Mayk Egbers
Osteopaat D.O.-MRO
0570 606 258
Louis Pasteurstraat 10-m, 7415 EP Deventer
U kunt eenvoudig online een afspraak maken bij Osteopathie Deventer. Kies een tijd en datum die u het best uitkomt.
Louis Pasteurstraat 10-m, 7415 EP Deventer
Zoekt u naar de locatie in Enschede? Deze kunt u hier vinden:
Sinds 25 mei 2018 is de nieuwe Privacywetgeving in werking getreden. Het gaat dan om Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische communicatie (2002/58/EG), de nationale wetten ter uitvoering van deze richtlijnen en/of, in voorkomend geval, de verordening (EU) 2016/679 (de “Algemene Verordening Gegevensbescherming”). Een en ander samengevat als de AVG. Deze wetgeving zal de wet Bescherming persoonsgegevens vervangen. De AVG verwacht een meer pro-actieve rol van iedere organisatie die persoonsgegevens verwerkt. De meest relevante wijzigingen waar rekening mee dienen te worden gehouden zijn:
De Autoriteit Persoonsgegevens (hierna AP) blijft net als voorheen onder de wet Bescherming persoonsgegevens de autoriteit die controleert of organisaties zich aan de wetgeving houden.
Ter voorbereiding op de nieuwe regelgeving heeft de AP een stappenplan opgesteld:
Het AVG-10 stappenplan:
Een nadere uitwerking van dit stappenplan en naleving in de praktijk daarvan dient ervoor zorg te dragen dat dzich zoveel mogelijk aan de nieuwe wetgeving AVG kan houden. Hieronder zullen de verschillende stappen worden besproken. Daarbij wordt nagegaan in hoeverre deze punten binnen Osteopathie Egbers gelden, waar Osteopathie Egbers tegen aan loopt en op welke wijze Osteopathie Egbers op een verantwoorde manier aan de ‘nieuwe’ verplichtingen kan voldoen.
2.1 Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de Verordening diverse rechten aan de betrokkene. De betrokkene kan deze rechten uitoefenen tegen de verwerkingsverantwoordelijke. De betrokkene heeft:
2.2 Een patiënt of voormalig patiënt (de betrokkene) kan om bovenstaande gegevens verzoeken. De betrokkene kan zulks doen per mail naar info@osteopathie-egbers.nl. De betrokkene dient zich daarbij te legitimeren, opdat Osteopathie Egbers met voldoende zekerheid kan vaststellen dat degene die het verzoek doet daadwerkelijk de betrokkene is.
2.3 Osteopathie Egbers zal binnen 1 maand na ontvangst van het verzoek betrokken informeren over de uitvoering van het verzoek. Bij complexe, of een veelvoud aan verzoeken kan deze termijn verlengd worden met maximaal 2 maanden. De betrokkene zal in een dergelijk geval van verlengde termijn van uitvoering van het verzoek daaromtrent geïnformeerd worden. De informatie wordt in principe schriftelijk verstrekt.
2.4 In sommige gevallen mag Osteopathie Egbers weigeren tot uitvoering van het verzoek om gegevensverstrekking over te gaan, dan wel daarvoor kosten in rekening brengen. Het moet dan gaan om de situatie dat de betrokkene buitensporige of ongegronde verzoeken doet. (Bijvoorbeeld meerdere verzoeken achter elkaar om dezelfde gegevens. Dan wel wanneer sprake is van een van de beschermende noodzakelijkheidscriteria welke de AVG kent zoals bijvoorbeeld in het kader van een (strafrechtelijk) onderzoek naar de betrokkene). Indien Osteopathie Egbers weigert aan het verzoek te voldoen, zal Osteopathie Egbers zulks motiveren en de betrokkene wijzen op het klachtrecht bij de toezichthouder AVG.
2.5 Osteopathie Egbers realiseert zich dat indien zij een schriftelijke beslissing neemt in het kader van de uitoefening van de rechten van de betrokkene, dat dit dan geldt als een besluit in de zin van de Algemene wet bestuursrecht.
2.6 In sommige gevallen dient Osteopathie Egbers de betrokken patiënt uit zichzelf te informeren. Dit is het geval indien:
2.7 Indien de behandeling van de patiënt eindigt zal Osteopathie Egbers de persoonsgegevens nog enige tijd in haar systeem bewaren. De wet Wgbo bepaalt dat medische dossiers 15 jaar moeten worden bewaard. Aan die bewaartermijn zal Osteopathie Egbers zich houden. De dossiers zullen na 15 jaar vernietigd worden. Binnen het dossier bevinden zich tevens gegevens van niet medische aard.
2.8 Ten einde er zeker van te zijn dat de betrokkene een volledig beeld heeft van de wijze waarop met diens persoonsgegevens wordt omgegaan en met welk doel en onder welke grondslag (gerechtvaardigd belang), zal iedere betrokken bij registratie toegang krijgen tot dit privacystatement en de hierbij behorende documenten. Osteopathie Egbers zal deze gegevens op de website plaatsen en iedere betrokkene op die vindplaats wijzen.
