INLEIDING
Deze handleiding beschrijft op hoofdlijnen de consequenties voor zorginstelling Rimiko Zorggroep van de nieuwe privacywet de Wet Bescherming Persoonsgegevens (WBP). De WBP, die per 1 september 2001 is ingevoerd, vervangt de Wet Persoonsregistraties (WPR). De WBP koppelt privacyeisen aan de persoon of personen die verantwoordelijk is c.q. zijn voor de gegevensverwerking. De WBP betitelt hen als ‘verantwoordelijke’. Zorginstelling Rimiko Zorggroep is de ‘(eind)verantwoordelijke’. Medewerkers van zorginstelling Rimiko Zorggroep kunnen worden beschouwd als medeverantwoordelijken.
Daarnaast wordt rekening gehouden met de aanpassing van de WBP vanaf 1 januari 2016 in het kader van de meldplicht bij datalekken. Zie hiervoor onderdeel 7.
2. ENKELE CENTRALE BEGRIPPEN UIT DE WBP
De WBP is van toepassing als er sprake is van het ‘verwerken van persoonsgegevens’. Persoonsgegevens zijn gegevens die informatie bevatten over een persoon die identificeerbaar is. In het algemeen vallen ‘cliëntgegevens’ onder deze definitie, althans als ze zijn te herleiden tot de betreffende cliënt. Geanonimiseerde gegevens, waarmee wordt bedoeld dat met deze gegevens een persoon niet kan worden geïdentificeerd, zijn geen persoonsgegevens. Niet alleen (gecombineerde) gegevens als naam, adres, woonplaats en geboortedatum maar ook foto’s, geluidsbanden, chipcard, vingerafdrukken en DNA- profielen zijn persoonsgegevens. Gemakshalve spreken we verder over ‘cliëntgegevens’.
Het ‘verwerken’ van cliëntgegevens behelst alle handelingen met cliëntgegevens vanaf het moment dat deze worden verzameld totdat ze worden vernietigd. Dus: ordenen, bijwerken, raadplegen, gebruiken, verstrekken, koppelen etc. Als je een of meer van deze handelingen verricht, ‘verwerk’ je cliëntgegevens. Het verwerken van cliëntgegevens is – voor een beperkt aantal doelen – toegestaan aan onder meer hulpverleners, verzekeraars, instellingen voor maatschappelijke dienstverlening en speciale scholen. In de zorgpraktijk is de WBP van toepassing op vrijwel alle gegevensverzamelingen die zijn te herleiden tot cliënten. Dat geldt zowel voor elektronische als voor handmatige verwerkingen. Uitgezonderd zijn handmatige verwerkingen die niet in een systematisch toegankelijk dossier of systeem worden opgeslagen. Dat is doorgaans echter niet het geval omdat goede toegankelijkheid een van de vereisten is die aan cliëntdossiers wordt gesteld.
3. INFORMATIEPLICHT EN DOELEN VAN GEGEVENSVERWERKING
In de WBP is de informatieplicht van de ‘verantwoordelijke’ belangrijker (of dwingender) geworden. De persoon van wie gegevens worden verwerkt (‘de betrokkene’) moet worden ingelicht over: wie de ‘verantwoordelijke’ is, over het doel of de doelen van de gegevensverwerking, de wijze waarop de verwerking plaatsvindt en eventuele medegebruikers of ontvangers van de gegevens.
De ‘verantwoordelijke’ , in dit geval de hulpverlener met wie de cliënt contact heeft, is aanspreekpunt voor de cliënt bij vragen over de gegevens -verwerking. Ook moet de cliënt worden gewezen op de rechten waarop hij zich kan beroepen. Zorginstelling Rimiko Zorggroep informeert de cliënt door middel van een eenvoudige brief. Deze is opgenomen in een introductie mapje dat de cliënt overhandigd krijgt bij zijn eerste contact met de instelling. Daarin staat ook aan gegeven dat cliënten bij klachten over de naleving van het privacy -reglement zich moeten wenden tot de “eindverantwoordelijke”.
