PRIVACY VERKLARING

Riccardo de Koning - Osteopathie Praktijk 

Privacyverklaring

Riccardo de Koning Osteopathie Privacyverklaring

Indien u telefonisch (via de therapeut of een medewerker van Riccardo de Koning Osteopathie) een afspraak heeft gemaakt bij Riccardo de Koning Osteopathie, wordt u verzocht de Algemene Voorwaarden en de Privacyverklaring van Riccardo de Koning Osteopathie door te nemen. Bij aanvang van het eerste consult (intake) wordt u gevraagd of u akkoord gaat met de Algemene Voorwaarden en de Privacyverklaring. Dit akkoord wordt opgenomen in uw dossier.

 

Op 25 mei 2018 is de nieuwe Privacywetgeving in werking getreden. Het gaat dan om Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische communicatie (2002/58/EG), de nationale wetten ter uitvoering van deze richtlijnen en/of, in voorkomend geval, de verordening (EU) 2016/679 (de “Algemene Verordening Gegevensbescherming”). Een en ander samengevat als de AVG. Deze wetgeving zal de wet Bescherming persoonsgegevens vervangen. De AVG verwacht een meer pro-actieve rol van iedere organisatie die persoonsgegevens verwerkt. De meest relevante wijzigingen waar rekening mee dienen te worden gehouden zijn:

  • versterking en uitbreiding van privacyrechten;

  • meer verantwoordelijkheden voor organisaties;

  • dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

De Autoriteit Persoonsgegevens (hierna AP) blijft net als voorheen onder de wet Bescherming persoonsgegevens de autoriteit die controleert of organisaties zich aan de wetgeving houden.

De AP heeft voor de organisaties een stappenplan ontwikkeld om te voldoen aan de nieuwe regelgeving:

Ter voorbereiding op de nieuwe regelgeving heeft de AP een stappenplan opgesteld:

Het AVG-10 stappenplan:

  • Bewustwording

  • Rechten van betrokkenen

  • Overzicht verwerkingen

  • Data protection impact assessment (DPIA)

  • Privacy by design & privacy by default

  • Functionaris voor de gegevensbescherming

  • Meldplicht datalekken

  • Verwerkersovereenkomsten

  • Leidende toezichthouder

  • Toestemming

Een nadere uitwerking van dit stappenplan en naleving in de praktijk daarvan dient ervoor zorg te dragen dat Riccardo de Koning Osteopathie zich zoveel mogelijk aan de nieuwe wetgeving AVG kan houden. Hieronder zullen de verschillende stappen worden besproken. Daarbij wordt nagegaan in hoeverre deze punten binnen Riccardo de Koning Osteopathie gelden, waar Riccardo de Koning Osteopathie tegen aan loopt en op welke wijze Riccardo de Koning Osteopathie op een verantwoorde manier aan de ‘nieuwe’ verplichtingen kan voldoen. 

Bewustwording

Riccardo de Koning Osteopathie is een praktijk waarbinnen R.G. de Koning en mogelijk andere therapeuten osteopathie als dienstverlening aanbieden. Om dat doel te kunnen uitvoeren dient Riccardo de Koning Osteopathie persoonsgegevens van patiënten te verwerken en gebruiken binnen de dagelijkse bedrijfsvoering.

 

De gegevens die worden gedocumenteerd zijn privacygevoelig. Het gaat om persoonsgegevens, aan de hand waarvan de betrokkene zowel direct als indirect geïdentificeerd kan worden. Ten einde er zeker van te zijn dat met die gegevens wordt omgegaan op een wijze die verantwoord is en voldoet aan de privacy wetgeving zoals per 25 mei 2018 van kracht is gegaan, heeft Riccardo de Koning Osteopathie ervoor gekozen met het onderhavige protocol in kaart te brengen, aan de hand van het AVG stappenplan (zoals hiervoor opgesomd), op welke wijze invulling gegeven dient te worden aan de AVG.

Het betreft hier registratie van persoonsgegevens met een gerechtvaardigd belang. Immers de patiënten melden zich zelf aan bij Riccardo de Koning Osteopathie. Zij willen graag geholpen worden door de osteopaat voor hun klachten.

