(0165) 398 888 info@trivers.nl
Illustratie hand-in-hand

Privacy Statement

 

 

1. Inleiding

Privacy persoonsgegevens
In het kader van de Europese richtlijn dient er sprake te zijn van een gelijk beschermingsniveau van persoonsgegevens binnen alle lidstaten. Dit houdt verband met het vrije grensoverschrijdende verkeer van personen en dus ook persoonsgegevens.
Binnen Nederland is dit geregeld door de Algemene Verordening Gegevensbescherming (hierna te noemen AVG). Deze wet heeft betrekking op de verwerking van persoonsgegevens. Dit wil zeggen op alle handelingen die met betrekking tot een persoonsgegeven worden verricht, vanaf het verzamelen van de gegevens tot en met de vernietiging.
Onder persoonsgegeven wordt verstaan elke informatie betreffende een identificeerbaar, natuurlijk persoon.

Het doel van dit privacyreglement is:
• aan te geven om welke persoonsgegevens, geldend voor AVG, het gaat binnen de organisatie;
• aan te geven op welke wijze deze persoonsgegevens, geldend voor AVG, verwerkt worden;
• aan te geven welke personen en/of organisaties betrokken zijn bij de verwerking van de persoonsgegevens;
• aan te geven op welke wijze de organisatie voldoet aan de informatieplicht;
• aan te geven op welke wijze de persoonsgegevens worden beveiligd.

Het toepassingsgebied van dit privacyreglement is:

Verwerking persoonsgegevens van cliënten en personen werkzaam voor Trivers (zowel digitaal als in fysieke documenten).

De persoonsregistratie wordt slechts aangelegd indien dit noodzakelijk is voor een goede vervulling van de taak van de beheerder.
De beheerder van de persoonsregistratie zal niet meer gegevens in de registratie opnemen dan voor het doel van de persoonsregistratie noodzakelijk is.

Cliënten en personen werkzaam in opdracht van Trivers worden vooraf altijd geïnformeerd over welke gegevens met welk doel worden verwerkt door Trivers. Toestemming met de verwerking van de persoonsgegevens is geregeld in de contracten die cliënten en/of personen werkzaam voor Trivers voor aanvang begeleiding/behandeling of werkzaamheden ondertekenen.

In het verwerkingsregister zijn alle gegevens die verwerkt worden door Trivers en/of derden opgenomen. De kwaliteitsmedewerker is verantwoordelijk voor het actueel houden van dit register.

Interne en externe dienstverleners die werken met en/of inzage hebben in persoonsgegevens worden verzocht een schriftelijke verklaring op te stellen op welke wijze zij beveiligingsmaatregelen hebben genomen ten aanzien van deze persoonsgegevens (verwerkingsovereenkomst). In deze verwerkingsovereenkomst dienen een geheimhoudingsclausule, voorwaarden inschakelen sub-bewerkers, beveiligingsmaatregelen verwerker, regeling aansprakelijkheid en verantwoordelijkheden met betrekking tot het melden van datalekken te zijn opgenomen. Na goedkeuring en ondertekening archiveert de opdrachtgever een ondertekend exemplaar van deze overeenkomst.

Privacy omgeving
Met betrekking tot de privacy van de omgeving van cliënten en personen werkzaam binnen Trivers zijn afspraken hierover vastgelegd in diverse documenten als o.a. sleutelbeheer, personeelsbeleid.

 

2. Definities
Verantwoordelijke
is de formeel juridisch aansprakelijke rechtspersoon.

• Beheerder
is de persoon die verantwoordelijk is voor de feitelijke verwerking van de
gegevens.

• Betrokkene
is de persoon van wie gegevens worden verwerkt.

• Verwerker
een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed.

• Verwerkingsovereenkomst
de overeenkomst tussen verantwoordelijke en bewerker, waarin wordt vastgelegd
hoe de bewerker met de persoonsgegevens moet omgaan.

• Derden
degenen aan wie buiten de organisatie gegevens worden verstrekt.

• Gebruikers
is degene die geautoriseerd is gegevens in de persoonsregistratie in te voeren
en/of te wijzigen, dan wel kennis te nemen van persoonsregistraties.

• Persoonsgegeven
een gegeven dat herleidbaar is tot een individueel natuurlijk persoon.

Persoonsregistratie
een samenhangende verzameling van op verschillende personen betrekking
hebbende gegevens. Het gaat om gegevens die in het kader van zorg- en/of
dienstverlening zijn verzameld.

