Bij Praktijk voor Tandheelkunde Molenhoek hechten wij groot belang aan de privacy van de gebruikers van de website. In deze privacyverklaring kunt u lezen hoe wij deze kernwaarden in de praktijk brengen en uw recht op privacy respecteren en beschermen.

Om uw privacy zo goed mogelijk te waarborgen, hanteren wij een aantal kernwaarden.


Wij willen u zo goed mogelijk informeren over hoe en waarom wij persoonsgegevens verwerken. Wij respecteren uw wettelijke rechten. Dat doen wij via deze privacyverklaring.


Er worden geen persoonsgegevens via de website verzameld.

Wij geven persoonsgegevens niet uit handen voor marketingdoeleinden en sturen alleen na uw uitdrukkelijke toestemming commerciële mailings.


Wij geven uw persoonsgegevens niet door aan andere partijen, tenzij dat nodig is om de gebruikte dienst te kunnen leveren of wanneer wij daar wettelijk toe verplicht zijn.


Wij nemen passende beveiligingsmaatregelen om uw persoonsgegevens te beschermen en eisen dat ook van partijen die in onze opdracht persoonsgegevens verwerken.



Voor de hierboven genoemde doeleinden verwerken wij uw persoonsgegevens op basis van de volgende grondslagen:


Uitvoering van de overeenkomst:

Voor de doeleinden die gericht zijn op het aanbieden van onze dienstverlening, bijvoorbeeld om uw inschrijving af te handelen;


Wettelijke verplichting:

Voor de doeleinden die gericht zijn op het verwerken van uw medische gegevens en het bijhouden van uw medisch dossier kunnen wij een wettelijke grondslag hebben.


Tijdens uw inschrijving in onze praktijk wordt u verzocht om aantal persoonsgegevens door te geven.  Wij bewaren en gebruiken uitsluitend de persoonsgegevens die rechtstreeks door u worden opgegeven of waarvan bij opgave duidelijk is dat ze aan ons worden verstrekt om te verwerken.

Uw gegevens worden uitdrukkelijk niet aan derden verstrekt, anders dan derden die direct betrokken zijn bij de uitvoering van de overeenkomst tussen u en ons, of tenzij enige wettelijke bepaling ons hiertoe verplicht. De partijen die wij mogelijk nodig hebben voor de uitvoering van de door u aangevraagde diensten zijn:

·     Hostingpartijen en onze softwareleveranciers

·     Betaaldienstverleners en bezorgdiensten

·     Uw zorgverzekeraar

·     Andere medisch specialisten


Wij nemen de bescherming van uw gegevens serieus en nemen passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan contact op met ons.

Uw persoonsgegevens worden nimmer langer bewaard dan nodig is voor de in deze privacyverklaring of op de website omschreven doelen, behoudens de gevallen waarin enige wettelijke verplichting zich verzet tegen verwijdering van de persoonsgegevens.

Deze privacyverklaring is niet van toepassing op websites van derden die door middel van links met deze website zijn verbonden. Wij kunnen niet garanderen dat deze derden op een betrouwbare of veilige manier met uw persoonsgegevens omgaan. Daarom raden wij u aan de privacyverklaring van deze websites te lezen alvorens van deze websites gebruik te maken.

Wij maken op deze website geen gebruik van cookies.

Wij behouden ons het recht voor om wijzigingen aan te brengen in deze verklaring. Het verdient

aanbeveling om deze verklaring geregeld te raadplegen, zodat u van deze wijzigingen op de hoogte bent.


U heeft het recht om uw persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaast heeft u het recht om uw eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens door de Praktijk voor Tandheelkunde Molenhoek en heeft u het recht op gegevensoverdraagbaarheid. Dat betekent dat u bij ons een verzoek kunt indienen om de persoonsgegevens die wij van u beschikken in een computerbestand naar u of een ander, door u genoemde organisatie, te sturen. U kunt een verzoek tot inzage, correctie, verwijdering, gegevensoverdraging van uw persoonsgegevens of verzoek tot intrekking van uw toestemming of bezwaar op de verwerking van uw persoonsgegevens sturen naar de onderstaande contactgegevens. We reageren zo snel mogelijk op uw verzoek. Zorg ervoor dat u duidelijk aangeeft wie u bent, zodat wij zeker weten dat we geen gegevens van de verkeerde persoon aanpassen of verwijderen.

Praktijk voor Tandheelkunde Molenhoek wil u er tevens op wijzen dat u de mogelijkheid heeft om een klacht

in te dienen bij de toezichthouder in het land waar u bent gevestigd. In Nederland heet de toezichthouder de Autoriteit Persoonsgegevens.

We controleren regelmatig of we aan dit privacybeleid voldoen. Als u vragen heeft over dit privacybeleid, kunt u contact met ons opnemen door middel van de onderstaande contactgegevens.


