Inhoud

Inleiding. 1

Stap 1. Benoemen persoonsgegevens. 3

Stap 2. de doeleinden vastleggen van de persoonsgegevens die worden verwerkt 5

Stap 3: Leg vast hoe de cliënt/patiënt geïnformeerd wordt 6

Stap 4: Leg vast wie er daadwerkelijk werken met de cliëntdossiers?. 6

Stap 5: vastleggen hoe u de beveiliging van de persoonsgegevens (cliëntendossiers) heeft geregeld. 7

Stap 6: Leg vast welke externe personen of bedrijven toegang hebben tot de persoonsgegevens en daarmee tot de groep verwerkers behoren waarmee u een verwerkersovereenkomst moet afsluiten. 7

Stap 7: Leg vast hoe u omgaat met datalekken. 8

 

 

 

 

Stap 1. Benoemen persoonsgegevens

 

 

X	Naam, adres, postcode, woonplaats van de cliënt(en)
X	Geboortedatum van de cliënt(en)
X	Telefoonnummer en e-mail van de cliënt(en)

 

 

Bij minderjarige cliënten:

 

X	Ook naam, adres, postcode, woonplaats, telefoonnummer en e-mailadres van beide ouders

 

Opmerking over het vastleggen van bijzondere persoonsgegevens¹⁾:

Het verwerken van bijzondere persoonsgegevens is in principe verboden, tenzij u zich op een wettelijke uitzondering kunt beroepen. Indien de gegevens worden verwerkt in het kader van reguliere gezondheidszorg of sociale diensten is verwerking toegestaan, maar alleen als dat gebeurt door een beroepsbeoefenaar met een beroepsgeheim of andere persoon die aan geheimhouding is gebonden.

 

¹) bijzondere persoonsgegevens zijn gegevens over iemands:

·         godsdienst of levensovertuiging;

·         ras;

·         politieke voorkeur;

·         gezondheid;

·         seksuele leven;

·         lidmaatschap van een vakbond;

·         strafrechtelijk verleden.

Ook het burgerservicenummer (BSN) is een bijzonder persoonsgegeven, omdat het een uniek en tot de persoon herleidbaar nummer is.
Zie ook: https://www.autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens

 

Indien dit in belang is van de begeleiding/ behandeling, leg ik de volgende bijzondere persoonsgegevens vast:

 

	Godsdienst of levensovertuiging;
X	Gezondheid;
	Zaken m.b.t. de seksualiteit;

 

Indien dit in belang is van de begeleiding/ behandeling, leg ik de volgende verdere gegevens vast:

 

X	Huisarts;
X	School van de minderjarige cliënt

Het Burger Service Nummer (BSN)

 

Opmerking over het vastleggen van het Burgerservicenummer (BSN):

Organisaties buiten de overheid mogen een Burgerservicenummer alleen gebruiken als dit in een wet is bepaald. En alleen voor het doel dat in de wet staat omschreven.

Zorgverleners mogen het bijvoorbeeld gebruiken als zij werken in het kader van de Zorgverzekeringswet en de Wet langdurige zorg.

 

U mag als complementair, of alternatief therapeut het BSN niet vastleggen. U weet zelf of u een uitzondering op deze regel bent

 

 

Ik leg het Burgerservicenummer wel vast

 

 

Reden waarom ik het Burgerservicenummer vastleg is (wetgeving op grond waarvan u dat doet noemen):

 

 

 

Als u nog meer vastlegt in het cliëntdossier kunt u dat hieronder aanvullen

1.     

 

 

 

Stap 2. de doeleinden vastleggen van de persoonsgegevens die worden verwerkt

 

 

Doeleinden van de persoonsgegevens die worden verwerkt.

Behalve de AVG, zijn de WGBO (Wet op de geneeskundige behandelingsovereenkomst) en de beroepscode van mijn beroepsvereniging en van de Koepel Klachtenafhandeling Alternatieve Behandelwijzen (verder: koepel KAB) van toepassing op mijn werk. Deze zijn van invloed op de doeleinden waarvoor ik persoonsgegevens vastleg. Om die reden ga ik als volgt om met persoonsgegevens:

 

1.    Dossierplicht

Op grond van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) ben ik als zorgverlener verplicht een medisch dossier bij te houden

 

2. Bewaartermijn

De hoofdregel voor het bewaren van medische dossiers staat in de WGBO. Dat is 15 jaar, gerekend vanaf de datum van vastlegging van ieder afzonderlijk gegeven. De termijn kan langer zijn indien dit noodzakelijk is met het oog op de behandeling (bijvoorbeeld indien iemand een chronische ziekte heeft). Voor minderjarigen geldt dat de bewaartermijn van 15 jaar ingaat, vanaf het achttiende levensjaar. Deze gegevens moeten dus bewaard blijven tot het 34^e levensjaar behalve bij eerder overlijden van de minderjarige. Dan geldt de bewaartermijn van 15 jaar vanaf de datum van overlijden. Voor overleden volwassenen dient het dossier 15 jaar bewaard te blijven vanaf de laatste wijziging in het dossier over de behandeling of vanaf de datum van overlijden.

 

3. Beroepsgeheim

Voor mij als therapeut geldt op grond van de beroepscode en het wettelijk geregeld medisch beroepsgeheim een geheimhoudingsplicht. Medewerkers van een psychosociale of complementaire praktijk zijn via arbeidscontract aan een geheimhoudingsplicht gebonden.

