AVGReglement AVG-Privacybeleid Osteopathie Deunk–PrivacystatementOp25mei2018zaldenieuwePrivacywetgevinginwerkingtreden.HetgaatdanomPrivacyRichtlijn(95/46/EG)en deRichtlijnprivacyenelektronischecommunicatie(2002/58/EG),denationalewettenteruitvoeringvandeze richtlijnenen/of,invoorkomendgeval,deverordening(EU)2016/679(de“AlgemeneVerordening Gegevensbescherming”).EenenandersamengevatalsdeAVG.DezewetgevingzaldewetBescherming persoonsgegevensvervangen.DeAVGverwachteenmeerpro-actieverolvaniedereorganisatiedie persoonsgegevens verwerkt. De meest relevante wijzigingen waar rekening mee dienen te worden gehouden zijn:versterking en uitbreiding van privacy rechten;meer verantwoordelijkheden voor organisaties;dezelfde,stevigebevoegdhedenvooralleEuropeseprivacytoezichthouders,zoalsdebevoegdheidomboetestot 20 miljoen euro op te leggen.DeAutoriteitPersoonsgegevens(hiernaAP)blijftnetalsvoorheenonderdewetBeschermingpersoonsgegevens de autoriteit die controleert of organisaties zich aan de wetgeving houden.Ter voorbereiding op de nieuwe regelgeving heeft de AP een stappenplan opgesteld:Het AVG-10 stappenplan:BewustwordingRechten van betrokkenenOverzicht verwerkingenData protection impact assessment (DPIA)Privacy by design & privacy by defaultFunctionaris voor de gegevensbeschermingMeldplicht datalekkenVerwerkersovereenkomstenLeidende toezichthouderToestemmingEennadereuitwerkingvanditstappenplanennalevingindepraktijkdaarvandientervoorzorgtedragendatzich zoveelmogelijkaandenieuwewetgevingAVGkanhouden.Hieronderzullendeverschillendestappenworden besproken.DaarbijwordtnagegaaninhoeverredezepuntenbinnenOsteopathieDeunkgelden,waarOsteopathie DeunktegenaanlooptenopwelkewijzeOsteopathieDeunkopeenverantwoordemanieraande‘nieuwe’ verplichtingen kan voldoen.1. BewustwordingOsteopathieDeunkiseenpraktijkwaarbinnenA.E.Deunkosteopathiealsdienstverleningaanbiedt.Omdatdoel tekunnenuitvoerendientOsteopathieDeunkpersoonsgegevensvanpatiëntenteverwerkenengebruikenbinnen de dagelijkse bedrijfsvoering.Degegevensdiewordengedocumenteerdzijnprivacygevoelig.Hetgaatompersoonsgegevens,aandehand waarvandebetrokkenezoweldirectalsindirectgeïdentificeerdkanworden.Teneindeerzekervantezijndatmet diegegevenswordtomgegaanopeenwijzedieverantwoordisenvoldoetaandeprivacywetgevingzoalsper25 mei2018vankrachtzalwordenheeftOsteopathieDeunkervoorgekozenmethetonderhavigeprotocolinkaartte brengen,aandehandvanhetAVG-stappenplan(zoalshiervooropgesomd),opwelkewijzeinvullinggegevendient te worden aan de AVG.Hetbetrefthierregistratievanpersoonsgegevensmeteengerechtvaardigdbelang.Immersdepatiëntenmelden zichzelf aan bij Osteopathie Deunk. Zij willen graag geholpen worden door de osteopaat voor hun klachten.2. Rechten van betrokkenen2.1OmeeneerlijkeverwerkingvanpersoonsgegevenstewaarborgengeeftdeVerordeningdiverserechten aandebetrokkene.Debetrokkenekandezerechtenuitoefenentegendeverwerkingsverantwoordelijke.De betrokkene heeft:het recht op informatie over de verwerkingen;het recht op inzage in zijn gegevens;het recht op correctie van de gegevens als deze niet kloppen;het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;het recht op beperking van de gegevensverwerking;het recht op verzet tegen de gegevensverwerking;het recht op overdracht van zijn gegevens (dataportabiliteit );het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.2.2Eenpatiëntofvoormaligpatiënt(debetrokkene)kanombovenstaandegegevensverzoeken.De