Contact

Praktijk voor Tandheelkunde Molenhoek

Prinsenweg 35 a

6584AZ Molenhoek

Functionaris gegevensbescherming: Dhr. F. Gonzalez Cruz


Hieronder vindt u de bijlagen:

Bijlage 1: Interne privacybeleid

Bijlage 2: privacybeleid voor wernemers en sollicititanten




Bijlage 1


INTERN PRIVACYBELEID VOOR DE VERWERKING VAN PERSOONSGEGEVENS Versie 2.0 – september 2018


1. INTRODUCTIE

Dit is het privacybeleid (hierna: het “Privacybeleid”) van Praktijk voor Tandheelkunde Molenhoek (hierna: de “Praktijk”). Dit privacybeleid ziet zowel op het verzamelen en verwerken van persoonsgegevens die in verband met de hulp- en zorgverlening aan patiënten worden verwerkt, als op gegevens van medewerkers die binnen de Praktijk worden gebruikt. Het privacybeleid beschrijft op welke wijze de Praktijk met deze gegevens omgaat en welke protocollen en processen zij binnen de Praktijk heeft geïmplementeerd om ervoor te zorgen dat de veiligheid van de gegevens gewaarborgd is en dat aan de vereisten van de Algemene verordening gegevensbescherming (“AVG”) wordt voldaan.

In dit privacybeleid komen de volgende onderwerpen aan bod.

♦ Verwerkingsregister

♦ Type persoonsgegevens en doelen

♦ Informatieplicht

♦ Rechten van betrokkenen

♦ Derde partijen

♦ Beveiliging

♦ Datalekken

♦ Bewaartermijnen

♦ Privacy Impact Assessment

♦ Doorgifte van persoonsgegevens

♦ FG

De protocollen en overige documenten waarnaar in dit Privacybeleid wordt verwezen, zijn als bijlage aan het Privacybeleid gehecht.

Om ervoor te zorgen dat dit Privacybeleid blijft aansluiten bij de verwerking van persoonsgegevens binnen de Praktijk, zal het Privacybeleid elk jaar worden geëvalueerd. Aan de hand van die evaluatie zal, indien vereist, het Privacybeleid en de hieraan gehechte protocollen en documenten worden aangepast. Indien op een moment voor de evaluatie duidelijk wordt dat het Privacybeleid aanpassing behoeft, zal de Praktijk de vereiste aanpassingen op dat moment al doorvoeren.


2. PRIVACYBELEID


2.1. Verwerkingsregister

De Praktijk houdt een verwerkingsregister bij. Dit register bevat onder meer een beschrijving van de (categorieën) persoonsgegevens die binnen de Praktijk worden verwerkt, de doelen waarvoor ze worden verwerkt, de derden aan wie de gegevens worden verstrekt, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen die zijn genomen om de gegevens te beschermen.

Verwerkingsverantwoordelijke

degene die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Dat is dus de partij die bepaalt wat er met de gegevens gebeurt. De Praktijk is als verwerkingsverantwoordelijke aan te merken.

Verwerker

een partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Deze partij bepaalt dus niet voor welk doel gegevens worden verzameld en gebruikt. Voorbeelden zijn de partijen die het salarisadministratiesysteem en het patiëntsysteem aanbieden.

Persoonsgegevens

alle informatie direct of indirect tot een persoon te herleiden is. Hieronder vallen naast de NAW-gegevens ook alle andere patiënt- en behandelgegevens, zoals gebitsfoto’s.

Binnen de Praktijk heeft/hebben de praktijkhouders toegang tot het register. De de praktijkhouder kunnen het register raadplegen en daar wijzigingen in aanbrengen.

Het register wordt door de Praktijk continue en actief bijgehouden. Wijzigingen in de verwerking van persoonsgegevens worden direct in het register doorgevoerd. Tijdens de kwartaalevaluatie zal ook worden beoordeeld of het register nog altijd accuraat is of dat aanpassingen in het register vereist zijn.


2.2. Type persoonsgegevens en doeleinden

Binnen de Praktijk worden persoonsgegevens van twee categorieën personen verwerkt: i) de patiënten en ii) de medewerkers.


Patiënten

Binnen de praktijk worden allereerst persoonsgegevens voor inschrijving verstrekt. Daarnaast worden vragen omtrent de gezondheid gesteld die van belang kunnen zijn voor de behandeling.

Indien de patiënt afkomstig is van een andere praktijk, kunnen persoonsgegevens van die andere praktijk worden verkregen. De patiënt kan de gegevens zelf meenemen, maar deze kunnen ook per reguliere post of per e-mail aan de Praktijk worden toegezonden. Via e-mail is een niet beveiligde weg, tenzij de zorgverlener dit naar een andere zorgverlener zendt via een beveiligde verbinding zoals b.v. Zorgmail.

Alle gegevens die de Praktijk verkrijgt in het kader van het inschrijven van een patiënt, worden (gescand) opgeslagen in Novadent dental software (hierna: het “Systeem”).

Naast de gegevens vereist voor inschrijving bij de Praktijk, verwerkt de Praktijk gegevens die verband houden met de behandeling van de patiënt. Het gaat daarbij onder meer om afspraken, gegevens omtrent de uitgevoerde handelingen, gemaakte foto’s, kronen en verwijzingen naar andere zorgverleners. Al deze gegevens worden tevens in het Systeem opgeslagen.

In het Systeem worden ook de facturen voor de patiënten aangemaakt. De Praktijk verzendt de facturen vervolgens naar een factoringmaatschappij of incassobureau die het innen van de facturen bij de patiënt of de verzekeraar verzorgt.

Alle gegevens die over de patiënt worden verzameld, worden gebruikt met als doel de hulp- en zorgverlening voor de patiënt.

Bij intercollegiale toetsing binnen een praktijk of instelling kunnen gegevens worden gebruikt en verstrekt. De patiënt wordt daar van tevoren van op de hoogte gebracht.


