Toepasselijkheid

Dit privacy statement is van toepassing op alle persoonsgegevens, waaronder medische gegevens, die u mondeling, schriftelijk of digitaal aan ons verstrekt, bijvoorbeeld via een inschrijfformulier, een contactformulier op onze website of door middel van persoonlijk contact met onze medewerkers.

Algemeen

Wij hechten groot belang aan uw privacy en betrachten daarom de grootst mogelijke zorgvuldigheid in het behandelen en beschermen van uw persoonsgegevens. Wij verwerken data overeenkomstig de eisen die daaraan worden gesteld in de Algemene Verordening Gegevensbescherming (AVG) en de specifieke regels die in de zorgsector gelden voor geheimhouding en bescherming van medische gegevens, zoals:

  • Wet op de geneeskundige behandelovereenkomst (WGBO)
  • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG)
  • Wet kwaliteit, klachten en geschillen (Wkkgz)
  • Zorgverzekeringswet (Zvw)
  • Wet Langdurige Zorg (WLZ)
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

Kick Zorggroep is de verantwoordelijke in de zin van de AVG ten aanzien van de verwerking van uw persoonsgegevens. Dit houdt in dat wij bepalen welke persoonsgegevens worden verwerkt, met welk doel en op welke manier. Wij zijn er verantwoordelijk voor dat uw persoonsgegevens op een behoorlijke en zorgvuldige wijze worden verwerkt.

In dit privacy statement leggen wij uit welke gegevens wij verwerken, voor welke doeleinden ze worden gebruikt en wat uw rechten zijn op grond van de AVG en de overige relevante regelgeving. Naast de AVG zijn de regels van het medisch beroepsgeheim onverminderd van toepassing op de verwerking van uw gegevens.

Overzicht van persoonsgegevens

Hieronder vindt u een overzicht van de persoonsgegevens die wij in ieder geval van u verwerken: • Voor- en achternaam

  • Geslacht
  • Geboortedatum
  • Geboorteplaats
  • Adresgegevens
  • Telefoonnummer
  • E-mailadres
  • BSN
  • Polisnummer van uw zorgverzekering
  • Diverse gegevens over uw gezondheid

Doel en grondslagen van de verwerking

Uw persoonsgegevens worden door ons verzameld en bewaard om u kwalitatief goede zorg en ondersteuning te kunnen bieden. Bovendien hebben wij uw gegevens nodig voor het afleggen van verantwoording ten aanzien van de kwaliteit van de zorg (doelmatigheid en rechtmatigheid) en de financiële afwikkeling van de zorg. De verwerking van uw persoonsgegevens kan voorts gebaseerd zijn op een wettelijke plicht, bijvoorbeeld de verplichting om een besmettelijke ziekte te melden op grond van de Wet Publieke Gezondheid.

Bewaartermijn

Uw persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor het bereiken van de hierboven geformuleerde doelstellingen. Indien wij met betrekking tot de geleverde zorg een dossier over u hebben ingericht, dan zijn wij verplicht dit dossier 15 jaar te bewaren, tenzij langer bewaren noodzakelijk is.

Toegang medewerkers tot uw dossier

Uw persoonsgegevens worden door ons goed beveiligd tegen onbevoegde toegang. Medewerkers die niet rechtstreeks bij uw zorglevering betrokken zijn krijgen in beginsel geen toegang tot uw dossier.

Alle medewerkers binnen Kick Zorggroep zijn verplicht om vertrouwelijk met uw gegevens om te gaan. Deze medewerkers zijn gebonden aan een contractueel geheimhoudingsbeding met ons.

Wij houden van iedere individuele medewerker, zorgverlener of behandelaar bij wanneer hij/zij uw dossier heeft bekeken (‘logging’). U heeft recht op een elektronisch afschrift van deze logging, zodat u kunt inzien welke medewerker, zorgverlener of behandelaar op welke datum uw dossier heeft bekeken of opgevraagd.

Verstrekking van persoonsgegevens aan derden

Gelet op de privacyregels van de AVG mogen wij uw persoonsgegevens in beginsel alleen aan derden verstrekken indien wij daarvoor uitdrukkelijke toestemming van u hebben gekregen. Voordat wij u om toestemming vragen informeren wij u over het doel, de inhoud en de mogelijke gevolgen van de gegevensverstrekking aan een derden.

In een aantal gevallen bestaat er voor ons een wettelijk recht of zelfs een wettelijke plicht om uw gegevens aan derden te verstrekken zonder uw voorafgaande toestemming. Hieronder vindt u een niet-limitatieve opsomming van deze derden:

  • Andere zorgverleners die rechtstreeks betrokken zijn bij uw behandeling
  • De wettelijke vertegenwoordiger, zoals een mentor of de ouders van kinderen tot 16 jaar
  • Het CAK of het CIZ, voor zover noodzakelijk voor de uitvoering van de Wet Langdurige Zorg
  • De ziektekostenverzekeraar, voor zover noodzakelijk voor de uitvoering van de ziektekostenverzekering (claimbeoordeling en materiële controle)

Voor het verstrekken van informatie aan bovengenoemde derden hebben wij geen toestemming van u nodig. U kunt bezwaar maken tegen verstrekking zonder uw toestemming, maar het kan zijn dan wij dan niet in staat zijn om u te voorzien van de benodigde zorg.