Rechten van betrokkenen

Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de Verordening diverse rechten aan de betrokkene. De betrokkene kan deze rechten uitoefenen tegen de verwerkingsverantwoordelijke. De betrokkene heeft:

  • het recht op informatie over de verwerkingen;

  • het recht op inzage in zijn gegevens;

  • het recht op correctie van de gegevens als deze niet kloppen;

  • het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;

  • het recht op beperking van de gegevensverwerking;

  • het recht op verzet tegen de gegevensverwerking;

  • het recht op overdracht van zijn gegevens (dataportabiliteit);

  • het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.

Een patiënt of voormalig patiënt (de betrokkene) kan om bovenstaande gegevens verzoeken. De betrokkene kan zulks doen per mail naar info@riccardodekoning.nl De betrokkene dient zich daarbij te legitimeren, opdat Riccardo de Koning Osteopathie met voldoende zekerheid kan vaststellen dat degene die het verzoek doet daadwerkelijk de betrokkene is. 

Riccardo de Koning Osteopathie zal binnen 1 maand na ontvangst van het verzoek de betrokkenen informeren over de uitvoering van het verzoek. Bij complexe, of een veelvoud aan verzoeken kan deze termijn verlengd worden met maximaal 2 maanden. De betrokkene zal in een dergelijk geval van verlengde termijn van uitvoering van het verzoek daaromtrent geïnformeerd worden. De informatie wordt in principe schriftelijk verstrekt.

In sommige gevallen mag Riccardo de Koning Osteopathie weigeren tot uitvoering van het verzoek om gegevensverstrekking over te gaan, dan wel daarvoor kosten in rekening brengen. Het moet dan gaan om de situatie dat de betrokkene buitensporige of ongegronde verzoeken doet. (Bijvoorbeeld meerdere verzoeken achter elkaar om dezelfde gegevens. Dan wel wanneer sprake is van een van de beschermende noodzakelijkheidscriteria welke de AVG kent zoals bijvoorbeeld in het kader van een (strafrechtelijk) onderzoek naar de betrokkene). Indien Riccardo de Koning Osteopathie weigert aan het verzoek te voldoen, zal Riccardo de Koning Osteopathie zulks motiveren en de betrokkene wijzen op het klachtrecht bij de toezichthouder AVG.

Riccardo de Koning Osteopathie realiseert zich dat indien zij een schriftelijke beslissing neemt in het kader van de uitoefening van de rechten van de betrokkene, dat dit dan geldt als een besluit in de zin van de Algemene wet bestuursrecht.

In sommige gevallen dient Riccardo de Koning Osteopathie de betrokken patiënt uit zichzelf te informeren. Dit is het geval indien:

  • gegevens buiten de betrokkene om worden verkregen

  • gegevens voor een ander doel gebruikt gaan worden dan waar de gegevens oorspronkelijk voor waren afgegeven. Riccardo de Koning Osteopathie zal in die gevallen binnen 1 maand betrokkene informeren.

Indien de behandeling van de patiënt eindigt zal Riccardo de Koning Osteopathie de persoonsgegevens nog enige tijd in haar systeem bewaren. De wet Wgbo bepaalt dat medische dossiers 15 jaar moeten worden bewaard. Aan die bewaartermijn zal Riccardo de Koning Osteopathie zich houden. De dossiers zullen na 15 jaar vernietigd worden. Binnen het dossier bevinden zich tevens gegevens van niet medische aard.

Ten einde er zeker van te zijn dat de betrokkene een volledig beeld heeft van de wijze waarop met diens persoonsgegevens wordt omgegaan en met welk doel en onder welke grondslag (gerechtvaardigd belang), zal iedere betrokken bij registratie toegang krijgen tot deze privacyverklaring en de hierbij behorende documenten. Riccardo de Koning Osteopathie zal deze gegevens op de website plaatsen en iedere betrokkene op die vindplaats wijzen.