Veilig Incident Melden (VIM)

Binnen de praktijk is F. Gonzalez Cruz degene die zorgdraagt voor de procedure om incidenten te melden, zich inzet voor een cultuur binnen de praktijk dat incidenten worden gemeld en die ervoor zorgt dat meldingen worden geanalyseerd (“de Functionaris”).

Meldingen van incidenten kunnen op papier worden gedaan. De melding bevat zowel persoonsgegevens van de betreffende medewerker van de Praktijk als de patiënt in kwestie.

De Functionaris brengt de meldingen in voor nadere oorzakenanalyse in de analysegroep. De analysegroep analyseert vervolgens de melding en behandelt deze vertrouwelijk. Indien nodig vraagt de analysegroep nadere informatie aan de melder.

Van het incident wordt aantekening gemaakt in het patiëntendossier van de patiënt, waarin wordt vermeld: de aard en toedracht van het incident; het tijdstip waarop het incident heeft plaatsgevonden; en de namen van de bij het incident betrokken zorgverleners.

De Praktijk zorgt dat meldingen vertrouwelijk worden behandeld en dat de meldingen zo worden bewaard dat deze niet toegankelijk zijn voor anderen.


Toezicht en handhaving

Op grond van de Wkkgz maakt de Praktijk bij de IGZ melding van eventuele calamiteiten die bij de zorgverlening hebben plaatsgevonden. Ook meldt de Praktijk het bij de IGZ als er geweld bij de zorgverlening heeft plaatsgevonden of als de arbeidsrelatie met een individuele zorgverlener is beëindigd vanwege ernstige functioneringsproblemen.

Op grond van de wet komt aan de IGZ een aantal bevoegdheden toe bij het houden van toezicht op specifieke volksgezondheidswetten. Bij onderzoek dat specifiek is gericht op individuele casuïstiek, heeft de IGZ recht op inzage in medische dossiers voor zover deze inzage nodig is voor de uitvoering van haar taken. De Praktijk is dan gehouden om de IGZ inzage te verlenen.

De Nederlandse Zorgautoriteit (NZa) is onder meer belast met markttoezicht, marktontwikkelingen, tarief- en prestatieregulering en met toezicht op de uitvoering van de Zorgverzekeringswet en de Wet langdurige zorg (Wlz). In dat kader kan de Praktijk in sommige gevallen verplicht zijn om op verzoek bepaalde gegevens aan de NZa te verstrekken. Het kan hier gaan om identificerende gegevens die hemzelf betreffen, om andere identificerende persoonsgegevens en om medische persoonsgegevens van patiënten.


Medewerkers

In het kader van de uitvoering van de arbeidsovereenkomst, verwerkt de Praktijk ook persoonsgegevens van haar medewerkers. De arbeidsovereenkomst en daarmee samenhangende gegevens worden opgeslagen in het personeelsdossier in de map Personeel gegevens/Kantoorkast nast F. Gonzalez Cruz bureau . Deze gegevens worden in eerste instantie gebruikt voor het vaststellen en uitbetalen van het salaris van de medewerkers. Hiervoor maakt de Praktijk gebruik van het salarisadministratiekantoor Cramers Belastingadviseurs.

In het personeelsdossier kunnen ook gegevens omtrent eventuele klachten, waarschuwingen, beoordelingen en verzuimfrequentie worden opgeslagen. Voor zover aan medewerkers een mobiele telefoon, leaseauto, laptop en/of toegangspas ter beschikking wordt gesteld, wordt dit voor administratieve doeleinden geregistreerd.

De toegang tot de personeelsdossiers is beveiligd. Binnen de Praktijk heeft F. Gonzalez Cruz en E.L.M. Vergoossen toegang tot het personeelsdossier.

De Praktijk is wettelijk gehouden bepaalde persoonsgegevens van medewerkers aan derde partijen te verstrekken. Deze verstrekking aan derde partijen heeft de volgende doeleinden:

♦ Bij indiensttreding wordt aan de collectieve zorgverzekeraars en andere collectieve verzekeraars de datum van indiensttreding, NAW-gegevens en het BSN van medewerkers doorgegeven.

♦ Ziek- en herstelmeldingen worden doorgegeven aan de Arbodienst.

♦ Bij uitdiensttreding vanwege ziekte en bij zwangerschapsverlof worden gegevens van medewerkers aan het UWV doorgegeven in verband met

het verkrijgen van een vangnetuitkering, waaronder salaris, pensioenpremie, prepensioen, hiaatverzekering, de NAW-gegevens en het BSN.

♦ Aan pensioenfondsen en andere daaraan gelieerde instellingen en organisaties worden eveneens gegevens verstrekt.

Gegevens omtrent het functioneren van medewerkers worden ook verwerkt in het kader van individuele kwaliteitsverbetering. De verzamelde gegevens worden dan gebruikt voor het coachen en trainen van medewerkers met het doel hen beter te laten functioneren.

Gegevens omtrent het functioneren van medewerkers kunnen ook gebruikt worden voor de beoordeling van de medewerker, bijvoorbeeld in het kader van functioneringsgesprekken. De gegevens die de Praktijk verzamelt om medewerkers te beoordelen, kunnen door de medewerkers worden ingezien waarbij de medewerker kans krijgt om hierop te reageren. De verslaglegging van functioneringsgesprekken dient als uitgangspunt bij een volgend gesprek en wordt benut als managementinformatie.