Verstrekken van gegevens uit persoonsregistratie
het bekend maken of ter beschikking stellen van persoonsgegevens. Het betreft
persoonsgegevens die geheel of grotendeels steunen op gegevens opgenomen in
de persoonsregistratie.

Grondslag
de reden van een persoonsregistratie. Persoonsgegevens mogen alleen verwerkt
worden wanneer dit noodzakelijk is op basis van een in de wet genoemde
grondslag.

Doel
datgene wat beoogd wordt met een persoonsregistratie. Persoonsgegevens
worden verwerkt in overeenstemming met het vastgestelde doel.
Datalek
als persoonsgegevens in handen vallen van derden die geen toegang tot die
gegevens zouden mogen hebben. Een datalek is het gevolg van een
beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte
computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een
datalek vormen. Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail
verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-
schoongemaakte computers en verloren usb-sticks.

Functionaris Gegevensbescherming
Trivers heeft een Functionaris voor Gegevensbescherming (FG), die onafhankelijk toezicht houdt. De wettelijke taken en bevoegdheden geven deze functionaris een onafhankelijke rol in de organisatie.

 

3. Algemeen

Opgenomen gegevens
De persoonsregistraties kunnen ten hoogste de volgende gegevens categorieën bevatten:
• NAW-gegevens (voor- en achternaam, adres, postcode, woonplaats, telefoonnummer, noodnummer, e-mailadres, burgerlijke staat).
• Verwijzer (naam, adres, postcode, plaats, zorgverlenersnummer).
• Persoonlijke gegevens (geslacht, levensstijl, gezinssituatie, gedrag, economische en financiële situatie).
• Uniek nationaal identificatienummer (BSN).
• Verzekeringsgegevens (verzekering, relatienummer).
• Beschikkingen (verantwoordelijke gemeente, regio, type beschikking).
• Gegevens met betrekking tot de moedertaal/meertaligheid.
• Genetische gegevens (erfelijke problemen).
• Geluids- en beeldopnamen.
• Medische gegevens (medische voorgeschiedenis, eerdere zorgverlening, algemene gezondheid).
• Verslagen (behandelplannen, voortgangs-/evaluatieverslagen).
• Testresultaten (begin-, tussen- en eindmetingen).
• Behandeldoelen (doelen m.b.t. de behandeling/het onderzoek).

Het doel van de verwerking van cliëntgegevens in het patiëntendossier is uitsluitend:
• het kunnen aanmelden voor het ontvangen van jeugdhulp;
• het kunnen bieden van goede hulpverlening;
• het kunnen geven van informatie over cliënten in geval van overdracht naar collega’s of andere instanties;
• het kunnen registreren van de vorderingen van de behandeling;
• het kunnen declareren bij de gemeente of de zorgverzekering;
• voor kwaliteitsdoeleinden.

Bewaartermijn dossiers
Volgens de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) is de wettelijke bewaartermijn van dossiers vijftien jaar of ‘zoveel langer als uit de zorg van een goed hulpverlener voortvloeit’. Deze toevoeging slaat op de situatie dat een hulpverlener alleen in staat is om goede zorg te (blijven) bieden als de gegevens langer bewaard blijven, zoals bij chronische aandoeningen.

De bewaartermijn start op het moment dat een eerste gegeven over de cliënt is opgenomen in het dossier. Bij minderjarigen start de bewaartermijn vanaf het achttiende levensjaar. Cliëntgegevens moeten voor hen dus bewaard blijven tot het 34e levensjaar, behalve als zij voortijdig overlijden.

Dossiers van overleden volwassenen moeten vijftien jaar bewaard blijven, gerekend vanaf de laatste wijziging in het dossier over de behandeling of het overlijden.

Personeelsgegevens worden twee jaar na beëindiging van het contract vernietigd.

Informatieplicht
Belangrijk uitgangspunt van de wet is, dat de betrokkene helderheid wordt geboden over de verwerking van zijn persoonsgegevens.
De verantwoordelijke is dan ook verplicht voorafgaand aan het verzamelen van persoonsgegevens betrokkene te informeren over:
• zijn identiteit;
• voor welk doel of doeleinden de gegevens worden verzameld.

Deze informatie plicht is opgenomen in de zorgovereenkomst die de cliënt tekent voordat hij/zij zorg afneemt van Trivers.