Register van verwerkingsactiviteiten en verwerkingspartijen

Riccardo de Koning Osteopathie verwerkt persoonsgegevens van patiënten. Ten aanzien van al deze vormen van verwerkingen van persoonsgegevens houdt Riccardo de Koning Osteopathie een register van verwerkingsactiviteiten bijhouden. Daarin worden alle soorten persoonsgegevens die verwerkt zullen worden opgenoemd. De gegevens van de cliënten van Riccardo de Koning Osteopathie worden via een aantal partijen verwerkt:

 

Facturering:

De facturering van Riccardo de Koning Osteopathie wordt verzorgd door debiteurenbeheer Infomedics B.V. Centrum Osten heeft een Verwerkersovereenkomst met Infomedics B.V. Infomedics B.V. en de dienstverleners waar zij mee werkt zijn gebonden aan de Algemene Verordening Persoonsgegevens (AVG). Infomedics B.V. is hiertoe ISO 270001 gecertificeerd. Meer over privacybescherming van Infomedics. B.V. is te vinden op www.infomedics.nl/privacy. Infomedics B.V. heeft voor de facturering de beschikking over de volgende identificatiegegevens en correspondentiegegevens: naam, adres, geboortedatum, BSN. Tevens zijn bij Infomedics B.V. de datums van de consulten bekend.

 

Webhosting:

De webhosting van Riccardo de Koning Osteopathie wordt verzorgd door Wix.com.

Gegevens via E-mail:

De e-mailing van Riccardo de Koning Osteopathie gebeurt met een TransIP account. Hiermee worden normaliter enkel identificatie-, correspondentiegegevens en afspraakherinneringen et cetera uitgewisseld. Delen van de inhoud van uw medisch dossier worden enkel via de e-mail verzonden als de patiënt daar zelf om vraagt.

Gegevens voor Onderzoek en studie:

Onderzoeks- en behandelgegevens kunnen anoniem gebruikt worden voor onderzoek en/of studie. De identificatie- en correspondentiegegevens worden hierbij niet gebruikt.

Gegevens voor derden:

Indien gegevens inclusief (delen) van de inhoud van het medisch dossier voor correspondentie met derden (huisarts, specialist, therapeut) nodig zijn, dan is hiervoor expliciet de toestemming nodig van de patiënt. Deze toestemming wordt opgenomen in het dossier van de patiënt bij Riccardo de Koning Osteopathie. Rapportages voor (schadeletsel) advocaten dienen door het betreffende bureau te worden aangevraagd conform de geldende procedure. De patiënt dient de advocaat en Riccardo de Koning Osteopathie hiertoe toestemming te geven middels een ondertekend schrijven.

In het geval de patiënt een klacht indient tegen de osteopaat, zullen die gegevens eveneens worden verwerkt in de praktijksoftware van Riccardo de Koning Osteopathie.

DPIA (Data protection impact assessment)

DPIA staat voor gegevensbeschermingseffectbeoordeling. Een DPIA is alleen verplicht wanneer sprake is van gegevensverwerking welke waarschijnlijk een hoog privacyrisico oplevert. Binnen de AVG worden drie situaties besproken wanneer sprake is van verhoogd risico.:

  • systematisch en uitvoerig persoonlijke aspecten evalueren

  • op grote schaal bijzondere persoonsgegevens verwerken

  • op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied

Naast de criteria uit de AVG zelf heeft de werkgroep van Europese privacytoezichthouders een lijst met 9 criteria opgesteld om nader te bezien of een DPIA nodig is. De criteria die op osteopaten van toepassing zouden kunnen zijn:

  • gevoelige gegevens verwerking

  • grootschalige gegevens verwerking

  • gegevensverwerking over kwetsbare personen

De privacytoezichthouders zien verwerkingen van bijzondere persoonsgegevens door individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen DPIA uit te voeren. Het ligt voor de hand dat de gegevensverwerking door de individuele osteopaat aldus evenmin de uitvoering van een DPIA behoeft. Riccardo de Koning Osteopathie zal zodoende geen DPIA uitvoeren.

Evenwel is Riccardo de Koning Osteopathie zich ervan bewust dat sprake is van bijzondere persoonsgegevens. De inhoud van een medisch dossier is gevoelig voor de betrokkene en vergt een grote mate van vertrouwelijkheid. Riccardo de Koning Osteopathie zal zich zodoende inzetten die gegevens vertrouwelijk te laten blijven.

De gegevens zoals Riccardo de Koning Osteopathie registreert zijn slechts bedoeld voor intern gebruik. De persoonsgegevens worden gebruikt om te waarborgen dat de osteopaat de patiënt zo goed mogelijk van dienst kan zijn. Van dienst zijn in het verhelpen van de klachten en van dienst zijn door het mogelijk maken dat de ziektekostenverzekering de kosten zoveel mogelijk vergoedt.

