overeenstemming is met de Wet bescherming persoonsgegevens, dan wel gebruik te maken van de in hoofdstuk 8 van de WBP neergelegde beroepsmogelijkheden
|
WIJZIGINGEN, INWERKINGTREDING EN INZAGE VAN DIT REGLEMENT |
- Wijziging van dit reglement wordt aangebracht door de verantwoordelijke.
- De wijzigingen in het reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan betrokkenen.
- Dit reglement is per 01-11-2007 in werking getreden en vervangt het oude privacyreglement.
|
|
Gedeeltelijk ter uitvoering van de WBP kunnen in bijlagen bij dit reglement aanverwante regelingen worden opgenomen zoals een modelcontract met een bewerker, een protocol inzake dossiervorming en een reglement betreffende privacy en het bedrijfsinformatiesysteem.
|
|
| | | |