Informatie over de gegevensverwerking van wilsonbekwame cliënten (bijvoorbeeld jongeren onder de zestien) moet worden verstrekt aan de (wettelijk) vertegenwoordiger, zoals de ouders, voogd, curator, mentor. Heeft de cliënt toen hij nog wel wils bekwaam was, een ander schriftelijk gemachtigd namens hem op te treden, dan moet de informatie aan die persoon worden gegeven. Als de wettelijk vertegenwoordigers of de gemachtigden ontbreken of niet wensen namens de cliënt op te treden, dan wordt de cliënt vertegenwoordigd door de echtgenoot of partner, dan wel een van zijn kinderen, broers of zussen.
Wat de doelen van gegevensverwerking betreft, de ‘verantwoordelijke’ moet aangeven voor welk(e) doel(en) persoonsgegevens worden verzameld, nagaan of die doelen ‘gerechtvaardigd’ zijn en of niet meer gegevens worden verwerkt dan voor het doel noodzakelijk is. Worden er gegevens voor andere doelen verwerkt, dan moet zijn voldaan aan extra voorwaarden, zoals uitdrukkelijke toestemming van de betrokkene. Voorts moet de verantwoordelijke ervoor zorgen, dat de gegevens juist en zo objectief mogelijk zijn. Dat geldt ook voor gegevens die aan anderen worden verstrekt. Van derden ontvangen gegevens moeten rechtmatig zijn verkregen, dat wil zeggen met kennis en (veronderstelde) toestemming van de cliënt. Een hulpverlener moet er dus op toezien dat alle cliëntgegevens die hij ‘verwerkt’, aan deze eisen voldoen. Immers, deze eisen sluiten grotendeels aan bij de plicht van een hulpverlener om een zorgvuldig dossier bij te houden. Wordt aan alle eisen voldaan, dan is de gegevensverwerking ‘rechtmatig’.
Het – ook aan de cliënt mee te delen – doel van verwerking van cliëntgegevens zal veelal zijn het bieden van goede zorg en hulpverlening. Het aanleggen en bijhouden van een dossier door de hulpverlener is noodzakelijk om de cliënt goede hulp en zorg te kunnen bieden. Dit noemt men de ‘dossierplicht’. Ook de vervanger, de waarnemer en andere personen die rechtstreeks bij de behandeling van de cliënt zijn betrokken, zoals een medebehandelaar, hebben een dossierplicht. In het dossier mogen ook ‘bijzondere’ persoonsgegevens, zoals de WBP ze noemt, worden opgenomen, mits deze relevant zijn voor een goede hulpverlening. Voorbeelden daarvan zijn gegevens over iemands ras, levensovertuiging of seksuele leven.
Het verwerken van iemands cliëntgegevens met het oog op een goede behandeling, verzorging of begeleiding is dus rechtmatig. Ook het verwerken van (uitsluitend de noodzakelijke) gegevens voor de financiële afhandeling van de behandeling vormt een onderdeel van dit (primaire) doel. Deze gegevens moeten aan de zorgverzekeraar worden verstrekt.
Voor het verwerken van cliëntgegevens ten behoeve van een derde of een doel anders dan goede zorg en hulpverlening dient apart toestemming door de cliënt te worden gegeven. Voorbeelden zijn de advocaat die namens moeder een echtscheidingsprocedure start en verzoekt om informatie waaruit blijkt dat vader een slechte opvoeder is of de politie die belt om informatie in verband met de opsporing van een strafbaar feit en de strafvervolging van de dader.
4. RECHTEN VAN DE CLIËNT
De wet biedt de betrokkene (de persoon op wie een gegeven betrekking heeft) een aantal rechten.
(Namens de cliënt kan ook diens wettelijk vertegenwoordiger, bijvoorbeeld de ouders, voogd, mentor of curator, of de door de cliënt gemachtigde, een beroep doen op de cliëntenrechten, tenzij nakoming tegenover deze personen strijdig is met de zorg van een goed hulpverlener).