Op termijn zal de Autoriteit Persoonsgegevens (AP) een lijst van verwerkingen publiceren waar een DPIA voor verplicht is. Zodra die lijst er is, zal Riccardo de Koning Osteopathie haar verwerking van persoonsgegevens opnieuw tegen het licht houden om te bezien of nog nadere maatregelen nodig zijn.

Privacy by design & privacy by default

Privacy door ontwerp en door standaardinstellingen voor producenten. Riccardo de Koning Osteopathie is producent van een dienst, welke wordt ondersteund door de verwerking van persoonsgegevens. Zodoende houdt Riccardo de Koning Osteopathie bij de ontwikkeling en uitwerking van die dienst rekening met het recht op bescherming van persoonsgegevens. Met inachtneming van de stand van de techniek ziet Riccardo de Koning Osteopathie erop toe dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.

Riccardo de Koning Osteopathie let daarbij op:

  • het minimaliseren van de verwerking van persoonsgegevens;

  • slechts het BSN nummer noteren, doch geen kopie maken van de het paspoort/ID kaart;

  • transparantie met betrekking tot de functies en de verwerking van persoonsgegevens;

  • het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking; en

  • beveiligingskenmerken creëren en verbeteren.

Functionaris voor de gegevens bescherming

Net als voor de DPIA geldt dat de individuele praktijk van een osteopaat door de AP niet wordt gezien als een grootschalige verwerker. Het instellen van een FG is ondanks dat het gaat om bijzondere persoonsgegevens niet noodzakelijk. Daarbij stipt Riccardo de Koning Osteopathie nogmaals aan dat in deze sprake is van het verwerken van persoonsgegevens op verzoek van de patiënt, nu deze een zo goed mogelijke behandeling wenst. Riccardo de Koning Osteopathie verwerkt geen persoonsgegevens voor commerciële doeleinden. Patiënten worden niet gevolgd door Riccardo de Koning Osteopathie aan de hand van de persoonsgegevens.

Riccardo de Koning Osteopathie benadrukt opnieuw zich te realiseren persoonsgegevens te verwerken die een hoge mate van vertrouwelijkheid kennen. Riccardo de Koning Osteopathie meent echter alle maatregelen te hebben genomen, ten einde erop toe te zien dat de persoonsgegevens van patiënten niet voor andere doeleinden gebruikt worden dan bedoeld is.

Meldplicht Datalekken

Een datalek in de zin van de AVG is een inbreuk in verband met persoonsgegevens. Het is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Het is voor de kwalificatie als ‘inbreuk in verband met persoonsgegevens’ niet relevant dat er boze opzet in het spel is. Naast het ‘hacken’ van persoonsgegevens, kan ook gedacht worden aan gegevens die op een verloren laptop staan of een afgesloten website met persoonsgegevens die per ongeluk openstaat. Een inbreuk op de beveiliging houdt in dat zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Er is niet uitsluitend sprake van een dreiging, of van een tekortkoming in de beveiliging (ook wel aangeduid als een beveiligingslek) die zou kunnen leiden tot een beveiligingsincident. Er heeft zich daadwerkelijk een beveiligingsincident voorgedaan, waarbij de getroffen preventieve maatregelen niet toereikend waren om dit te voorkomen.

Riccardo de Koning Osteopathie zal ieder datalek aan de AP melden, tenzij onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Riccardo de Koning Osteopathie  zal binnen 72 uur na ontdekking de AP in kennis stellen, ook indien nog niet alle informatie voorhanden is.

Bovendien zal Riccardo de Koning Osteopathie het datalek onverwijld melden aan de betrokkenen, indien sprake is van een hoog risico door de inbreuk op de persoonsgegevens. Voor de vraag of sprake is van een hoog risico zal Riccardo de Koning Osteopathie eerst nader onderzoek daar naar mogen doen.

Het datalek zal door Riccardo de Koning Osteopathie gedocumenteerd worden in een overzicht van datalekken die zich binnen Riccardo de Koning Osteopathie hebben voorgedaan. Niet alleen zullen de feiten omtrent de inbreuk en de gevolgen daarvan in dit overzicht worden gedocumenteerd, doch eveneens de genomen corrigerende maatregelen.

 

Verwerkersovereenkomsten 

Riccardo de Koning Osteopathie maakt gebruik van  Infomedics B.V. voor de facturering.