3.1 Osteopathie Egbers verwerkt persoonsgegevens van patiënten. Ten aanzien van al deze vormen van verwerkingen van persoonsgegevens zal Osteopathie Egbers een register van verwerkingsactiviteiten bijhouden. Daarin worden alle soorten persoonsgegevens die verwerkt zullen worden opgenoemd.
3.2 In het geval de patiënt een klacht indient tegen de osteopaat, zullen die gegevens eveneens worden verwerkt door Osteopathie Egbers.
4.1 DPIA staat voor gegevensbeschermingseffectbeoordeling. Een DPIA is alleen verplicht wanneer sprake is van gegevensverwerking welke waarschijnlijk een hoog privacyrisico oplevert. Binnen de AVG worden drie situaties besproken wanneer sprake is van verhoogd risico.:
4.2 Naast de criteria uit de AVG zelf heeft de werkgroep van Europese privacytoezichthouders een lijst met 9 criteria opgesteld om nader te bezien of een DPIA nodig is. De criteria die op osteopaten van toepassing zouden kunnen zijn:
4.3 De privacytoezichthouders zien verwerkingen van bijzondere persoonsgegevens door individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen DPIA uit te voeren. Het ligt voor de hand dat de gegevensverwerking door de individuele osteopaat aldus evenmin de uitvoering van een DPIA behoeft. Osteopathie Egbers zal zodoende geen DPIA uitvoeren.
4.4 Evenwel is Osteopathie Egbers zich ervan bewust dat sprake is van bijzondere persoonsgegevens. De inhoud van een medisch dossier is gevoelig voor de betrokkene en vergt een grote mate van vertrouwelijkheid. Osteopathie Egbers zal zich zodoende inzetten die gegevens vertrouwelijk te laten blijven.
4.5 De gegevens zoals Osteopathie Egbers registreert zijn slechts bedoeld voor intern gebruik. De persoonsgegevens worden gebruikt om te waarborgen dat de osteopaat de patiënt zo goed mogelijk van dienst kan zijn. Van dienst zijn in het verhelpen van de klachten en van dienst zijn door het mogelijk maken dat de ziektekostenverzekering de kosten zoveel mogelijk vergoedt.
4.6 Op termijn zal de Autoriteit Persoonsgegevens (AP) een lijst van verwerkingen publiceren waar een DPIA voor verplicht is. Zodra die lijst er is, zal Osteopathie Egbers haar verwerking van persoonsgegevens opnieuw tegen het licht houden om te bezien of nog nadere maatregelen nodig zijn.
5.1 Privacy door ontwerp en door standaardinstellingen voor producenten. Osteopathie Egbers is producent van een dienst, welke wordt ondersteund door de verwerking van persoonsgegevens. Zodoende houdt Osteopathie Egbers bij de ontwikkeling en uitwerking van die dienst rekening met het recht op bescherming van persoonsgegevens. Met inachtneming van de stand van de techniek ziet Osteopathie Egbers erop toe dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.
Osteopathie Egbers let daarbij op:
6.1 Net als voor de DPIA geldt dat de individuele praktijk van een osteopaat door de AP niet wordt gezien als een grootschalige verwerker. Het instellen van een FG is ondanks dat het gaat om bijzondere persoonsgegevens niet noodzakelijk. Daarbij stipt Osteopathie Egbers nogmaals aan dat in deze sprake is van het verwerken van persoonsgegevens op verzoek van de patiënt, nu deze een zo goed mogelijke behandeling wenst. Osteopathie Egbers verwerkt geen persoonsgegevens voor commerciële doeleinden. Patiënten worden niet gevolgd door Osteopathie Egbers aan de hand van de persoonsgegevens.
6.2 Osteopathie Egbers benadrukt opnieuw zich te realiseren persoonsgegevens te verwerken die een hoge mate van vertrouwelijkheid kennen. Osteopathie Egbers meent echter alle maatregelen te hebben genomen, ten einde erop toe te zien dat de persoonsgegevens van patiënten niet voor andere doeleinden gebruikt worden dan bedoeld is.
7.1 Een datalek in de zin van de AVG is een inbreuk in verband met persoonsgegevens. Het is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
7.2 Het is voor de kwalificatie als ‘inbreuk in verband met persoonsgegevens’ niet relevant dat er boze opzet in het spel is. Naast het ‘hacken’ van persoonsgegevens, kan ook gedacht worden aan gegevens die op een verloren laptop staan of een afgesloten website met persoonsgegevens die per ongeluk openstaat. Een inbreuk op de beveiliging houdt in dat zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Er is niet uitsluitend sprake van een dreiging, of van een tekortkoming in de beveiliging (ook wel aangeduid als een beveiligingslek) die zou kunnen leiden tot een beveiligingsincident. Er heeft zich daadwerkelijk een beveiligingsincident voorgedaan, waarbij de getroffen preventieve maatregelen niet toereikend waren om dit te voorkomen.