Uw recht op inzage

U heeft het recht om in te zien welke persoonsgegevens wij van u verwerken. Voor zover deze gegevens zijn opgenomen in een zorgdossier bent u gerechtigd om uw eigen dossier in te zien en daarvan een kopie te ontvangen. Wij vragen nooit een vergoeding voor deze inzage of voor het maken van een kopie van de gegevens. Het recht van inzage van het zorgdossier geldt voor volwassenen en voor kinderen vanaf 12 jaar. Voor wilsonbekwamen geldt dat de vertegenwoordiger het zorg dossier kan inzien.

Wij zijn niet verplicht om het hele zorgdossier aan u te laten zien. U krijgt alleen de gegevens te zien die over uzelf gaan, zoals zorgplannen, evaluaties, inventarisaties, enz…

U heeft geen recht op inzage in persoonlijke aantekeningen van zorgverleners, behandelaars of medewerkers. Bovendien kunnen wij inzage weigeren als de privacy van een ander daardoor zou worden geschaad.

Overdracht van uw dossier

Indien u overstapt naar een andere zorgaanbieder is het van belang dat de nieuwe zorgverlener op de hoogte is van de zorg die door ons is verleend. Op uw verzoek werken wij in beginsel altijd mee aan de overdracht van uw dossier aan uw nieuwe zorgverlener.

Op grond van de AVG kunt u bij ons een verzoek indienen om digitale persoonsgegevens in een leesbaar computerbestand naar u of een andere zorgaanbieder te sturen (‘dataportabiliteit’). Het recht op dataportabiliteit geldt alleen voor digitale persoonsgegevens die u zelf actief en bewust heeft verstrekt.

Het recht op wijziging of vernietiging van uw medische gegevens

U heeft op grond van de AVG het recht om de persoonsgegevens die wij van u bewaren aan te vullen, te laten corrigeren of te laten wissen (‘recht op vergetelheid’).

Datalekken

Met ingang van 1 januari 2016 geldt volgens de Wet bescherming persoonsgegevens (Wbp) de meldplicht voor datalekken. Per 25 mei 2018 is deze verplichting via de Algemene verordening Gegevensbescherming onderdeel van Nederlandse wet- en regelgeving.

Volgens deze meldplicht moeten organisaties die persoonsgegevens verwerken, datalekken melden aan Autoriteit Persoonsgegevens (AP) (en in bepaalde gevallen ook aan de betrokkenen) als het leidt tot (of een aanzienlijke kans dat dit leidt tot) ernstige nadelige gevolgen in relatie tot de integriteit/ bescherming van persoonsgegevens.

Een datalek treedt op wanneer er persoonsgegevens inzichtelijk worden voor ongeautoriseerde personen, of wanneer persoonsgegevens onbeschikbaar worden (dus, als een computer crasht met daarop persoonsgegevens en je hebt geen backup).

Definitie ‘Persoonsgegevens’

‘Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene) (art.4, sub 1, AVG). Een persoon is identificeerbaar indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden.

Er kan een onderscheid worden gemaakt in direct en indirect identificerende gegevens.

Direct identificerende gegevens zijn gegevens die betrekking hebben op een persoon waarvan de identiteit zonder veel omwegen eenduidig is vast te stellen, zoals een naam, evt. in combinatie met het adres en de geboortedatum.

Van indirect identificerende gegevens is sprake wanneer gegevens via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon.

Een gegeven is geen persoonsgegeven, indien doeltreffende technische en organisatorische maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van individuele natuurlijk personen redelijkerwijs wordt uitgesloten’.

Kick Zorggroep heeft de plicht om iedere melding van een datalek te onderzoeken op ernst en impact. Als na onderzoek blijkt dat er sprake is van een datalek dat gemeld moet worden aan de AP, dan dient deze melding binnen 72 uur plaats te vinden.

Te denken valt aan:

  • Een kwijtgeraakte USB-stick
  • Een gestolen laptop
  • Een inbraak door een hacker
  • Verzending van e-mail waarin de e-mailadressen van alle geadresseerden
  • Zichtbaar zijn voor alle andere geadresseerden
  • Een malware-besmetting
  • Een calamiteit zoals een brand in een datacentrum
  • Gecrashte computer met persoonsgegevens en je hebt geen backup

Definitie ‘Betrokkenen’

‘Is/zijn degene(n) van wie persoonsgegevens zijn gelekt’.

