Privacy Statement

PRIVACYBELEID

Verwerkingsregister

De Praktijk voor Parodontologie Zoetermeer houdt een verwerkingsregister bij. Dit register bevat onder meer een beschrijving van de (categorieën) persoonsgegevens die binnen de Praktijk worden verwerkt, de doelen waarvoor ze worden verwerkt, de derden aan wie de gegevens worden verstrekt, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen die zijn genomen om de gegevens te beschermen.

  • In het verwerkingsregister dient voor elke verwerking opgenomen te worden welke persoonsgegevens worden verzameld en voor welk doel ze worden gebruikt. Voorbeelden van gegevensverwerkingen zijn:
  • Het vastleggen en bijhouden van persoonsgegevens van een patiënt in het kader van de behandeling van de patiënt;
  • Het gebruiken van persoonsgegevens ten behoeve van facturatie;
  • Het verstrekken van (medische) gegevens aan een derde, bijvoorbeeld ten behoeve van een doorverwijzing;
  • Het vastleggen van persoonsgegevens voor het aanleggen en bijhouden van een medisch dossier; of
  • Het registreren van persoonsgegevens in een systeem om een nieuwe patiënt in te schrijven.

Binnen de Praktijk hebben de assistenten en de zorgverleners (parodontoloog en de mondhygienist) toegang tot het register, zij hebben alleen de mogelijkheid het register te raadplegen.
Het register wordt door de Praktijk continu en actief bijgehouden. Wijzigingen in de verwerking van persoonsgegevens worden direct in het register doorgevoerd. Tijdens de kwartaalevaluatie zal ook worden beoordeeld of het register nog altijd accuraat is of dat aanpassingen in het register vereist zijn.

Type persoonsgegevens en doeleinden

Binnen de Praktijk worden persoonsgegevens van twee categorieën personen verwerkt: i) de patiënten en ii) de medewerkers.

Patiënten

Indien een patiënt zich aanmeldt aan de balie binnen de Praktijk, worden allereerst de persoonsgegevens vereist voor inschrijving verstrekt. In aanvulling hierop wordt een gezondheidsformulier verstrekt dat door de patiënt moet worden ingevuld. Op dit formulier worden vragen gesteld omtrent de gezondheid van de patiënt die van belang kunnen zijn voor de behandeling.

Indien een patiënt zich telefonisch of via de website van de Praktijk aanmeldt, wordt de patiënt verzocht de gegevens te verstrekken die vereist zijn voor registratie. Het gezondheidsformulier wordt niet via de website verstrekt en telefonisch worden de vragen op het gezondheidsformulier niet uitgevraagd.

Indien de patiënt afkomstig is van een andere praktijk, kunnen persoonsgegevens van die andere praktijk worden verkregen. De patiënt kan de gegevens zelf meenemen, maar deze kunnen ook per reguliere post of per e-mail [via het beveiligde zorgmail] aan de Praktijk worden toegezonden.

Alle gegevens die de Praktijk verkrijgt in het kader van het inschrijven van een patiënt, worden (gescand) opgeslagen in Simplex.

Naast de gegevens voor inschrijving bij de Praktijk, verwerkt de Praktijk gegevens die verband houden met de behandeling van de patiënt. Het gaat daarbij onder meer om afspraken, gegevens omtrent de uitgevoerde handelingen, gemaakte foto’s, kronen en verwijzingen naar andere zorgverleners. Al deze gegevens worden tevens in het Systeem opgeslagen.

In het Systeem worden ook de facturen voor de patiënten aangemaakt. De Praktijk verzendt de facturen vervolgens naar een factoringmaatschappij of incassobureau die het innen van de facturen bij de patiënt of de verzekeraar verzorgt.
Alle gegevens die over de patiënt worden verzameld, worden gebruikt met als doel de hulp- en zorgverlening voor de patiënt.

Bij intercollegiale toetsing binnen een praktijk of instelling kunnen gegevens worden gebruikt en verstrekt. De patiënt wordt daar van tevoren van op de hoogte gebracht.