Bescherming digitale gegevens
Digitale persoonsgegevens zijn beschermd door:
• inlogcode en wachtwoord met 2 factor authenticatie;
• rechtentoekenning in mappenstructuur en software applicaties voor registraties personeel en/of cliënten;
• clean desk (medewerkers loggen uit als ze hun behandelkamer verlaten);
• beveiligingssoftware en het besturingssysteem zijn ingesteld om automatisch updates op te halen en te installeren;
• back-ups externe opslag;
• afspraken met de verwerkers/beheerders van het systeem (verwerkingsovereenkomst);
• datalekken worden binnen 72 uur vanaf het moment constatering gemeld bij de toezichthouder (https://autoriteitpersoonsgegevens.nl/) conform beleidsregels voor toepassing van artikel 34a van de Wbp 08-12-2015.

Bescherming papieren gegevens
Papieren waarop persoonsgegevens staan, liggen achter slot en grendel. Dit is verder beschreven in het sleutelbeleid. Wanneer de medewerker de behandelkamer verlaat, liggen er geen cliëntgegevens meer op het bureau (clean desk).

Meldplicht datalekken
Een datalek wil zeggen dat persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen. Andere voorbeelden: cyberaanvallen (incl. DDoS), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.
In de keten van verwerkers zijn de werkwijzen/verantwoordelijkheden met betrekking tot datalekken in de verwerkingsovereenkomst met verwerker vastgelegd.

Vernietiging van opgenomen gegevens
De geregistreerde heeft het recht te verzoeken om vernietiging van, tot zijn persoon herleidbare, gegevens.
Daartoe dient hij een schriftelijk verzoek in bij de beheerder. De beheerder vernietigt de gegevens binnen een half jaar na het verzoek van de geregistreerde tenzij redelijkerwijs aannemelijk is dat de bewaring op grond van een wettelijk voorschrift vereist is.

Kennisgeving
Cliënt en medewerkers worden voor aanvang van de begeleiding/behandeling of het dienstverband/contract geïnformeerd over hun rechten en plichten rondom bescherming persoonsgegevens.

4. Rechten en plichten

Recht op beperking van de verwerking
In bepaalde situaties hebben mensen het recht op beperking van het gebruik van hun gegevens, bijvoorbeeld wanneer de gegevens mogelijk onjuist zijn of wanneer de verwerking onrechtmatig is.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen#wat-houdt-het-recht-op-beperking-van-de-verwerking-in-6348

Recht om te worden vergeten en om gegevens te laten wissen
Het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Naast het recht om de organisatie te vragen persoonsgegevens te verwijderen kan ook geëist worden dat de organisatie verwijderingen doorgeeft aan alle andere organisaties die deze gegevens van de organisatie hebben gekregen.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen#wat-houdt-het-recht-op-vergetelheid-uit-de-avg-in-5976

Klachtrecht
Indien er een klacht is over het gebruik van persoonsgegevens is het streven dat dit in onderling overleg met betrokkenen wordt opgelost.
Als de klacht niet in onderling overleg kan worden opgelost kan de klager dit melden bij de Autoriteit Persoonsgegevens of naar de rechter gaan.

Recht op informatie
De verantwoordelijke is verplicht voorafgaand aan het verzamelen van persoonsgegevens betrokkene te informeren over:
• zijn identiteit;
• voor welk doel of doeleinden de gegevens worden verzameld.

Inzagerecht
Het recht om de organisatie te vragen of deze persoonsgegevens heeft vastgelegd en zo ja, welke. Er hoeft geen reden gegeven te worden voor een inzageverzoek. Het recht op inzage betreft alleen inzage in iemands eigen gegevens.
Werkaantekeningen vallen niet onder het inzagerecht indien ze alleen worden gebruikt als geheugensteuntje (werkaantekeningen). Worden de aantekeningen opgeslagen in het dossier of verstrekt aan anderen dan heeft degene over wie het gaat ook recht op inzage in deze aantekeningen.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen#wat-houdt-het-recht-op-inzage-in-6346

Recht op dataportabiliteit
Onder bepaalde voorwaarden kunnen van de organisatie de persoonsgegevens in een standaardformaat opgevraagd worden. Dit heet het recht op dataportabiliteit. Er kan zelfs geëist worden dat de organisatie de persoonsgegevens direct doorstuurt aan een nieuwe dienstverlener, als dat (technisch) mogelijk is.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen#wat-houdt-het-recht-op-dataportabiliteit-in-6345

Recht op correctie en verwijdering
Het recht om de organisatie te vragen persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen.
Het correctierecht is niet bedoeld voor het corrigeren van professionele indrukken, meningen en conclusies waarmee iemand het niet eens is, voor zover deze ter zake doen. Wel mag diegene van de organisatie verwachten dat deze in ieder geval zijn schriftelijke mening toevoegt aan het dossier.
Dat kan vooral een oplossing bieden bij situaties waarbij het om niet objectief vast te stellen feiten gaat.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen#wat-houdt-het-recht-op-rectificatie-in-6347

Recht van verzet
Het recht om de organisatie te vragen de persoonsgegevens niet te gebruiken.
1. Wie bezwaar heeft tegen het gebruik van zijn gegevens voor commerciële doeleinden, kan hiertegen verzet aantekenen. Dit verzet wordt altijd gerespecteerd.
2. Verzet kan ook aangetekend worden vanwege bijzondere persoonlijke omstandigheden. In dit geval worden redenen van het verzet besproken met de organisatie.