Toestemming voor verwerking van cliëntgegevens
Hoofdregel is dat gegevens alleen aan ‘anderen’ mogen worden verstrekt als de cliënt daarvoor uitdrukkelijk toestemming heeft gegeven. Met ‘anderen’ worden niet bedoeld de hulpverleners die rechtstreeks bij de behandeling of begeleiding van de cliënt zijn betrokken, zoals een medebehandelaar, een hulpverleners -assistent, vervanger of waarnemer. Met ‘anderen’ worden evenmin bedoeld de (wettelijk) vertegenwoordiger van de cliënt, zoals ouders, voogd, curator, mentor, kind, broer of zus, of de door de cliënt (schriftelijk) gemachtigde. Voor informatieverstrekking aan deze personen hoeft de hulpverlener dus niet eerst toestemming aan de cliënt te vragen. Wél voor verstrekking aan personen die hierboven niet zijn aangegeven. In een situatie dat zich een ‘conflict van plichten’ voordoet, kunnen relevante cliëntgegevens door een hulpverlener worden verstrekt zonder dat daarvoor toestemming aan de cliënt is gevraagd. Voorbeelden zijn gevallen of ernstige vermoedens van kindermishandeling of incest.
De wet biedt de mogelijkheid om cliëntgegevens voor wetenschappelijk onderzoek, statistiek en onderwijs te verwerken. Hoofdregel is dat toestemming (liefst schriftelijk) van de cliënt nodig is. Een uitzondering daarop is echter mogelijk als aan een aantal voorwaarden is voldaan.
De hoofdregel bij het verstrekken van informatie uit het dossier van een overledene is dat de privacy van een cliënt ook na diens dood wordt gerespecteerd en dat anderen dus geen inzage in zijn gegevens krijgen. Strikte navolging van deze hoofdregel zou ertoe leiden, dat geen enkele informatie over een overledene aan wie dan ook mag worden verstrekt. Er zijn echter uitzonderingen.
– Er is een wettelijke die bepaling die verplicht om inzage te geven, bijvoorbeeld
(ingevolge de BOPZ) aan de Inspecteur voor de Gezondheidszorg.
– In geval van ‘veronderstelde toestemming’ van de overleden cliënt: als de hulpverlener tot de overtuiging komt, na ‘reconstructie van de wil van de overledene’, dat in een concreet geval de overledene toestemming tot inzage zou hebben gegeven. Zo kunnen kinderen bijvoorbeeld inzage in het dossier van een overleden ouder krijgen vanwege een erfelijke ziekte of met het oog op een klacht, tenzij voor de hulpverlener duidelijk is dat de ouder dat niet zou hebben gewild.
– Als er sprake is van een ‘conflict van plichten’ kan de hulpverlener tot gegevensverstrekking overgaan. Het moet daarbij altijd gaan om zeer zwaarwegende belangen van derden. Bijvoorbeeld wanneer zwijgen ernstige schade
aan een derde oplevert. Het verdient aanbeveling dat de hulpverlener in zijn dossier aantekening maakt van zijn belangenafweging en zijn motieven daarbij.
Voor het verstrekken van cliëntgegevens aan landen binnen de Europese Unie stelt de WBP geen specifieke eisen. Dat komt doordat alle Lidstaten in 1995 de Europese Privacy Richtlijn hebben ondertekend, die de Lidstaten ertoe verplicht een aantal basisnormen over te nemen in hun privacywetten.
Recht op inzage en afschrift
De cliënt heeft recht op inzage en afschrift van zijn gegevens. De wet maakt hierop één uitzondering: inzage of afschrift mag niet worden gegeven als daardoor de privacy van een ander wordt geschonden. Het kan bijvoorbeeld gaan om gegevens die door een partner of familielid zijn verstrekt in het vertrouwen dat de cliënt daarvan niet op de hoogte wordt gebracht. De gegevens kunnen betrekking hebben op henzelf of op de cliënt. De hulpverlener zal die informatie uiteraard alleen vastleggen als dit voor de behandeling van de cliënt relevant is. Om een beroep te doen op de uitzondering moet de hulpverlener aantonen dat het privacybelang van de ander wordt geschaad door inzage te geven én dat dit belang zwaarder weegt dan het belang van de cliënt. De hulpverlener moet dus een belangen -afweging maken. Daarom is ook van belang dat de diverse gegevens in het dossier goed en eenvoudig zijn te scheiden. Het gebruik onder hulpverleners om per gezinslid een afzonderlijk cliënt(deel)dossier te gebruiken, voorziet daarin.