betrokkenekanzulksdoenpermailnaarosteodeunk@gmail.com.Debetrokkenedientzichdaarbijtelegitimeren, opdatOsteopathieDeunkmetvoldoendezekerheidkanvaststellendatdegenediehetverzoekdoetdaadwerkelijk de betrokkene is.2.3OsteopathieDeunkzalbinnen1maandnaontvangstvanhetverzoekbetrokkeninformerenoverde uitvoeringvanhetverzoek.Bijcomplexe,ofeenveelvoudaanverzoekenkandezetermijnverlengdwordenmet maximaal2maanden.Debetrokkenezalineendergelijkgevalvanverlengdetermijnvanuitvoeringvanhet verzoek daaromtrent geïnformeerd worden. De informatie wordt in principe schriftelijk verstrekt.2.4InsommigegevallenmagOsteopathieDeunkweigerentotuitvoeringvanhetverzoekom gegevensverstrekkingovertegaan,danweldaarvoorkosteninrekeningbrengen.Hetmoetdangaanomde situatiedatdebetrokkenebuitensporigeofongegrondeverzoekendoet.(Bijvoorbeeldmeerdereverzoeken achterelkaaromdezelfdegegevens.Danwelwanneersprakeisvaneenvandebeschermende noodzakelijkheidscriteriawelkedeAVGkentzoalsbijvoorbeeldinhetkadervaneen(strafrechtelijk)onderzoek naardebetrokkene).IndienOsteopathieDeunkweigertaanhetverzoektevoldoen,zalOsteopathieDeunkzulks motiveren en de betrokkene wijzen op het klachtrecht bij de toezichthouder AVG.2.5OsteopathieDeunkrealiseertzichdatindienzijeenschriftelijkebeslissingneemtinhetkadervande uitoefeningvanderechtenvandebetrokkene,datditdangeldtalseenbesluitindezinvandeAlgemenewet bestuursrecht.2.6InsommigegevallendientOsteopathieDeunkdebetrokkenpatiëntuitzichzelfteinformeren.Ditishet geval indien:gegevens buiten de betrokkene om worden verkregengegevensvooreenanderdoelgebruiktgaanwordendanwaardegegevensoorspronkelijkvoorwarenafgegeven. Osteopathie Deunk zal in die gevallen binnen 1 maand betrokkene informeren.2.7IndiendebehandelingvandepatiënteindigtzalOsteopathieDeunkdepersoonsgegevensnogenigetijd inhaarsysteembewaren.DewetWgbobepaaltdatmedischedossiers15jaarmoetenwordenbewaard.Aandie bewaartermijnzalOsteopathieDeunkzichhouden.Dedossierszullenna15jaarvernietigdworden.Binnenhet dossier bevinden zich tevens gegevens van niet medische aard.2.8Teneindeerzekervantezijndatdebetrokkeneeenvolledigbeeldheeftvandewijzewaaropmetdiens persoonsgegevenswordtomgegaanenmetwelkdoelenonderwelkegrondslag(gerechtvaardigdbelang),zal iederebetrokkenbijregistratietoegangkrijgentotditprivacystatementendehierbijbehorendedocumenten. Osteopathie Deunk zal deze gegevens op de website plaatsen en iedere betrokkene op die vindplaats wijzen.3. Register van verwerkingsactiviteiten3.1OsteopathieDeunkverwerktpersoonsgegevensvanpatiënten.Tenaanzienvanaldezevormenvan verwerkingenvanpersoonsgegevenszalOsteopathieDeunkeenregistervanverwerkingsactiviteitenbijhouden. Daarin worden alle soorten persoonsgegevens die verwerkt zullen worden opgenoemd.3.2Inhetgevaldepatiënteenklachtindienttegendeosteopaat,zullendiegegevenseveneensworden verwerkt door Osteopathie Deunk.4. DPIA (Data protection impact assessment)4.1DPIAstaatvoorgegevensbeschermingseffectbeoordeling.EenDPIAisalleenverplichtwanneersprakeis vangegevensverwerkingwelkewaarschijnlijkeenhoogprivacyrisicooplevert.BinnendeAVGwordendrie situaties besproken wanneer sprake is van verhoogd risico.:systematisch en uitvoerig persoonlijke aspecten evaluerenop grote schaal bijzondere persoonsgegevens verwerkenop grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied4.2NaastdecriteriauitdeAVGzelfheeftdewerkgroepvanEuropeseprivacytoezichthouderseenlijstmet9 criteriaopgesteldomnadertebezienofeenDPIAnodigis.Decriteriadieoposteopatenvantoepassingzouden kunnen zijn:gevoelige gegevens verwerkinggrootschalige gegevens