5. Verstrekking van gegevens

Binnen de organisatie van de beheerder kunnen persoonsgegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk, aan degenen die rechtstreeks betrokken zijn bij de actuele zorg- of dienstverlening aan de geregistreerde. Dit tenzij de geregistreerde kenbaar heeft gemaakt hiertegen bezwaar te hebben.

Buiten de organisatie van de beheerder kunnen persoonsgegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk, aan:
• rechtstreeks betrokkenen bij de actuele zorg- of dienstverlening aan geregistreerde (tenzij geregistreerde kenbaar heeft gemaakt hiertegen bezwaar te hebben);
• degenen die krachtens de Gezondheidswet belast zijn met het staatstoezicht op de volksgezondheid;
• overige personen die bij of krachtens een wettelijke regeling bevoegd zijn informatie in te winnen;

Indien persoonsgegevens zijn geanonimiseerd zodat zij niet tot individuele personen herleidbaar zijn, kan de beheerder beslissen deze te verstrekken ten behoeve van wetenschappelijk onderzoek en statistiek.

Persoonsgegevens ten behoeve van wetenschappelijk onderzoek kunnen alleen dan zonder toestemming van de geregistreerde worden verstrekt indien:
• het vragen van gerichte toestemming in redelijkheid niet mogelijk is;
• het onderzoek algemeen belang dient;
• het onderzoek niet zonder betreffende gegevens kan worden uitgevoerd;
• de persoonlijke levenssfeer van geregistreerde niet wordt geschaad en vaststaat dat het onderzoek niet in de vorm van geregistreerde herleidbare gegevens zal worden gepresenteerd;
• het onderzoek wordt verricht volgens een, op de onderzoeker betrekking hebbende, gedragscode.

Toegang tot persoonsgegevens
Toegang tot de persoonsgegevens hebben:
• direct bij de zorg- of dienstverlening betrokken
• administrateur(s)
• beheerder en bewerker voor zover dit in het kader van het beheer en bewerking noodzakelijk is

In het verwerkingsregister wordt per gegevensverwerking aangegeven wie toegang heeft tot de persoonsgegevens.

Informatiebeveiligingsbeleid Trivers
Het beleid rondom informatiebeveiliging binnen Trivers is in een apart document opgenomen (Informatiebeveiligingsbeleid Trivers).

Hierin wordt nader ingegaan op de wijze van informatiebeveiliging, de taken en verantwoordelijkheden hierin en specifieke werkwijzen bij informatiebeveiliging.

Google Analytics
De websites van Trivers maken gebruik van Google Analytics, een webanalyse-service die wordt aangeboden door Google Inc. (Google). Wij gebruiken deze dienst om bij te houden hoe bezoekers de website gebruiken, met als doel de website te verbeteren.

De door het cookie gegenereerde informatie over uw gebruik van de website wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Google gebruikt deze informatie om bij te houden hoe u de website gebruikt, rapporten over de website-activiteit op te stellen voor website-exploitanten en andere diensten aan te bieden met betrekking tot website-activiteit en internetgebruik.

Wij hebben een bewerkersovereenkomst met Google afgesloten, waarin is vastgelegd dat Google alleen als bewerker optreedt bij de verwerking van de persoonsgegevens van onze websitebezoekers. Google kan de informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover derden de informatie namens Google verwerken. Trivers heeft hier geen invloed op.

Wij delen op geen andere dan voor bovengenoemde redenen gegevens met Google en maken tevens geen gebruik van andere Google-diensten in combinatie met de Google Analytics-cookies, behalve voor het wederzijds uitwisselen van web statistieken en campagnestatistieken met ons Google AdWords account, teneinde websitegebruik en conversiegebeurtenissen bij te houden. Het op deze wijze uitwisselen van meetgegevens heeft geen tot zeer beperkte invloed op uw privacy, aangezien er hiermee geen persoonlijke informatie wordt verzameld en wij deze gegevens niet gebruiken om advertenties af te stemmen op uw persoonlijke voorkeuren.