Aan een verzoek tot inzage of afschrift moet de hulpverlener of de ‘eindverantwoordelijke’ zo spoedig mogelijk, maar in elk geval binnen vier weken voldoen. Als zorginstelling Rimiko Zorggroep het inzage- of afschriftverzoek afhandelt, is het van belang dat het verzoek wordt afgestemd met de betrokken hulpverlener en dat conform een daartoe binnen de instelling opgestelde procedure wordt gehandeld. De betrokken hulpverlener moet beoordelen of alle gegevens kunnen worden ingezien of opgevraagd. De cliënt heeft in beginsel geen recht op afgifte van de originele cliëntgegevens. De originelen komen alleen toe aan degene die ze heeft opgesteld of degene die ze bewaart en beheert. Het is wel gebruikelijk dat bij overdracht naar een andere hulpverlener de originele gegevens aan de cliënt worden meegegeven voor de opvolger. Voor het maken van afschriften (niet voor het geven van inzage) mag zorginstelling Rimiko Zorggroep een redelijke vergoeding aan de cliënt vragen.
Daarnaast hebben personen – uit hoofde van hun functie bij Rimiko Zorggroep en/ of krachtens overeenkomst tot geheimhouding – inzage in persoonsgegevens.
Bij aanname van personeel maakt dit onderdeel uit van de arbeids- of dienstverleningsovereenkomst.
Recht op aanvulling, correctie en afscherming
De cliënt heeft het recht om het dossier aan te vullen. Hiermee kan de cliënt bereiken dat – naar zijn mening – een vollediger of juister beeld van zijn persoon of zijn gezondheidstoestand kan worden geschetst. Het gaat dan om afwijkende of aanvullende zienswijzen van de cliënt zelf c.q. zijn vertegenwoordiger óf – op verzoek van de cliënt – van een andere hulpverlener bijvoorbeeld in het kader van een second opinion. Ook als de hulpverlener het met de inhoud van de verklaring niet eens is, moet hij de verklaring in het dossier opnemen. De cliënt mag de hulpverlener ook verzoeken om feitelijke onjuistheden in de gegevens te corrigeren, bijvoorbeeld verkeerde adresgegevens. De cliënt mag de hulpverlener ook verzoeken zijn gegevens voor anderen af te schermen als hij van mening is dat deze feitelijk onjuist zijn of niet ter zake doen. Dat zal hij alleen vragen als hij het bewaren van deze gegevens van belang vindt, anders zal hij wel om correctie of vernietiging vragen. Binnen vier weken moet de hulpverlener of instelling laten weten of, en zo ja, in hoeverre aan deze verzoeken kan worden voldaan.
Recht op verwijdering en vernietiging
De cliënt heeft het recht om informatie die niet relevant is voor de behandeling, te laten verwijderen. Bijvoorbeeld gegevens over geloofsovertuiging of ras. Ook kan de cliënt verzoeken (een deel van) zijn dossier te laten vernietigen. De verantwoordelijke moet binnen vier weken op een vernietigingsverzoek reageren en het binnen drie maanden uitvoeren.
Een eventuele weigering moet goed worden gemotiveerd. Op het recht op verwijderen of vernietigen van gegevens bestaan twee uitzonderingen:
- Een voorschrift of een andere wet bepaalt dat de gegevens moet worden bewaard.
b. Vanwege een ‘aanmerkelijke belang’ van een ander dan de cliënt, moeten (bepaalde) gegevens worden bewaard.
ad a.