Tot slot kan het zo zijn dat, in het kader van het verbeteren van de bedrijfsprocessen, binnen de Praktijk, persoonsgegevens van medewerkers worden verwerkt.

Deze categorieën van persoonsgegevens, van zowel de patiënten als de medewerkers, staan vermeld in het verwerkingsregister.


ZZP’ers

In het kader van de uitvoering van een overeenkomst van opdracht met een ZZP’er, verwerkt de Praktijk ook persoonsgegevens van ingeschakelde ZZP’ers. De overeenkomst van opdracht en daarmee samenhangende gegevens worden opgeslagen in de map Personeel gegevens/ Kantoorkast naast F. Gonzalez Cruz bureau. De Praktijk vraagt de ZZP’ers niet om een kopie of scan van hun identiteitsbewijs te verstrekken.


2.3. Informatieplicht

De Praktijk stelt de patiënten bij inschrijving op de hoogte van de persoonsgegevens die zij over de patiënt verzamelt en voor welke doeleinden deze persoonsgegevens vervolgens worden gebruikt.

Bij de inschrijving aan de balie in de Praktijk wordt bij de inschrijving en/of het gezondheidsformulier het privacy statement van de Praktijk aan de patiënt verstrekt. Bij een telefonische inschrijving wordt de patiënt verteld dat zijn gegevens worden gebruikt voor inschrijving. Vervolgens wordt bij het invullen van het gezondheidsformulier het privacy statement verstrekt. Het privacy statement is als Bijlage 1 aan dit Privacybeleid gehecht.

Bij indiensttreding wordt aan de medewerkers kenbaar gemaakt voor welke doeleinden hun persoonsgegevens worden verwerkt en wat er van hun in het kader van privacy mag worden verwacht. Het gebruik van persoonsgegevens is vastgelegd in het werknemers privacybeleid van de Praktijk dat als Bijlage 2 aan dit Privacybeleid is gehecht.


2.4. Rechten van betrokkenen

Alle verzoeken, op welke wijze ook binnengekomen (telefonisch, per e-mail, per brief), van een patiënt of medewerker waarin rechten ten aanzien van

persoonsgegevens worden ingeroepen, worden verzonden aan F. Gonzalez Cruz en E.L.M. Vergoossen. Verzoeken en alle overige afhandeling worden opgeslagen in de map Personeel gegevens bij debetreffende medewerker of ZZP’er.

Na ontvangst van een verzoek zal de Praktijk eerst de identiteit van de verzoeker verifiëren. De Praktijk kan de verzoeker vragen een kopie van een identiteitskaart mee te zenden. De Praktijk zal daarbij aan de verzoeker aangegeven dat het BSN niet mag worden verstrekt en dus van de kopie van de identiteitskaart verwijderd moet worden.

Indien de identiteit van de betrokkene is vastgesteld, zal de Praktijk de verzoeker laten weten dat er binnen één maand op het verzoek zal worden gereageerd. Indien het verzoek complex is, kan deze termijn met maximaal twee maanden worden verlengd. Indien dit het geval is, zal de Praktijk dit binnen de initiële maand aan de verzoeker laten weten.

F. Gonzalez Cruz en E.L.M. Vergoossen zullen vervolgens vaststellen welk recht precies wordt ingeroepen en verzamelt de in dat kader vereiste informatie. Op basis van deze informatie wordt een verslag opgesteld. Op basis van dit verslag wordt besloten of, en zo ja, op welke wijze aan het verzoek van de verzoeker kan worden voldaan.

Voor de communicatie richting de verzoeker en het treffen van maatregelen naar aanleiding van een verzoek zullen in beginsel geen kosten in rekening worden gebracht bij de verzoeker. Slechts in bepaalde gevallen zal de Praktijk kosten in rekening brengen (een redelijke vergoeding in het licht van de administratieve kosten). Bijvoorbeeld wanneer verzoeker meerdere inzageverzoeken of herhaaldelijk ongegronde verzoeken indient. De Praktijk mag in uitzonderingsgevallen ook weigeren om gevolg te geven aan het verzoek.

Indien gevolg wordt gegeven aan het verzoek van een verzoeker, dienen in bepaalde gevallen ook derde partijen op de hoogte te worden gesteld. Het verslag dient daarom ook de derde partijen te beschrijven die betrokken zijn bij het honoreren van een verzoek van de verzoeker. Dergelijke kennisgevingen laat de Praktijk achterwege als dit onmogelijk blijkt of onevenredig veel inspanning vergt.

De Praktijk heeft zodanige technische maatregelen genomen dat aan verzoeken van verzoekers kan worden voldaan. Zo kan de Praktijk een verzoeker inzage verlenen in de gegevens die over hem/haar worden verzameld, kunnen gegevens worden verwijderd of verbeterd, kan de verwerking van gegevens tijdelijk worden gestaakt, kunnen deze gegevens makkelijk overgezet worden naar een nieuwe aanbieder en wordt er bij de intrekking van toestemming zorg voor gedragen dat de gegevens vanaf dat moment niet weer voor dat doel worden gebruikt.


2.5. Derde partijen

De Praktijk maakt voor het verwerken van persoonsgegevens gebruik van derde partijen. Het gaat daarbij onder meer om partijen die louter ten behoeve van de Praktijk gegevens verwerken (hierna: “Verwerkers”).