 

Derde partijen

De Praktijk maakt voor het verwerken van persoonsgegevens gebruik van derde partijen. Het gaat daarbij onder meer om partijen die louter ten behoeve van de Praktijk gegevens verwerken (Famed).
Met deze Verwerkers heeft de Praktijk een verwerkersovereenkomst afgesloten waarin onder meer de mate van beveiliging van de persoonsgegevens die de Verwerker voor de Praktijk verwerkt wordt beschreven. Ook bevat de verwerkersovereenkomst bepalingen omtrent het uitvoeren van een audit bij de Verwerker en de procedure die moet worden gevolgd als van een incident omtrent persoonsgegevens sprake is.

Persoonsgegevens van patiënten of medewerkers worden aan andere verwerkingsverantwoordelijken doorgegeven wanneer dat wettelijke vereist is, noodzakelijk is in het kader van hulp- en zorgverlening van de patiënt (verwijzingen) en voor intercollegiaal overleg. Buiten deze situatie worden persoonsgegevens niet aan andere verwerkingsverantwoordelijken verstrekt zonder voorafgaande uitdrukkelijke toestemming van de patiënt of medewerker. Dat is alleen anders indien er een wettelijke verplichting tot verstrekking bestaat of indien de gegevens in het verlengde van de zorg- en hulpverlening gedeeld moeten worden, bijvoorbeeld in het kader van intercollegiaal overleg. Daarbij geldt dat alleen de strikt noodzakelijk geachte gegevens worden verstrekt.

Beveiliging

De Praktijk hecht veel waarde aan de beveiliging van zowel de patiëntgegevens als de gegevens van haar medewerkers. De Praktijk heeft daarom passende technische en organisatorische maatregelen genomen om deze persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking.

Voor zover de Praktijk gebruikmaakt van Verwerkers zijn met deze Verwerkers afspraken gemaakt over de te nemen technische en organisatorische maatregelen. Hierbij wordt een risicoanalyse gemaakt. Op grond van de risico’s die de persoonsgegevens en de aard van de verwerking met zich meebrengen, wordt het gewenste beveiligingsniveau bepaald.

De Praktijk hanteert in aanvulling op het bovenstaande ook interne beveiligingsmaatregelen. Het gaat daarbij onder meer om de volgende maatregelen:

  • Persoonsgegevens worden op een beveiligde wijze uitgewisseld .
  • Persoonsgegevens worden niet op USB sticks of andere mobiele dragers gekopieerd tenzij de persoonsgegevens versleuteld worden
  • Wachtwoorden zijn voldoende sterk en worden periodiek vervangen
  • Toegang tot het Systeem op afstand is alleen mogelijk via een beveiligde VPN verbinding op basis van twee-staps authenticatie
  • Binnen de Praktijk zijn processen ingericht die aangeven wat er moet gebeuren indien een incident inzake persoonsgegevens zich voordoet of indien patiënten of medewerkers een beroep op hun rechten doen
  • Het is medewerkers niet toegestaan, zonder toestemming van de Praktijk, software te downloaden en/of om firewalls of virusscanner aan te passen of te verwijderen
  • Toegang tot het pand is alleen mogelijk met aan medewerkers verstrekte passen/druppels
  • Uitgangspunt binnen de Praktijk is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld. Zo vraagt de Praktijk niet meer informatie uit bij de patiënt dan noodzakelijk is voor zorg- en hulpverlening.

Bewaartermijnen

De Praktijk hanteert een beleid voor het bewaren van persoonsgegevens. Persoonsgegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden, worden door de Praktijk verwijderd. De persoonsgegevens dienen in dat geval ook uit eventuele back-ups, archieven en andere systemen te worden verwijderd.

Patiëntgegevens

Patiëntgegevens worden op grond van de bewaarplicht van medische behandelgegevens bewaard gedurende een periode van vijftien (15) jaar.