Een voorbeeld van de eerste uitzondering is de bepaling in het Besluit cliëntendossier Bijzondere Opneming in Psychiatrische Ziekenhuizen (BOPZ) dat een verzoek tot vernietiging van gegevens door de (gedwongen opgenomen) cliënt pas vijf jaar ná beëindiging van de BOPZ -behandeling kan worden ingediend. Gegevens die relevante informatie bevatten voor gerechtelijke procedures, moeten worden bewaard totdat de
procedure definitief is afgerond. Voor overige cliëntgegevens moet de bewaartermijn van minimaal tien jaar worden aangehouden.
ad b.
De tweede uitzondering op het recht van een cliënt om gegevens uit zijn dossier te verwijderen, heeft betrekking op een ‘aanmerkelijk’ belang van een ander dan de cliënt. De hulpverlener moet dit (liefst schriftelijk) aannemelijk maken. Het kan bijvoorbeeld gaan om een situatie waarin de cliënt een procedure tegen de hulpverlener wil aanspannen of dit inmiddels heeft gedaan. De hulpverlener heeft er dan een ‘aanmerkelijk’ belang bij dat hij de gegevens voor zijn verweer kan gebruiken. Dat er slechts een ‘puur theoretische’ kans bestaat dat zo’n procedure in de toekomst nog eens zal worden gestart, is onvoldoende grond om een vernietigingsverzoek van de cliënt af te wijzen. Een andere situatie waarop deze tweede uitzondering betrekking kan hebben, is dat een familielid van de cliënt met het oog op een erfelijke ziekte binnen de familie, goede redenen heeft om aan te dringen op bewaring van de gegevens. De hulpverlener moet beoordelen of er sprake is van ‘een aanmerkelijk belang van een ander’.
5. WAT LEGT RIMIKO ZORGGROEP PRECIES VAST?
- achternaam
- voornamen
- geboortedatum
- burgerservicenummer (BSN)
- polisnummer verzekering
- huisartsgegevens
- gezondheidsgegevens
- financiële gegevens
In het voorgaande heeft Rimiko Zorggroep het wettelijk kader beschreven waar het zich in het kader van de WBP aan houdt.
Binnen dit kader legt Rimiko Zorggroep – voorzover noodzakelijk of voorgeschreven – de volgende gegevens vast van haar cliënten:
Daarnaast kunnen bijzondere persoonsgegevens vastgelegd worden (gezondheid, seksueel leven, strafrechtelijke gegevens).
Daarvoor hanteert Rimiko Zorggroep – ter bescherming van de cliënt – strenge randvoorwaarden vanuit onderstaand kader:
- De verwerking van bijzondere persoonsgegevens geschiedt door Rimiko Zorggroep enkel voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, noodzakelijk is.
- De verwerking geschiedt door Rimiko Zorggroep op het verzoek van de verzekeraar enkel voor zover dat noodzakelijk is voor de behandeling van het door de verzekeringsinstelling te verzekeren risico, dan wel voor zover dat noodzakelijk is voor de uitvoering van een verzekeringsovereenkomst.
6. GEHEIMHOUDINGSPLICHT
Rimiko Zorggroep is verplicht tot geheimhouding van de persoonsgegevens van de betrokkenen en de gegevens worden niet verstrekt aan derden, tenzij:
- de cliënt hiervoor uitdrukkelijke toestemming heeft gegeven en het beroepsgeheim de verstrekking niet in de weg staat
- het gaat om andere beroepskrachten die de gegevens nodig hebben in het belang van de uitvoering van de zorg- of dienstverlening
- er sprake is van ernstig nadeel voor de cliënt wanneer de persoonsgegevens niet worden verstrekt
- er sprake is van een wettelijke verplichting, waaronder de verstrekking aan de zorgverzekeraar in het kader van materiële controles
- het gaat om de verbetering van de kwaliteit van de zorg- of dienstverlening
7. MELDPLICHT DATALEKKEN
Op 1 januari 2016 is binnen het kader van de WBP de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). De meldplicht geldt alleen als de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (of een aanzienlijke kans daarop).
Rimiko Zorggroep houdt zich aan de voorschriften en meldt voorkomende datalekken uiterlijk binnen 72 uur aan de Autoriteit Persoonsgegevens.