Met deze Verwerkers heeft de Praktijk een verwerkersovereenkomst afgesloten waarin onder meer de mate van beveiliging van de persoonsgegevens die de Verwerker voor de Praktijk verwerkt wordt beschreven. Ook bevat de verwerkersovereenkomst bepalingen omtrent het uitvoeren van een audit bij de Verwerker en de procedure die moet worden gevolgd als van een incident omtrent persoonsgegevens sprake is. De standaard-verwerkersovereenkomst die de Praktijk hanteert, is als Bijlage 3 aan dit privacybeleid gehecht.

In de Praktijk wordt van de volgende Verwerkers gebruikgemaakt:

♦ Complan-Tandarts softwarepakket

♦ 4Dental Tandtechnischlaboratorium

♦ Groesbeek Tandtechnischlaboratorium

♦ Implasolutions Tandtechnischlaboratorium

♦ Infomedics B.V. - factoringsbedrijf

♦ Zormail – Beveligd emailsysteem

♦ Outlook algemeen digitale correspondentie

♦ Cordent – Digitale beeldvorming en communicatie

♦ Cramers Belastingadviseurs -salarisadninistratie

♦ VisiQuick van Lamoral- Röntgenfoto’s software

♦ MBM - ICT

Persoonsgegevens van patiënten of medewerkers worden aan andere verwerkingsverantwoordelijken doorgegeven wanneer dat wettelijke vereist is, noodzakelijk is in het kader van hulp- en zorgverlening van de patiënt (verwijzingen) en voor intercollegiaal overleg. Buiten deze situatie worden persoonsgegevens niet aan andere verwerkingsverantwoordelijken verstrekt zonder voorafgaande uitdrukkelijke toestemming van de patiënt of medewerker.

Dat is alleen anders indien er een wettelijke verplichting tot verstrekking bestaat of indien de gegevens in het verlengde van de zorg- en hulpverlening gedeeld moeten worden, bijvoorbeeld in het kader van intercollegiaal overleg. Daarbij geldt dat alleen de strikt noodzakelijk geachte gegevens worden verstrekt.


2.6. Beveiliging

De Praktijk hecht veel waarde aan de beveiliging van zowel de patiëntgegevens als de gegevens van haar medewerkers. De Praktijk heeft daarom passende technische en organisatorische maatregelen genomen om deze persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking.

Voor zover de Praktijk gebruikmaakt van Verwerkers zijn met deze Verwerkers afspraken gemaakt over de te nemen technische en organisatorische maatregelen. Hierbij wordt een risicoanalyse gemaakt. Op grond van de risico’s die de persoonsgegevens en de aard van de verwerking met zich meebrengen, wordt het gewenste beveiligingsniveau bepaald.

De Praktijk heeft op grond van de verwerkersovereenkomst het recht de door de Verwerker getroffen maatregelen periodiek te auditen, testen, beoordelen en evalueren om zo te bepalen of de overeengekomen maatregelen worden nageleefd en of deze nog doeltreffend zijn en om deze zo nodig aan te laten passen.

De Praktijk hanteert in aanvulling op het bovenstaande ook interne beveiligingsmaatregelen. Het gaat daarbij onder meer om de volgende maatregelen:

♦ Persoonsgegevens worden op een beveiligde wijze uitgewisseld.

♦ Persoonsgegevens worden niet op USB sticks of andere mobiele dragers

gekopieerd .

♦ Alle Assistentes en praktijkhouders hebben toegang tot de

patiëntgegevens

♦ Alleen F. Gonzalez Cruz en E.L.M. Vergoossen hebben toegang tot

personeelsdossiers

♦ Wachtwoorden zijn voldoende sterk en worden periodiek vervangen

♦ Toegang tot het Systeem op afstand is alleen mogelijk via een beveiligde VPN verbinding op basis van twee-staps authenticatie

♦ Binnen de Praktijk zijn processen ingericht die aangeven wat er moet gebeuren indien een incident inzake persoonsgegevens zich voordoet of indien patiënten of medewerkers een beroep op hun rechten doen

♦ Devices als laptops en mobiele telefoons worden niet onbeheerd achtergelaten, worden versleuteld opgeslagen en verlies/diefstal dient direct te worden gemeld bij de Praktijk

♦ Het is medewerkers niet toegestaan, zonder toestemming van de Praktijk, software te downloaden en/of om firewalls of virusscanner aan te passen of te verwijderen

♦ Toegang tot het pand is alleen mogelijk met aan medewerkers verstrekte passen/druppels

Binnen de Praktijk worden elke week back-ups gemaakt. Hiermee realiseert de Praktijk dat in het geval van een incident met persoonsgegevens (bijvoorbeeld in het geval van ransomware) een recente back-up teruggezet kan worden zodat persoonsgegevens niet blijvend verloren gaan.

De interne beveiligingsmaatregelen kunnen door de Praktijk steekproefsgewijs worden gecontroleerd. Controle zal altijd zo kort en zo beperkt mogelijk uitgevoerd worden. Indien er een gerichte verdenking bestaat tegen een medewerker kan tot gerichte controle worden overgegaan. Aan de hand van de uitkomst van steekproeven kunnen door de Praktijk disciplinaire maatregelen genomen worden.