Een datalek moet naast aan de AP ook aan de betrokkene(n) worden gemeld als het datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkenen. (Achterliggende gedachte hierbij is dat betrokkenen in een zo vroeg mogelijk stadium in staat gesteld worden maatregelen te nemen teneinde de impact van het datalek op hun persoonlijke levenssfeer te beperken).

Doel procedure meldplicht datalekken

Het voldoen aan wetgeving door het op een juiste manier omgaan met persoonsgegevens en het verplicht melden van datalekken aan de AP.

Afspraken met een Verwerker:

  • Kick Zorggroep heeft vastgelegd wie de specifieke verwerkers zijn van persoonsgegevens;
  • Kick Zorggroep zorgt ervoor dat de verwerkers maatregelen treffen die nodig zijn, zodat we daarmee aan de meldplicht voor datalekken voldoen;
  • Kick Zorggroep maakt afspraken met de verwerker over de volgende zaken en legt deze vast in contracten (of in een addendum);
  • De verwerker is verplicht Kick Zorggroep te informeren over alle relevante incidenten;
  • Kick Zorggroep hoort per incident alle relevante informatie te ontvangen van de verwerker;
  • Hoe informeert de verwerker Kick Zorggroep over de incidenten?
  • Wanneer precies behoort de verwerker Kick Zorggroep te informeren over de incidenten?
  • De verwerker is verplicht om Kick Zorggroep onmiddellijk op de hoogte te houden van eventuele nieuwe ontwikkelingen rond het incident en van de maatregelen die de verwerker treft om aan zijn kant de gevolgen van het incident te beperken en herhaling te voorkomen. De verwerker moet kunnen aantonen/vaststellen dat Kick Zorggroep daadwerkelijk op de hoogte wordt gesteld van alle relevante incidenten, en dat de verstrekte informatie klopt

Intern melden van een datalek

Zodra binnen of door Kick Zorggroep een datalek wordt geconstateerd, wordt deze onmiddellijk gemeld aan een de directie. (Indien melding wordt gedaan over poststukken/brieven die op straat gevonden worden, zal al het mogelijke worden gedaan om de post z.s.m. naar kantoor te krijgen). I.v.m. het beheren en monitoren van de melding, wordt alle informatie (t.a.v. de melding t/m de afhandeling) gelijktijdig toegedaan aan de Functionaris Gegevensbescherming.

Verwerking gegevens datalek

De gegevens m.b.t het datalek worden verzameld en geregistreerd en dienen als input voor verbeteracties en worden gecommuniceerd aan betrokkenen (in-/extern).

Extern melden van een datalek aan de Autoriteit Persoonsgegevens (AP)

Nagegaan wordt welke specifieke datalekken moeten worden gemeld. Om vast te stellen of een specifiek datalek moet worden gemeld aan de AP, worden de richtlijnen gevolgd.

Het datalek moet onmiddellijk gemeld worden aan de AP. (Uiterlijk op de tweede werkdag na de ontdekking van het incident moet de melding worden gedaan, tenzij op dat moment inmiddels uit onderzoek is gebleken dat het incident niet onder de meldplicht valt. Evt. kan de melding naderhand nog worden aangevuld of ingetrokken. In de melding aan de AP moet aangeven worden of het datalek al aan de betrokkenen is gemeld en, zo niet, wanneer dat wordt gedaan. De termijn die we in de melding aan de AP aangeven, moeten we nakomen. Mocht deze termijn bij nader inzien niet haalbaar blijken te zijn, dan moeten we dit aan de AP laten weten d.m.v. een aanpassing van de melding.

In de kennisgeving aan de betrokkene moet het volgende worden vermeld:

  • De aard van de inbreuk
  • De instanties waar de betrokkene meer informatie over de inbreuk kan krijgen
  • De maatregelen die we de betrokkene aanbevelen om te nemen, om de negatieve gevolgen van de inbreuk te beperken

Kick Zorggroep houdt een overzicht bij van alle datalekken die onder de meldplicht vallen.

Per datalek staan in het overzicht in ieder geval de feiten en gegevens omtrent de aard van de inbreuk. Als het datalek is gemeld aan de betrokkene, dan wordt ook de tekst van de kennisgeving aan de betrokkene in het overzicht opgenomen.

Communicatie binnen Kick Zorggroep

Het geconstateerde datalek en benodigde acties worden binnen Kick Zorggroep gecommuniceerd met de betrokkenen.

Contact en klachtrecht

Wij nemen de bescherming van uw persoonsgegevens serieus. Wij hanteren passende maatregelen naar de laatste stand van de techniek om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan.

Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er zijn aanwijzingen van misbruik, neem dan contact op met ons via info@kickzorggroep.nl. U kunt een verzoek tot correctie, verwijdering, vernietiging of overdracht van uw dossier, of een bezwaar tegen de verwerking van uw persoonsgegevens ook sturen naar dit e-mailadres.

Wij willen u er tot slot op wijzen dat u de mogelijkheid heeft om bij de Autoriteit Persoonsgegevens een klacht in te dienen over de verwerking van uw persoonsgegevens door ons.