verwerkinggegevensverwerking over kwetsbare personen4.3Deprivacytoezichthouderszienverwerkingenvanbijzonderepersoonsgegevensdoorindividueleartsen nietalsgrootschalig.IndividueleartsenhoevendusgeenDPIAuittevoeren.Hetligtvoordehanddatde gegevensverwerkingdoordeindividueleosteopaataldusevenmindeuitvoeringvaneenDPIAbehoeft. Osteopathie Deunk zal zodoende geen DPIA uitvoeren.4.4EvenwelisOsteopathieDeunkzichervanbewustdatsprakeisvanbijzonderepersoonsgegevens.De inhoudvaneenmedischdossierisgevoeligvoordebetrokkeneenvergteengrotematevanvertrouwelijkheid. Osteopathie Deunk zal zich zodoende inzetten die gegevens vertrouwelijk te laten blijven.4.5DegegevenszoalsOsteopathieDeunkregistreertzijnslechtsbedoeldvoorinterngebruik.De persoonsgegevenswordengebruiktomtewaarborgendatdeosteopaatdepatiëntzogoedmogelijkvandienst kanzijn.Vandienstzijninhetverhelpenvandeklachtenenvandienstzijndoorhetmogelijkmakendatde ziektekostenverzekering de kosten zoveel mogelijk vergoedt.4.6OptermijnzaldeAutoriteitPersoonsgegevens(AP)eenlijstvanverwerkingenpublicerenwaareenDPIA voorverplichtis.Zodradielijsteris,zalOsteopathieDeunkhaarverwerkingvanpersoonsgegevensopnieuw tegen het licht houden om te bezien of nog nadere maatregelen nodig zijn.5. Privacy by design & privacy by default5.1Privacydoorontwerpendoorstandaardinstellingenvoorproducenten.OsteopathieDeunkisproducent vaneendienst,welkewordtondersteunddoordeverwerkingvanpersoonsgegevens.Zodoendehoudt OsteopathieDeunkbijdeontwikkelingenuitwerkingvandiedienstrekeningmethetrechtopbeschermingvan persoonsgegevens.MetinachtnemingvandestandvandetechniekzietOsteopathieDeunkeroptoedatde verwerkingsverantwoordelijkenendeverwerkersinstaatzijntevoldoenaanhunverplichtingeninzake gegevensbescherming.Osteopathie Deunk let daarbij op:het minimaliseren van de verwerking van persoonsgegevens;slechts het BSN nummer noteren, doch geen kopie maken van de het paspoort/ID kaart;transparantie met betrekking tot de functies en de verwerking van persoonsgegevens;het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking; enbeveiligingskenmerken creëren en verbeteren.6. Functionaris voor de gegevens bescherming6.1NetalsvoordeDPIAgeldtdatdeindividuelepraktijkvaneenosteopaatdoordeAPnietwordtgezienals eengrootschaligeverwerker.HetinstellenvaneenFGisondanksdathetgaatombijzonderepersoonsgegevens nietnoodzakelijk.DaarbijstiptOsteopathieDeunknogmaalsaandatindezesprakeisvanhetverwerkenvan persoonsgegevensopverzoekvandepatiënt,nudezeeenzogoedmogelijkebehandelingwenst.Osteopathie Deunkverwerktgeenpersoonsgegevensvoorcommerciëledoeleinden.Patiëntenwordennietgevolgddoor Osteopathie Deunk aan de hand van de persoonsgegevens.6.2OsteopathieDeunkbenadruktopnieuwzichterealiserenpersoonsgegevensteverwerkendieeenhoge matevanvertrouwelijkheidkennen.OsteopathieDeunkmeentechterallemaatregelentehebbengenomen,ten eindeeroptoeteziendatdepersoonsgegevensvanpatiëntennietvooranderedoeleindengebruiktwordendan bedoeld is.7. Meldplicht datalekken7.1EendatalekindezinvandeAVGiseeninbreukinverbandmetpersoonsgegevens.Hetiseeninbreukop debeveiligingdieleidttotdevernietiging,hetverlies,dewijziging,deongeoorloofdeverstrekkingofde ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.7.2Hetisvoordekwalificatieals‘inbreukinverbandmetpersoonsgegevens’nietrelevantdaterbozeopzet inhetspelis.Naasthet‘hacken’vanpersoonsgegevens,kanookgedachtwordenaangegevensdieopeen verlorenlaptopstaanofeenafgeslotenwebsitemetpersoonsgegevensdieperongelukopenstaat.Eeninbreukop