Voldoen aan de Algemene Verordening Gegevensbescherming.
Inleiding
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Dit is een nieuwe Europese privacywet. Daardoor is de privacy in alle landen van de EU gelijk. Nu hebben de lidstaten nog hun eigen nationale wetten.
De Algemene verordening gegevensbescherming (AVG) komt dus in plaats van de oude Wet bescherming persoonsgegevens (Wbp). In de AVG staan een aantal verplichte maatregelen genoemd waaraan ik als therapeut, moet voldoen omdat u gegevens vastlegt in cliëntendossiers.
Vastleggen persoonsgegevens
v Naam, adres, postcode, woonplaats van de cliënt(en)
v Geboortedatum van de cliënt(en)
v Telefoonnummer en e-mail van de cliënt(en)
Bij minderjarige cliënten:
v Ook naam, adres, postcode, woonplaats, telefoonnummer en e-mailadres van ouders
Indien dit in belang is van de begeleiding/behandeling, leg ik de volgende verdere gegevens vast:
v Huisarts;
v School van de minderjarige cliënt
Indien dit in belang is van de begeleiding/behandeling, leg ik de volgende bijzondere persoonsgegevens vast:
v Gezondheid;
v Mogelijke strafrechtelijke gegevens zoals een melding bij Veilig Thuis, begeleiding door jeugdzorg, geweldconflicten in het gezin.
Het Burger Service Nummer (BSN)
Met ingang van heden leg ik geen BSN meer vast.
Organisaties buiten de overheid mogen een Burgerservicenummer alleen gebruiken als dit in een wet is bepaald. En alleen voor het doel dat in de wet staat omschreven.
Zorgverleners mogen het BSN bijvoorbeeld gebruiken als zij werken in het kader van de Zorgverzekeringswet en de Wet langdurige zorg. Dat is niet het geval bij een complementair, of alternatief therapeut. Zij mogen dus het BSN niet vastleggen. De declaratie in het kader van de aanvullende zorgverzekering valt niet onder de Zorgverzekeringswet en is geen grond voor het gebruik van het BSN.
Verder leg ik ook vast:
v Voortgang van het resultaat van de behandeling
v Incidenteel persoonlijke dingen die de onderlinge band verstevigd als het onthouden van een belangrijk feest, of een belangrijk verlies van een dierbare. Zodat ik daar aan kan refereren.
Doeleinden van de persoonsgegevens die door mij worden verwerkt.
Behalve de AVG, zijn de WGBO (Wet op de geneeskundige behandelingsovereenkomst) en de beroepscode van mijn beroepsvereniging van toepassing op mijn werk. Deze zijn van invloed op de doeleinden waarvoor ik persoonsgegevens vastleg. Om die reden ga ik als volgt om met persoonsgegevens:
1. Dossierplicht
Op grond van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) ben ik als zorgverlener verplicht een medisch dossier bij te houden.
2. Bewaartermijn
De hoofdregel voor het bewaren van medische dossiers staat in de WGBO. Dat is 15 jaar, gerekend vanaf de datum van vastlegging van ieder afzonderlijk gegeven. De termijn kan langer zijn indien dit noodzakelijk is met het oog op de behandeling (bijvoorbeeld indien iemand een chronische ziekte heeft).
3. Beroepsgeheim
Voor mij als therapeut geldt op grond van de beroepscode en het wettelijk geregeld medisch beroepsgeheim een geheimhoudingsplicht. Medewerkers van een psychosociale of complementaire praktijk zijn via arbeidscontract aan een geheimhoudingsplicht gebonden.
4. Minderjarigen
Volgens de patiëntenrechten uit de WGBO komen de wils bekwame minderjarige tussen 12-16 jaar zelf en de ouder(s) met gezag toe. Ouder(s) van minderjarigen tot 16 jaar hebben medebeslissingsrecht over de behandeling. Ouders hebben recht op informatie en inzage in het dossier, wanneer dit gekoppeld is aan het medebeslissingsrecht voor de behandeling. Er bestaat een uitzondering op dit inzagerecht, namelijk wanneer de professional van mening is dat de uitoefening van bepaalde patiëntenrechten indruist tegen het belang van de patiënt. Wilsbekwame patiënten van 12 jaar en ouder zijn zelf bevoegd om toestemming te verlenen voor doorbreking van de geheimhouding.
De Cliënt wordt als volgt geïnformeerd:
v Ik informeer de cliënten mondeling over de dossierplicht tijdens de intake.
v Deze informatie ligt zo nodig vast in een schriftelijke behandelovereenkomst. Zo ja, sluit deze behandelovereenkomst bij in dit document.
v Op mijn website staat informatie over mijn werkwijze, de dossierplicht en de verplichtingen als gevolg van de WGBO, de Wkkgz en de beroepscode.
v Indien kinderen jonger zijn dan 16 jaar, geven beide ouders schriftelijk toestemming tot de behandeling en daarmee tot het vastleggen van gegevens in een dossier. ( ik sluit deze behandelovereenkomst bij in dit document).
v Ik vraag klanten om hun email adres. Dit wordt gebruikt voor digitale toezending van de nota en om enkele malen per jaar toezending van informatie omtrent de praktijk. Zoals informatie over zorgverzekeraars, tarieven, vakanties en andere activiteiten die binnen praktijk Aurora plaatsvinden. Onder elk bericht geef ik aan dat indien ongewenst op elk moment de berichtgeving gestopt kan worden.
Wie er daadwerkelijk werken met de cliëntdossiers?
v Ik ben ZZP-er en ben de enige die toegang heeft tot de dossiers. Vanuit de beroepscode heb ik een beroepsgeheim.
v Ik bepreek wel eens met collega’s, of in intervisiegroepen casuïstiek uit de praktijk. Dat gaat altijd anoniem en onherkenbaar
Beveiliging van de persoonsgegevens (cliëntendossiers)
v Ik werk met papieren cliëntendossiers. Deze worden in een afgesloten kast bewaard
v Ik werk met een digitaal boekhoudprogramma voor het maken van facturen en doen van de boekhouding.
Doordat ik regelmatig de laatste updateversie van mijn software (boekhoudprogamma) installeer, zorg ik er voor dat mijn software optimaal beveiligd is
Externe personen of bedrijven toegang hebben tot de persoonsgegevens en waarmee ik Verwerkersovereenkomst moet afsluiten.
Leveranciers waarmee ik een Verwerkersovereenkomst heb afgesloten zijn:
1. geen
Datalekken
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (dus ook therapeuten) direct (binnen 72 uur na het datalek) een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben.
Soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.
Ik hoef een datalek alleen te melden aan de Autoriteit Persoonsgegevens, als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als een aanzienlijke kans bestaat dat dit gebeurt.
ik hoef de betrokkenen (de cliënten van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. Dat kan het geval zijn als er gegevens van gevoelige aard zijn gelekt (bijvoorbeeld gezondheidsgegevens) die door derden kunnen worden misbruikt.
Ik heb de uitleg begrepen en zal er naar handelen.
Poortugaal, mei 2018
Angela Clavaux- van den Bosch