Uitgangspunt binnen de Praktijk is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld. Zo vraagt de Praktijk niet meer informatie uit bij de patiënt dan noodzakelijk is voor zorg- en hulpverlening. Ook bij het inschakelen van derde partijen, beoordeelt de Praktijk of de door die derde partij aangeboden dienst aansluit bij het doel dat de Praktijk voor ogen heeft en er niet meer persoonsgegevens worden verzameld dan daarvoor nodig is (privacy by design en privacy by default).


2.7. Datalekken

De Praktijk heeft passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beëindigen en de schade zo veel mogelijk te beperken, heeft de Praktijk een incident response protocol opgesteld. De Praktijk maakt eveneens gebruik van een stappenplan datalek melden en het document “datalek melden of niet’ van de KNMT, welke als Bijlage 4 bij dit privacybeleid zijn gevoegd.


Elk incident met betrekking tot persoonsgegevens moet worden gemeld aan F. Gonzalez Cruz of E.L.M. Vergoossen praktijkhouders via telefoonnummer 024- 3584445 die zullen vervolgens bepalen of:

♦ er inderdaad sprake is van een incident dat betrekking heeft op persoonsgegevens

♦ welke maatregelen genomen moeten worden om het incident te stoppen en de gevolgen te beperken

♦ er een externe partij moet worden ingeschakeld om bij de oplossing van het incident te assisteren

♦ het incident aan de Autoriteit Persoonsgegevens moet worden gemeld. De melding aan de Autoriteit Persoonsgegevens zal vervolgens binnen 72 uur nadat de Praktijk op de hoogte is geraakt van het incident plaatsvinden

♦ degenen op wie de persoonsgegevens betrekking hebben, moeten worden geïnformeerd over het incident

♦ welke maatregelen er genomen moeten worden om herhaling van het incident te voorkomen

De bovenstaande voorwaarden zijn verder uitgewerkt in het incident response protocol dat als Bijlage 4 bij dit privacybeleid is gevoegd.

Aangezien de kans bestaat dat een Verwerker als eerste op de hoogte raakt van een (potentieel) incident, is in de Verwerkersovereenkomst afgesproken dat de Verwerker de Praktijk zo snel mogelijk op de hoogte stelt van een incident. Ook zijn er afspraken gemaakt over het oplossen van het incident en het verstrekken van nadere gegevens.

De Praktijk documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Dit logboek wordt opgeslagen in een map benoemd “Praktijk voor Tandheelkunde – Incident melding”


2.8. Bewaartermijnen

De Praktijk hanteert een beleid voor het bewaren van persoonsgegevens. Persoonsgegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden, worden door de Praktijk verwijderd. De persoonsgegevens dienen in dat geval ook uit eventuele back-ups, archieven en andere systemen te worden verwijderd.

Patiëntgegevens

Patiëntgegevens worden op grond van de bewaarplicht van medische behandelgegevens bewaard gedurende een periode van vijftien (15) jaar.

Gegevens medewerkers

De Praktijk bewaart gegevens van medewerkers voor zover vereist op basis van fiscale boekhoud- en administratieplicht gedurende een periode van 7 jaar.

Voor zover de betreffende gegevens niet vallen onder de fiscale boekhoud- en administratieplicht, hanteert de Praktijk de volgende bewaartermijnen:

♦ Loonadministratie (gedurende 5 jaar)

♦ Loonbelastingverklaring (gedurende 5 jaar na uitdiensttreding)

♦ Kopie identiteitsbewijs werknemer (gedurende 5 jaar na uitdiensttreding)

Overige persoonsgegevens

Gegevens die met behulp van camerabeelden worden verzameld, worden gedurende vier (4) weken bewaard tenzij langer bewaren noodzakelijk is in verband met geconstateerde strafbare feiten.

Ten aanzien van facturen die niet als medische behandelgegevens kwalificeren, bijvoorbeeld facturen aan/van derde partijen, bewaart de Praktijk deze in verband met de omzetbelasting gedurende een periode van zeven (7) jaar.


2.9. Privacy impact assessment

De Praktijk voert voor elke nieuwe verwerking van persoonsgegevens een privacy impact assessment uit (PIA), tenzij vooraf al duidelijk is dat de verwerking geen of een beperkt risico met zich mee brengt.

De PIA bevat in ieder geval een systematische beschrijving van de (beoogde) gegevensverwerkingen en de doeleinden hiervan. Ook wordt beoordeeld of de nieuwe verwerking noodzakelijk is en of deze wel proportioneel is, gelet op het doel dat wordt beoogd. Tot slot bevat de PIA een beschrijving van de maatregelen die de Praktijk neemt om geconstateerde risico’s aan te pakken.

De bevindingen naar aanleiding van een PIA worden door de Praktijk schriftelijk vastgelegd in een verslag. [optioneel: Het PIA-verslag wordt ter advisering voorgelegd aan de Functionaris Beschermingsgegevens – F. Gonzalez Cruz.]


2.10. Doorgifte buiten EER

De Praktijk slaat gegevens van patiënten en medewerkers in beginsel niet op buiten de Europese Economische Ruimte (EER).