debeveiliginghoudtindatzichdaadwerkelijkeenbeveiligingsincidentheeftvoorgedaan.Erisnietuitsluitend sprakevaneendreiging,ofvaneentekortkomingindebeveiliging(ookwelaangeduidalseenbeveiligingslek)die zoukunnenleidentoteenbeveiligingsincident.Erheeftzichdaadwerkelijkeenbeveiligingsincidentvoorgedaan, waarbij de getroffen preventieve maatregelen niet toereikend waren om dit te voorkomen.7.3OsteopathieDeunkzaliederdatalekaandeAPmelden,tenzijonwaarschijnlijkisdatdeinbreukeenrisico inhoudtvoorderechtenenvrijhedenvannatuurlijkepersonen.OsteopathieDeunkzalbinnen72uurna ontdekking de AP in kennis stellen, ook indien nog niet alle informatie voorhanden is.7.4BovendienzalOsteopathieDeunkhetdatalekonverwijldmeldenaandebetrokkenen,indiensprakeis vaneenhoogrisicodoordeinbreukopdepersoonsgegevens.Voordevraagofsprakeisvaneenhoogrisicozal Osteopathie Deunk eerst nader onderzoek daarnaar mogen doen.7.5HetdatalekzaldoorOsteopathieDeunkgedocumenteerdwordenineenoverzichtvandatalekkendie zichbinnenOsteopathieDeunkhebbenvoorgedaan.Nietalleenzullendefeitenomtrentdeinbreukende gevolgendaarvaninditoverzichtwordengedocumenteerd,docheveneensdegenomencorrigerende maatregelen.8. Verwerkersovereenkomsten8.1OsteopathieDeunkmaaktgebruikvanhetbedrijfCrossuiteBvbateAntwerpenvoorhetverwerkenvan depersoonsgegevensineenpatiëntenbeheerplatform.Ditbedrijfdientzodoendegezientewordenalseen verwerker.TeneindeervanverzekerdtezijndatCrossuiteBvbazichaandevereistenhoudtwelkenodigzijnomte voldoen aan de AVG heeft Osteopathie Deunk een verwerkersovereenkomst afgesloten met Crossuite Bvba8.2 Binnen de verwerkersovereenkomst met Crossuite Bvba zijn in ieder geval de volgende zaken geregeld:het onderwerp en de duur van de verwerking;de aard en het doel van de verwerking;het soort persoonsgegevens en de categorieën van betrokkenen;de rechten en verplichtingen van de verwerkingsverantwoordelijke.depersoonsgegevensalleenverwerktwordenonderschriftelijkeinstructievanOsteopathieDeunk,onderandere voorwatbetreftdedoorgiftevanpersoonsgegevensaaneenderdelandofeeninternationaleorganisatie(tenzij deze daartoe wettelijk is verplicht);waarborgvandeverwerkerdatdetoegangtotdiegegevensisbeperkttotgemachtigdepersonen.Dezepersonen moeten gebonden zijn aan geheimhouding op grond van een overeenkomst of een wettelijke verplichting;deverwerkerminimaalhetzelfdeniveauvanbeveiligingvandepersoonsgegevenshanteertalsOsteopathieDeunk doet;deverwerkerzalOsteopathieDeunkallemogelijkeondersteuningbiedenbijhetnakomenvanhaarverplichtingen met het oog op beantwoording van verzoeken rondom de rechten van betrokkenen;verwerkerOsteopathieDeunkzalbijstaanbijhetnakomenvanhaarverplichtingenophetgebiedvanbeveiliging van persoonsgegevens en de meldplicht datalekken;nabeëindigingvandeovereenkomsttussenOsteopathieDeunkenverwerker,deinuwopdrachtverwerkte persoonsgegevens wist of aan Osteopathie Deunk teruggeeft, en bestaande kopieën verwijdert;OsteopathieDeunkalleinformatieterbeschikkingsteltdienodigisomaantoonbaartemakendatde verplichtingenopgrondvandeVerordeningrondomhetinzettenvaneenverwerkerwordennageleefdendie nodig is om audits mogelijk te maken;verwerker maakt inzichtelijk welke afspraken deze met betrekking tot sub-verwerkers maakt;verwerkervermeldtdegoedgekeurdegedragscodesencertificeringsmechanismenwaarverwerkerbijdiens werkzaamheden gebruik van maakt;verwerker garandeert Osteopathie Deunk aan alle verplichtingen te voldoen zoals de AVG van verwerker verlangt.8.3OsteopathieDeunkmaaktgeengebruikvanandereverwerkersdanCrossuite.WelmaaktOsteopathie