AVG Aandachtige Massage, Erna Brok
DPIA (data protection impact assessment) bij de start van de AVG in mei 2018
Grondslag voor het verwerken van persoonsgegevens
De AVG kent 6 grondslagen, waardoor het verwerken van persoonsgegevens gerechtvaardigd wordt:
1 Toestemming van de betrokken persoon.
2 De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
3 De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
4 De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
5 De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
6 De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Voor de praktijk Aandachtige Massage geldt dat het gaat om nr. 2: het uitvoeren van een overeenkomst:
- Praktijk: De overeenkomst wordt impliciet gemaakt door het maken van een afspraak voor behandeling en elke volgende afspraak, tot gezamenlijk wordt besloten de behandeling te beëindigen. Alle noodzakelijke gegevens (m.b.t. gezondheid, ziekte, persoonlijke – en werksituatie, etc.) incl. de voortgang van de behandeling worden uitsluitend opgenomen in een papieren cliëntendossier, dat na het beëindigen van de behandeling volgens de daartoe geldende wettelijke normen ten minste 15 jaar wordt bewaard. De gegevens zijn alleen toegankelijk voor degene die de praktijk voert. Daarnaast krijgt niemand toegang tot deze gegevens, tenzij de cliënt daar persoonlijk toestemming voor geeft. Rapportage aan derden en eindverslag na beëindiging van de behandeling naar huisarts en/of verwijzend hulpverlener wordt gemaakt in overleg met de cliënt en alleen met toestemming van de cliënt schriftelijk aan de cliënt meegegeven voor de betreffende huisarts / hulpverlener.
Gegevens t.b.v. het maken van de nota worden elektronisch bewaard (op computer). Alleen naam, telefoonnummer en e-mail worden elektronisch bewaard (G-mail).
Welke persoonsgegevens worden verwerkt:
Praktijk: naam, adres, tel.nr., e-mail, geboortedatum, geslacht, Burgelijke staat, BSN, huisarts + contactgegevens, (evt.) verwijzende hulpverlener + contactgegevens, gegevens verzekering, gegevens m.b.t. de voortgang van de behandeling.
Welke instanties ontvangen persoonsgegevens:
Praktijk:
- huisarts en/of verwijzend hulpverlener: inhoudelijke gegevens m.b.t. de voortgang van de behandeling voor zover dat overleg met die arts / hulpverlener noodzakelijk maakt en uitsluitend met toestemming van de cliënt.
- in uitzonderlijke gevallen de huisarts en/of verwijzend hulpverlener: inhoudelijke gegevens m.b.t. de voortgang van de behandeling bij dreigend of daadwerkelijk gevaar (fysiek / psychisch) zo mogelijk met, maar indien noodzakelijk zonder toestemming van de cliënt (zonder toestemming, dan geldt de AVG grondslag ‘noodzakelijk ter bescherming van devitale belangen’).
- huisarts en/of verwijzend hulpverlener: eindverslag na beëindiging van de behandeling naar huisarts en/of verwijzend hulpverlener, gemaakt in overleg met de cliënt en alleen met toestemming van de cliënt schriftelijk aan de cliënt meegegeven voor de betreffende huisarts / hulpverlener.
- zorgverzekering: uitsluitend die gegevens die noodzakelijk zijn voor het uitvoeren van de declaratie: naam, adres, verzekeringsnummer, datum, bedrag en aard / code van de behandeling.
- boekhouder: factuurnummer, bedrag, datum betaling.
- belastingdienst: de gegevens op de nota.
Informatie aan de cliënt
Praktijk: de tekst van de file ‘AVG privacy document’ staat op de website
Verwerkersovereenkomst
De enige die buiten Erna Brok de administratie verwerkt is boekhouder Moore MKW.
Recht van inzage
Iedereen die een overeenkomst is aangegaan op basis van bovenstaande heeft het recht op inzage van zijn / haar gegevens. Ter bescherming van deze gegevens zal bij een aanvrage degene die de aanvraag doet gevraagd worden zich te legitimeren. De gegevens kunnen uiterlijk binnen 4 weken na het indienen van de aanvraag worden ingezien in het bijzijn van degene die de gegevens heeft opgesteld. Eventuele wijzigingen worden ter plekke besproken, uitgevoerd en vastgelegd.
Protocol Datalekken
Gegevens m.b.t. de voorgang van de behandeling
De meest kwetsbare gegevens zijn de gegevens m.b.t. de voorgang van de behandeling. Ter voorkoming van datalekken worden deze gegevens nergens elektronisch opgeslagen, maar uitsluitend in het afgesloten papieren cliëntendossier. Mochten deze gegevens toch, t.g.v. inbraak, brand of ander onheil ‘op straat komen’, dan wordt er direct al het mogelijk gedaan de gegevens alsnog veilig te stellen en wordt de betrokkene direct geïnformeerd over het gebeuren en de maatregelen om alsnog de gegevens veilig te stellen. Daarnaast wordt dit soort datalek gemeld bij de Autoriteit Persoonsgegevens.
Andere gegevens
Alle andere gegevens zijn bewust beperkt tot de meest noodzakelijke en minder gevoelige gegevens als naam, adres, tel.nr, e-mail en zorgverzekeringsnummer. Deze gegevens bevatten géén gevoelige informatie omtrent financiën, ras, geloof, etc. Indien er rond deze data een lek ontstaat, zal direct al het mogelijk gedaan worden om de gegevens alsnog veilig te stellen en wordt de betrokkene direct geïnformeerd over het gebeuren en de maatregelen om alsnog de gegevens veilig te stellen.
Mogen wij uw persoonsgegevens verwerken op basis van een door u gegeven toestemming hiertoe, dan heeft u altijd het recht deze toestemming in te trekken.
Klachten
Mocht u een klacht hebben over de verwerking van uw persoonsgegevens dan vragen wij u hierover direct contact met ons op te nemen. Komen wij er samen met u niet uit dan vinden wij dit natuurlijk erg vervelend. U heeft altijd het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens, dit is de toezichthoudende autoriteit op het gebied van privacybescherming.
Vragen
Als u naar aanleiding van onze Privacy Policy nog vragen of opmerkingen heeft neem dan contact met mij op. Contactgegevens Erna Brok, Aandachtige-Massage, tel.: 06-43201396, info@aandachtige-massage.nl
Opgesteld en uitgevoerd op 14 mei 2018,
Erna Brok
***