Indien de Praktijk persoonsgegevens toch buiten de EER opslaat, bijvoorbeeld omdat een Verwerker van de Praktijk daar gevestigd is, zorgt de Praktijk er voor dat de doorgifte alleen plaatsvindt als:

♦ de Europese Commissie heeft aangegeven dat het betreffende land een passend beschermingsniveau biedt;

♦ de EU standard contractual clauses zijn overeengekomen;

♦ het privacy shield van toepassing is; of

♦ een andere vrijstelling van toepassing is.


2.11. FG

Binnen de Praktijk is F. Gonzalez Cruz als functionaris voor de gegevensbescherming (FG) aangesteld en getraind. Binnen de Praktijk zijn maatregelen genomen om te waarborgen dat de FG voldoende wordt ondersteund zodat hij/zij in staat is om zijn/haar rol effectief in te vullen. De FG heeft in ieder geval kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming, begrip van de gegevensverwerkingen die de Praktijk uitvoert, begrip van IT en informatiebeveiliging en vaardigheden om binnen de Praktijk een cultuur van gegevensbescherming te ontwikkelen.

Om intern toezicht te houden op het naleven van de AVG, zal de FG informatie verzamelen over gegevensverwerkingen binnen de Praktijk, deze verwerkingen analyseren en beoordelen of ze aan de AVG voldoen en informatie, adviezen en aanbevelingen geven aan de Praktijk. Om zijn/haar werk goed te kunnen doen, wordt de FG actief ondersteund door de Praktijk, krijgt de FG voldoende tijd om zijn taken uit te voeren en is er heldere communicatie aan al het personeel over de benoeming van de FG.

]De Praktijk vraagt in het kader van een PIA de FG onder meer advies over de afweging om wel of niet een PIA uit te voeren, de onderzoeksmethode die geschikt is voor de PIA, de waarborgen die nodig zijn om de risico’s voor betrokkenen te beperken en de vraag of de uitkomsten van de PIA in overeenstemming zijn met de AVG.





Bijlage 2


Privacyverklaring voor werknemers en sollicitanten



Uw privacy wordt door ons gerespecteerd. De Praktijk voor Tandheelkunde Molenhoek streeft ernaar om uw privacy zo goed mogelijk te waarborgen en zal vertrouwelijk omgaan met de informatie die u bij ons aanlevert. Bij de verwerking van persoonsgegevens nemen wij de geldende wet- en regelgeving op het gebied van privacy in acht. In deze privacyverklaring informeren wij u over de wijze waarop wij met uw gegevens omgaan. In deze privacyverklaring kunt informatie vinden over:


-     de gronden waarop wij uw persoonsgegevens verwerken*

-     de categorieën persoonsgegevens die wij van u verwerken;

-     de doeleinden op grond waarvan wij uw persoonsgegevens verwerken;

-     of wij uw persoonsgegevens aan derden verstrekken;

-     hoelang wij uw persoonsgegevens bewaren;

-     op welke wijze wij uw persoonsgegevens beveiligen;

-     welke privacyrechten u als werknemer of sollicitant heeft;


(*  Verwerken houdt in alle handelingen die wij als (potentieel) werkgever uitvoeren met uw persoonsgegevens. Denk hierbij aan het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.)


1. Grondslag voor gegevensverwerking

Wij mogen alleen rechtmatig persoonsgegevens van u verwerken als wij dat doen op basis van een juridische grondslag. Wij verwerken uw persoonsgegevens omdat dit noodzakelijk is voor het aangaan en uitvoeren van de arbeidsovereenkomst. Daarnaast kunnen wij uw persoonsgegevens verwerken om te kunnen voldoen aan een wettelijke plicht (bijvoorbeeld het afdragen van belastingen of voldoen aan de identificatieplicht) voor een gerechtvaardigd belang (u bent bijvoorbeeld met ons in een juridische procedure verwikkeld, zoals een ontslagprocedure), een vitaal belang (een noodsituatie, zoals een ongeval of aandoening) of u heeft duidelijk en ondubbelzinnig toestemming gegeven voor het verwerken van bepaalde persoonsgegevens.



2. Categorieën persoonsgegevens en doeleinden van de verwerking

Voor het aangaan of uitvoeren van de arbeidsovereenkomst hebben wij persoonsgegevens van u nodig. Wij verwerken de volgende persoonsgegevens:


3.a U bent sollicitant


-     uw achternaam, voornamen, initialen, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke communicatie zoals bijvoorbeeld uw e-mailadres;

-     nationaliteit en geboorteplaats;

-     uw bankrekeningnummer, indien wij een vergoeding verstrekken voor de reiskosten die u maakt in verband met de sollicitatieprocedure;

-     gegevens over de door u gevolgde en nog te volgen opleidingen, cursussen en stages;

-     gegevens over de functie binnen onze praktijk waarnaar u solliciteert;

-     gegevens betreffende de aard en inhoud van uw huidige dienstverband en gegevens over de beëindiging daarvan;

-     gegevens over de aard en inhoud van vorige dienstverbanden en beëindiging daarvan;

-     andere gegevens die met het oog op het vervullen van de functie die door u zijn verstrekt of van u bekend zijn;

-     andere gegevens die nodig zijn voor de uitvoering of toepassing van een wet.


3.b Doeleinden gegevensverwerking

Wij hebben deze gegevens van u nodig om te beoordelen of u geschikt bent voor een functie die beschikbaar is of kan komen binnen onze praktijk, de afhandeling van de door u gemaakte onkosten met betrekking tot de sollicitatieprocedure, interne controle en bedrijfsbeveiliging, het laten uitvoeren van een aanstellingskeuring of uitvoering of toepassing van een wet.