Deunkgebruikvaneenaccountant.Dezeverwerktgeengegevensvanpatiënten,maarheeftwelinzagein sommigepersoonsgegevens.Vooraldegegevensrondombetalingenzaldeaccountantinkunnenzien.Zodoende heeftdeaccountanteengeheimhoudingsverklaringondertekend.Indieverklaringwordtnietalleenweergegeven datdeaccountantzelfgeheimhoudingzalbetrachtenoverallepersoonsgegevensdiedezetezienkrijgtvan patiëntenvanOsteopathieDeunk,ookdemedewerkersenderdenwaardeaccountantgebruikvanmaakthebben diezelfdegeheimhoudingsplicht.Bovendienisindeverklaringopgenomendatdeaccountantgeen persoonsgegevens van patiënten zal verwerken.9. Leidende Toezichthouder9.1OsteopathieDeunkdienttebepalenonderwelketoezichthouderzijvalt.OsteopathieDeunkheeftdrie vestigingenteEibergen,HaaksbergenenVorden.DitisopNederlandsebodem.Dewerkzaamhedenvan OsteopathieDeunkrustenopNederlandsgrondgebied.DeLeidendetoezichthoudervoorOsteopathieDeunkis dus de Autoriteit Persoonsgegevens te Nederland.10. Toestemming10.1Voordeverwerkingvanbepaaldegegevensistoestemmingnodigvandebetrokkene.Datishetgeval indienhetgaatombijzonderecategorieënvanpersoonsgegevensenpersoonsgegevensvanstrafrechtelijkeaard. Ookhetnationaalidentificatienummer(BSN)iseenzaakwaarbijexplicietetoestemmingvandebetrokkenenodig is,indiendatnummerwordtverwerkt.OsteopathieDeunkverwerkthetBSNnummervanhaarpatiëntennu osteopatenverplichtzijnditnummertegebruikenincorrespondentiemetanderezorgverleners.Hetverwerken vangegevensoverdegezondheidbetrefteveneenseenbijzonderecategoriegegevenswaarvanvoorde verwerkingtoestemmingnodigisvandepatiënt.Hetheeftechterdesterkevoorkeurhetverwerkenvanalle persoonsgegevensopvoorhandmetpatiëntentebesprekenenbijdieverwerkingexpliciettevermeldenofde patiënt toestemming heeft gegeven voor die verwerking.10.2OsteopathieDeunkzalopdevolgendewijzeinvullinggevenaandezebenodigdetoestemming.Naast hetopstellenvaneenbehandelplanzalbijdeintakevaneenpatiënteenoverzichtwordengegevenvande afspraken.Dezezullenmetdepatiëntwordendoorgenomenenvervolgensaandepatiëntterhandworden gestelddanwelaandepatiëntwordenverzondenpermail,waarbijaangetekendwordtdathethiereen bevestigingvandegemaakteafsprakenbetreft.Erzalomeenontvangstbevestigingwordenverzochtbijde patiënt.Opdeze‘opdrachtbevestiging’zullendebelangrijkstegegevenswordenbenoemdoverwatdepatiëntkan verwachten van de osteopaat. Het gaat om het volgende:datpatiëntisgewezenophetfeitdatpersoonsgegevensverwerktzullenwordenenomwelkepersoonsgegevens het gaat;dat patiënt voor die verwerking expliciet toestemming heeft verleend;datpatiëntrechtenheefttenaanzienvanhetverwerkenvanpersoonsgegevensendatpatiëntdezeendeverdere werkwijzevanOsteopathieDeunkmetbetrekkingtotdiepersoonsgegevenskannalezeninhetonderhavige reglement zoals op de website van Osteopathie Deunk staat vermeld;dat patiënt gewezen wordt op de bewaartermijn(en) van de persoonsgegevens;dat patiënt de mogelijkheid heeft een klacht tegen Osteopathie Deunk in te dienen bij het NRO;wat het consulttarief is van Osteopathie Deunk;11. Slotwoord11.1OsteopathieDeunkgaatervanuitmetditprivacybeleidaanallevereistenvandenieuweAVGregelste voldoen.OsteopathieDeunkiszichervanbewustdatsprakeisvannieuweregelgevingendatzulksinhoudtdat nognietallefacettenzichevenmakkelijklatenuiteenzetten.OsteopathieDeunkzaldeaanpassingen,beslissingen enverdernieuwsvanuitdeAPvolgen,opdattijdigemaatregelengenomenkunnenwordendezebeleidsregels alsnog verder aan te scherpen, of bij te snijden.Klik hier voor onze verwerkersovereenkomst met Crossuite