Reglement AVG - Privacybeleid Osteopathie Wenker

Op 25 mei 2018 is de nieuwe Privacywetgeving (de Algemene Verordening Gegevensbescherming, oftewel AVG) in werking getreden. Deze wet vervangt de Wet Bescherming Persoonsgegevens en heeft als doel de bescherming van persoonsgegevens in de EU te versterken. De belangrijkste wijzigingen die hiermee gepaard gaan, zijn onder meer:

• Versterking en uitbreiding van privacyrechten;
• Meer verantwoordelijkheden voor organisaties;
• Grotere bevoegdheden voor privacytoezichthouders, zoals de mogelijkheid om boetes tot 20 miljoen euro op te leggen.

De Autoriteit Persoonsgegevens (AP) blijft de toezichthouder die controleert of organisaties zich aan de wetgeving houden. Ter voorbereiding op de nieuwe regelgeving heeft de AP een stappenplan opgesteld. Hieronder wordt beschreven hoe Osteopathie Wenker aan deze verplichtingen voldoet.

1. Bewustwording

1.1 Osteopathie Wenker is een praktijk die osteopathie aanbiedt als dienstverlening. Om deze dienstverlening te kunnen leveren, is het noodzakelijk om persoonsgegevens van patiënten te verwerken

1.2 De persoonsgegevens die worden gedocumenteerd, zijn privacygevoelig. Deze gegevens kunnen zowel direct als indirect gebruikt worden om de betrokkene te identificeren. Osteopathie Wenker heeft dit privacybeleid opgesteld om te waarborgen dat de gegevens op een verantwoordelijke wijze worden verwerkt, in overeenstemming met de AVG.

1.3 Het verzamelen van persoonsgegevens is gebaseerd op een gerechtvaardigd belang: de patiënt meldt zich aan bij Osteopathie Wenker voor behandeling van zijn/haar klachten.

2. Rechten van Betrokkenen

2.1 De AVG geeft betrokkene diverse rechten met betrekking tot hun persoonsgegevens, waaronder:

• Het recht op informatie over de verwerkingen;
• Het recht op inzage in zijn/haar gegevens;
• Het recht op correctie van gegevens als deze onjuist zijn;
• Het recht op verwijdering van gegevens en het recht om vergeten te worden;
• Het recht op beperking van de gegevensverwerking;
• Het recht op overdracht van gegevens (dataportabiliteit);
• Het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming.

2.2 Een betrokkene kan deze rechten uitoefenen door een verzoek in te dienen per mail naar info@osteopathiewenker.nl. De betrokkene dient zich te legitimeren zodat Osteopathie Wenker kan verifiëren dat het verzoek afkomstig is van de betrokkene.

2.3 Osteopathie Wenker zal binnen één maand na ontvangst van het verzoek de betrokkene informeren over de uitvoering van het verzoek. Bij complexe verzoeken kan deze termijn verlengd worden met maximaal twee maanden.

2.4 In sommige gevallen kan Osteopathie Wenker weigeren het verzoek in te willigen of kosten in rekening brengen, bijvoorbeeld bij buitensporige verzoeken.

2.5 Osteopathie Wenker realiseert zich dat een schriftelijke beslissing in het kader van deze rechten een besluit is in de zin van de Algemene wet bestuursrecht.

2.6 Als gegevens buiten de betrokkene om worden verkregen, of voor een ander doel worden gebruikt dan waarvoor ze oorspronkelijk zijn verstrekt, zal Osteopathie Wenker de betrokkene binnen één maand informeren.

2.7 Na afloop van de behandeling zal Osteopathie Wenker persoonsgegevens van patiënten gedurende 15 jaar bewaren conform de wet Wgbo. Daarna worden de dossiers vernietigd.

3. Register van Verwerkingsactiviteiten

3.1 Osteopathie Wenker verwerkt persoonsgegevens van patiënten, waaronder medische gegevens die noodzakelijk zijn voor de behandeling. Alle verwerkingen worden geregistreerd in een verwerkingsregister.

4. DPIA (Data Protection Impact Assessment)

4.1 Een DPIA is verplicht wanneer de verwerking van gegevens een hoog privacyrisico met zich meebrengt. Osteopathie Wenker verwerkt geen gegevens op een wijze die een hoog risico met zich meebrengt, en daarom is een DPIA niet nodig.

4.2 De gegevens die Osteopathie Wenker verwerkt zijn vertrouwelijk en uitsluitend bestemd voor intern gebruik ten behoeve van de behandeling en om verzekeringsclaims te faciliteren.

5. Privacy by Design & Privacy by Default

5.1 Osteopathie Wenker heeft bij de inrichting van haar dienstverlening rekening gehouden met de bescherming van persoonsgegevens. Dit betekent onder andere:

• Het minimaliseren van de verwerking van persoonsgegevens;
• Het noteren van het BSN-nummer zonder een kopie van identiteitsbewijzen te maken;
• Transparantie over de verwerking van persoonsgegevens en de mogelijkheid voor betrokkenen om controle uit te oefenen.

6. Functionaris voor Gegevensbescherming

6.1 Osteopathie Wenker heeft geen functionaris voor de gegevensbescherming aangesteld, aangezien de verwerking van persoonsgegevens in een klein kader plaatsvindt.

7. Meldplicht Datalekken

7.1 Osteopathie Wenker zal elke inbreuk op persoonsgegevens melden bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking. Als een hoog risico bestaat voor de betrokkenen, zal Osteopathie Wenker hen ook onmiddellijk informeren.

8. Verwerkersovereenkomsten

8.1 Osteopathie Wenker maakt gebruik van een platform (Esculon) voor het verwerken van patiëntgegevens. Een verwerkersovereenkomst is afgesloten om te waarborgen dat Esculon zich aan de AVG-vereisten houdt.

8.2 Osteopathie Wenker maakt daarnaast gebruik van een boekhouder die geen patiëntgegevens verwerkt, maar wel toegang heeft tot bepaalde persoonsgegevens voor administratieve doeleinden. De boekhouder heeft een geheimhoudingsverklaring ondertekend.

9. Leidende Toezichthouder

9.1 Osteopathie Wenker valt onder de Autoriteit Persoonsgegevens in Nederland, aangezien de praktijk is gevestigd in Nederland.

10. Toestemming

10.1 Osteopathie Wenker vraagt expliciete toestemming voor de verwerking van bijzondere persoonsgegevens, zoals gezondheidsinformatie en BSN-nummer, op het moment van de intake van de patiënt.

10.2 Patiënten ontvangen een overzicht van de afspraken, inclusief toestemming voor de verwerking van persoonsgegevens, en wordt gevraagd om een ontvangstbevestiging te ondertekenen.

11. Slotwoord

11.1 Osteopathie Wenker streeft ernaar om volledig te voldoen aan de AVG-vereisten en zal tijdig maatregelen nemen als er nieuwe regelgeving of richtlijnen van de Autoriteit Persoonsgegevens zijn.

Dit document is bedoeld om de privacy van patiënten te waarborgen en voldoet aan de vereisten van de Algemene Verordening Gegevensbescherming.