Hyperlinks op en naar onze website
De websites van Trivers bevatten(hyper)links naar websites van andere organisaties en instellingen. Daarnaast worden vanuit andere websites links gelegd naar deze website. Trivers aanvaardt geen enkele aansprakelijkheid voor de inhoud van deze (gelinkte) websites. Dergelijke (hyper)links zijn slechts opgenomen voor uw informatie en gemak hiervan, dat betekent niet dat op of via deze websites aangeboden informatie producten of diensten door Trivers worden aanbevolen. Het gebruik van een hyperlink is volledig op eigen risico.

Camerabeelden
In het gebouw van Trivers hangen beveiligingscamera’s. Alleen de directie heeft toegang tot de camerabeelden. De gemaakte beelden worden na een week automatisch overschreven.

6. Gescheiden ouders

Er zijn in de wet afspraken gemaakt over de privacy van kinderen en hun gescheiden ouders en over de mate waarin ouders het recht hebben om geïnformeerd te worden over de aanmelding van hun kind bij een hulpverlener. Trivers handelt naar deze richtlijnen en afspraken in de wetgeving. Het belang van het kind staat daarbij voorop.

Tot de leeftijd van 18 jaar hebben de ouders voor de wet het gezag over hun kind. In het jeugdrecht is het een goede gewoonte om het oordeel van een kind vanaf 12 jaar in belangrijke mate te laten meewegen.

Als er door de rechter een voorlopige voorziening is uitgesproken of beide ouders hebben na de scheiding het gezag over hun kind, dan moeten beide ouders toestemming geven voor aanmelding van het kind. Ook hebben dan beide ouders recht op informatie over de behandeling en inzage in rapportage en het dossier conform de bepalingen in het Privacyreglement.

Als er één ouder is die niet met het gezag is bekleed, hoeft er aan deze ouder geen toestemming worden gevraagd voor aanmelding. Deze ouder heeft ook geen recht op volledige inzage in het dossier. Wel heeft deze ouder recht op belangrijke informatie over het kind. De wet (BW, artikel 337B, boek1) stelt dat de ouder die het gezag heeft de andere ouder van belangrijke informatie moet voorzien. Als dit niet mogelijk is kan de hulpverlener deze informatie zelf verstrekken, bijvoorbeeld aan de hand van een kort verslag. Trivers zal dit altijd doen met medeweten van de ouder die het gezag heeft.

Wanneer de aanmeldende ouder stelt het ouderlijk gezag te hebben, dient de medewerker zich daarvan te verzekeren met medewerking van de aanmeldende ouder. Als er geen duidelijkheid is en de aanmeldende ouder weigert om de contactgegevens te verstrekken, kan de medewerker de professionele relatie niet aangaan, tenzij er naar het oordeel van de medewerker sprake is van ernstige schade aan het belang van het kind. Naast de inspanningen om de contactgegevens te achterhalen, duidelijkheid over de gezagssituatie te krijgen en de andere ouder met gezag om toestemming te vragen, dient de medewerker ook een zorgvuldig onderbouwde afweging te maken.

Als uit het centrale gezagsregister geen wijziging van het gezag blijkt, moet de medewerker er van uitgaan dat er twee ouders met gezag zijn, tenzij er nooit een huwelijk of geregistreerd partnerschap is geweest.

Wanneer een kind onder voogdij is geplaatst, heeft de voogd van een kind recht op alle informatie. De ouders die beide uit de ouderlijke macht zijn gezet, hebben op verzoek recht op belangrijke informatie.

De gezinsvoogd die betrokken is bij een gezin heeft niet zomaar recht op alle informatie en kan alleen geïnformeerd worden als de ouders daar toestemming voor hebben gegeven. Als het in het belang van het kind is, mag de gezinsvoogd beargumenteerd rechtstreeks contact leggen met Trivers. Dit is bijvoorbeeld het geval wanneer er sprake is van kindermishandeling.

Protocol Informatieverstrekking gescheiden ouders

7. Contactgegevens

Bij vragen of een verzoek met betrekking tot uw dossier kunt u terecht bij uw zorgverlener. Wanneer u bezwaar heeft tegen een bepaalde informatie-uitwisseling kunt u dit aangeven bij uw zorgverlener.

Als u vragen heeft over deze privacyverklaring, neem dan contact op via info@trivers.nl, of 0165 398 888.

 

Trivers Psychologische Praktijk Roosendaal – Breda – Brabant

Contact opnemen

Hoe wij omgaan met je persoonsgegevens kun je lezen in ons Privacy beleid