7.3 Osteopathie Egbers zal ieder datalek aan de AP melden, tenzij onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Osteopathie Egbers zal binnen 72 uur na ontdekking de AP in kennis stellen, ook indien nog niet alle informatie voorhanden is.
7.4 Bovendien zal Osteopathie Egbers het datalek onverwijld melden aan de betrokkenen, indien sprake is van een hoog risico door de inbreuk op de persoonsgegevens. Voor de vraag of sprake is van een hoog risico zal Osteopathie Egbers eerst nader onderzoek daarnaar mogen doen.
7.5 Het datalek zal door Osteopathie Egbers gedocumenteerd worden in een overzicht van datalekken die zich binnen Osteopathie Egbers hebben voorgedaan. Niet alleen zullen de feiten omtrent de inbreuk en de gevolgen daarvan in dit overzicht worden gedocumenteerd, doch eveneens de genomen corrigerende maatregelen.
8.1 Osteopathie Egbers maakt gebruik van het bedrijf Crossuite Bvba te Antwerpen voor het verwerken van de persoonsgegevens in een patiëntenbeheerplatform. Dit bedrijf dient zodoende gezien te worden als een verwerker. Ten einde ervan verzekerd te zijn dat Crossuite Bvba zich aan de vereisten houdt welke nodig zijn om te voldoen aan de AVG heeft Osteopathie Egbers een verwerkersovereenkomst afgesloten met Crossuite Bvba
8.2 Binnen de verwerkersovereenkomst met Crossuite Bvba zijn in ieder geval de volgende zaken geregeld:
8.3 Osteopathie Egbers maakt geen gebruik van andere verwerkers dan Crossuite. Wel maakt Osteopathie Egbers gebruik van een accountant. Deze verwerkt geen gegevens van patiënten, maar heeft wel inzage in sommige persoonsgegevens. Vooral de gegevens rondom betalingen zal de accountant in kunnen zien. Zodoende heeft de accountant een geheimhoudingsverklaring ondertekend. In die verklaring wordt niet alleen weergegeven dat de accountant zelf geheimhouding zal betrachten over alle persoonsgegevens die deze te zien krijgt van patiënten van Osteopathie Egbers, ook de medewerkers en derden waar de accountant gebruik van maakt hebben diezelfde geheimhoudingsplicht. Bovendien is in de verklaring opgenomen dat de accountant geen persoonsgegevens van patiënten zal verwerken.
9.1 Osteopathie Egbers dient te bepalen onder welke toezichthouder zij valt. Osteopathie Egbers heeft één vestiging te Deventer en één te Enchede. Dit is op Nederlandse bodem. De werkzaamheden van Osteopathie Egbers rusten op Nederlands grondgebied. De Leidende toezichthouder voor Osteopathie Egbers is dus de Autoriteit Persoonsgegevens te Nederland.
10.1 Voor de verwerking van bepaalde gegevens is toestemming nodig van de betrokkene. Dat is het geval indien het gaat om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Het verwerken van gegevens over de gezondheid betreft eveneens een bijzondere categorie gegevens waarvan voor de verwerking toestemming nodig is van de patiënt. Het heeft echter de sterke voorkeur het verwerken van alle persoonsgegevens op voorhand met patiënten te bespreken en bij die verwerking expliciet te vermelden of de patiënt toestemming heeft gegeven voor die verwerking.
10.2 Osteopathie Egbers zal op de volgende wijze invulling geven aan deze benodigde toestemming. Naast het opstellen van een behandelplan zal bij de intake van een patiënt een overzicht worden gegeven van de afspraken. Deze zullen met de patiënt worden doorgenomen en vervolgens aan de patiënt ter hand worden gesteld dan wel aan de patiënt worden verzonden per mail, waarbij aangetekend wordt dat het hier een bevestiging van de gemaakte afspraken betreft. Er zal om een ontvangstbevestiging worden verzocht bij de patiënt. Op deze ‘opdrachtbevestiging’ zullen de belangrijkste gegevens worden benoemd over wat de patiënt kan verwachten van de osteopaat. Het gaat om het volgende:
11.1 Osteopathie Egbers gaat ervan uit met dit privacybeleid aan alle vereisten van de nieuwe AVG regels te voldoen. Osteopathie Egbers is zich ervan bewust dat sprake is van nieuwe regelgeving en dat zulks inhoudt dat nog niet alle facetten zich even makkelijk laten uiteenzetten. Osteopathie Egbers zal de aanpassingen, beslissingen en verder nieuws vanuit de AP volgen, opdat tijdige maatregelen genomen kunnen worden deze beleidsregels alsnog verder aan te scherpen, of bij te snijden.