 

Leidende Toezichthouder

Riccardo de Koning Osteopathie dient te bepalen onder welke toezichthouder zij valt. Riccardo de Koning Osteopathie heeft 1 vestiging te Utrecht. Dit is op Nederlandse bodem. De werkzaamheden van Riccardo de Koning Osteopathie rusten op Nederlands grondgebied. De Leidende toezichthouder voor Riccardo de Koning Osteopathie is dus de Autoriteit Persoonsgegevens te Nederland.

Toestemming

Voor de verwerking van bepaalde gegevens is toestemming nodig van de betrokkene. Dat is het geval indien het gaat om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Ook het nationaal identificatienummer (BSN) is een zaak waarbij expliciete toestemming van de betrokkene nodig is, indien dat nummer wordt verwerkt. Riccardo de Koning Osteopathie verwerkt het BSN nummer van haar patiënten nu Osteopaten verplicht zijn dit nummer te gebruiken in correspondentie met andere zorgverleners. Het verwerken van gegevens over de gezondheid betreft eveneens een bijzondere categorie gegevens waarvan voor de verwerking toestemming nodig is van de patiënt. Het heeft echter de sterke voorkeur het verwerken van alle persoonsgegevens op voorhand met patiënten te bespreken en bij die verwerking expliciet te vermelden of de patiënt toestemming heeft gegeven voor die verwerking.

Riccardo de Koning Osteopathie zal op de volgende wijze invulling geven aan deze benodigde toestemming.

Indien de patiënt telefonisch (via de therapeut of een medewerker van Riccardo de Koning Osteopathie) een afspraak heeft gemaakt bij Riccardo de Koning Osteopathie, wordt hij verzocht de Algemene Voorwaarden en de Privacyverklaring van Riccardo de Koning Osteopathie door te nemen. Deze kan de patiënt inzien www.riccardodekoning.nl Bij aanvang van het eerste consult (intake) wordt de patiënt gevraagd of hij akkoord gaat met de Algemene Voorwaarden en de Privacyverklaring. Dit akkoord wordt opgenomen in het dossier van de patiënt.

Indien de patiënt online een afspraak (boeking) maakt bij Riccardo de Koning Osteopathie, dan wordt hem eerst gevraagd akkoord te gaan met de Algemene Voorwaarden en de Privacyverklaring van Riccardo de Koning Osteopathie. Indien de patiënt akkoord gaat, wordt de online boeking bevestigd. De Algemene Voorwaarden en de Privacyverklaring zijn te in te zien op hetzelfde scherm en op www.riccardodekoning.nl Bij aanvang van het eerste consult (intake) wordt de patiënt nogmaals gevraagd of hij akkoord gaat met de Algemene Voorwaarden en de Privacyverklaring. Dit akkoord wordt opgenomen in het dossier van de patiënt.

Bij het eerste contact tussen de patiënt en de therapeut van Riccardo de Koning Osteopathie, zal de therapeut nogmaals nadrukkelijk toestemming vragen of de cliënt akkoord gaat met de onderstaande zaken, alvorens de therapeut overgaat tot alle andere gegevensverwerking:

-Algemene Voorwaarden en Privacyverklaring. Dit akkoord wordt opgenomen in het dossier van de patiënt.

-Indien nodig: gegevenstrekking aan derden (huisarts et cetera). Dit akkoord wordt opgenomen in het dossier van de patiënt

-Gegevensverstrekking aan (schadeletsel) advocaten is alleen mogelijk, wanneer de patiënt een ondertekende toestemming op schrift heeft overhandigd.

Indien de patiënt nog vragen heeft aangaande de Algemene Voorwaarden en de Privacyverklaring van Riccardo de Koning Osteopathie, dan worden deze besproken.

Slotwoord

Riccardo de Koning Osteopathie gaat ervan uit met dit privacybeleid aan alle vereisten van de nieuwe AVG regels te voldoen. Riccardo de Koning Osteopathie is zich ervan bewust dat sprake is van nieuwe regelgeving en dat zulks inhoudt dat nog niet alle facetten zich even makkelijk laten uiteenzetten. Riccardo de Koning Osteopathie zal de aanpassingen, beslissingen en verder nieuws vanuit de AP volgen, opdat tijdige maatregelen genomen kunnen worden deze beleidsregels alsnog verder aan te scherpen, of bij te snijden.

© 2018 Riccardo de Koning Osteopathie - foto's: Vera Bos Fotografie