 

4. Minderjarigen

Volgens de patiëntenrechten uit de WGBO komen de wilsbekwame minderjarige tussen 12-16 jaar zelf en de ouder(s) het gezag toe. Ouder(s) van minderjarigen tot 16 jaar hebben medebeslissingsrecht over de behandeling. Ouders hebben recht op informatie en inzage in het dossier, wanneer dit gekoppeld is aan het medebeslissingsrecht voor de behandeling. Er bestaat een uitzondering op dit inzagerecht, namelijk wanneer de professional van mening is dat de uitoefening van bepaalde patiëntenrechten indruist tegen het belang van de patiënt. Wilsbekwame patiënten van 12 jaar en ouder zijn zelf bevoegd om toestemming te verlenen voor doorbreking van de geheimhouding.

 

Nog meer doelen van het cliëntendossier toevoegen:

1.     

 

 

 

 

 

Stap 3: Leg vast hoe de cliënt/patiënt geïnformeerd wordt

 

 

	Ik informeer de cliënten mondeling over de dossierplicht tijdens de intake.
X	Deze informatie ligt vast in een schriftelijke behandelovereenkomst. Zo ja, sluit deze behandelovereenkomst bij in dit document.
X	Op mijn website staat informatie over mijn werkwijze, de dossierplicht en de verplichtingen als gevolg van de WGBO, de Wkkgz en de beroepscode.
X	Indien kinderen jonger zijn dan 16 jaar, geven beide ouders schriftelijk toestemming tot de behandeling en daarmee tot het vastleggen van gegevens in een dossier. Zo ja, sluit deze behandelovereenkomst bij in dit document.
X	Ik vraag bezoekers van mijn site om hun naam, e-mailadres e.d. in te vullen. Ik leg uit waarvoor deze persoonsgegevens zijn en wat ik ermee doe.

 

 

Opmerking: u kunt de behandelovereenkomsten blijven gebruiken die u nu ook al gebruikt.

 

 

Stap 4: Leg vast wie er daadwerkelijk werken met de cliëntdossiers?

 

 

X	Ik ben ZZP-er en ben de enige die toegang heeft tot de dossiers. Vanuit de beroepscode heb ik een beroepsgeheim.
	Verschillende collega’s hebben toegang tot patiëntendossiers. Zij vallen eveneens onder het beroepsgeheim en hanteren dezelfde regels
	Er zijn ook medewerkers die toegang hebben tot de patiëntendossiers. In de arbeidsovereenkomst is de geheimhouding geregeld.
	Ik bepreek wel eens met collega’s, of in intervisiegroepen casuïstiek uit de praktijk. Dat gaat altijd anoniem en onherkenbaar

 

 

Toevoeging:

 

 

 

 

Stap 5: vastleggen hoe u de beveiliging van de persoonsgegevens (cliëntendossiers) heeft geregeld

 

 

 

X	Ik werk met papieren cliëntendossiers. Deze worden in een afgesloten kast bewaard
X	Ik werk met een digitaal cliëntendossier. Dit is beveiligd door een wachtwoord.
X	Ik werk met een digitaal cliëntendossier dat is versleuteld en beveiligd met een wachtwoord
X	Ik maak regelmatig een back-up van mijn cliëntbestanden

 

 

Toevoeging:

1.    Als u ambulant werkt, geef dan aan hoe u de cliëntgegevens onderweg beveiligd hebt:

 

 

 

 

 

2.     

 

 

 

Stap 6: Leg vast welke externe personen of bedrijven toegang hebben tot de persoonsgegevens en daarmee tot de groep verwerkers behoren waarmee u een verwerkersovereenkomst moet afsluiten.

  

 

Leveranciers waarmee ik een verwerkersovereenkomst heb afgesloten zijn: N.V.T.

1.     

 

Stap 7: Leg vast hoe u omgaat met datalekken

 

Toelichting op deze stap:

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (dus ook therapeuten) direct (binnen 72 uur na het datalek) een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben.

Soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

 

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

 

Wanneer moet u een datalek melden?

U hoeft een datalek alleen te melden aan de Autoriteit Persoonsgegevens, als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als een aanzienlijke kans bestaat dat dit gebeurt. Dat is het geval als er bij het datalek ofwel persoonsgegevens verloren zijn gegaan (ze zijn voor u niet meer terug te halen en er was geen back-up) ofwel onrechtmatige verwerking van de persoonsgegevens niet is uit te sluiten (iemand heeft mogelijk toegang (gehad) tot de persoonsgegevens terwijl diegene daartoe niet bevoegd was en u hebt geen controle over wat diegene met de gegevens heeft gedaan of nog zal doen).

 

U hoeft de betrokkenen (de cliënten van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. Dat kan het geval zijn als er gegevens van gevoelige aard zijn gelekt (bijvoorbeeld gezondheidsgegevens) die door derden kunnen worden misbruikt.

 

 

 

 

X	Ik begrijp wanneer ik een datalek moet melden en zal daar naar handelen
X	Ik heb afspraken gemaakt in de verwerkersovereenkomst met leveranciers en ik word  daardoor tijdig geïnformeerd als er een datalek is geweest

 

 

 

 

Ondertekening en datum

 

20-08-2020

Valerie Keulen