4.a U bent werknemer

Bovenstaande gegevens verwerken wij ook als u bij ons in de praktijk werkzaam bent. Daarnaast verwerken wij extra persoonsgegevens:


-     uw bankrekeningnummer voor uitbetaling van het salaris;

-     gegevens met het oog op de administratie van uw aanwezigheid op de plaats waar de werkzaamheden plaatsvinden (bijvoorbeeld een tijdregistratiesysteem);

-     gegevens met het oog op de administratie van uw afwezigheid in verband met verlof, arbeidsduurverkorting, bevalling of ziekte,

            met uitzondering van gegevens over de aard van de ziekte;

-     gegevens die in uw belang worden opgenomen met het oog op arbeidsomstandigheden (bijvoorbeeld de vaccinatiestatus hepatitis B);

-     gegevens die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde. Het kan hierbij ook gaan om gegevens over uw gezinsleden of voormalige gezinsleden;

-     gegevens met het oog op (het organiseren van) uw beoordeling of begeleiding, voor zover deze gegevens bij u bekend zijn;

-     gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies;

-     gegevens met het oog op het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura;

-     gegevens met betrekking tot vaststelling van pensioen en het berekenen, vastleggen en innen van pensioenpremies

-     gegevens die nodig zijn voor de uitvoering of toepassing van een wet.


4.b Doeleinden gegevensverwerking

Wij hebben deze gegevens nodig voor het uitvoeren van de personeelsadministratie/salarisadministratie, het verstrekken van uitkeringen bij ontslag en in het kader van pensioen en vervroegde uittreding. De gegevens worden uitsluitend gebruikt voor:


-     het geven van leiding aan uw werkzaamheden;

-     de behandeling van personeelszaken;

-     het vaststellen en doen uitbetalen van uw salaris;

-     het regelen van aanspraken op uitkeringen in verband met de beëindiging van het dienstverband,;

-     uw opleiding;

-     bedrijfsmedische zorg/bedrijfsmaatschappelijk werk;

-     de verkiezing van de leden van een bij wet geregeld medezeggenschapsorgaan;

-     de interne controle en de bedrijfsbeveiliging;

-     de uitvoering van een voor u geldende arbeidsvoorwaarde;

-     het opstellen van een lijst van verjaardagen en andere feestelijkheden en gebeurtenissen;

-     het verlenen van ontslag;

-     de administratie van de personeelsvereniging en van de vereniging van oud- personeelsleden;

-     het innen van vorderingen (en overdracht aan derden);

-     het behandelen van geschillen en het uitoefenen van accountantscontrole;

-     uw tijdelijke tewerkstelling op een andere praktijklocatie of een ander onderdeel van groep van bedrijven waarmee wij zijn verbonden;

-     het berekenen, vastleggen en betalen van belasting en premies;

-     vaststelling van de hoogte van uw pensioenaanspraken en het berekenen, vastleggen en innen van pensioenpremies vastgelegd;

-     de uitvoering of toepassing van een andere wet.  


5. Gevolg niet verstrekken persoonsgegevens

Het niet verstrekken van persoonsgegevens kan ertoe leiden dat wij u niet in dienst kunnen nemen of wij u niet kunnen aanmelden voor bepaalde diensten/voorzieningen. Denk hierbij aan het aanmelden bij het Pensioenfonds Zorg en Welzijn of een collectieve verzekering.



6. Verstrekking van persoonsgegevens aan derden

Wij gebruiken uw persoonsgegevens in beginsel alleen voor onze eigen bedrijfsvoering in het kader van de sollicitatieprocedure en (uitvoering van) de arbeidsovereenkomst. Wij gebruiken uw persoonsgegevens alleen voor de doeleneinden waarvoor deze persoonsgegevens door ons zijn verkregen. In sommige gevallen is het echter nodig om uw persoonsgegevens aan derden te verstrekken. Wij verstrekken uw persoonsgegevens aan de volgende derden:


-     Cramers belastingadviseurs -salarisadministrateur;

-     de bedrijfsarts en/of arbo-arts;

-     Pensioenfonds Zorg en Welzijn (personeel in loondienst)

-     Verzuimverzekering – De Amersfoortse – (personeel  in loondienst)


Met deze derden sluiten wij, indien noodzakelijk, verwerkingsovereenkomsten. In deze overeenkomsten maken wij afspraken over de wijze waarop er met uw persoonsgegevens moet worden omgaan.


Tandartspraktijk voor Tandheelkunde Molenhoek maakt geen gebruik van geautomatiseerde besluitvorming die is gebaseerd op persoonsgegevens of met toepassing van profilering.


7. Bewaartermijnen

Wij zullen uw gegevens niet langer bewaren dan noodzakelijk is voor de in deze privacyverklaring beschreven doeleinden, tenzij dat nodig is op grond van een wettelijke verplichting. Wij hanteren de volgende bewaartermijnen:


-     Boekhoudkundige en administratieve gegevens: 7 jaren;

-     Loonbelastingverklaring: 5 jaren na het kalenderjaar dat u uit dienst bent getreden;

-     Kopie identiteitsbewijs: 5 jaren na het kalenderjaar dat u uit dienst bent getreden;

-     Gegevens van sollicitanten: 4 weken;


8. Beveilingsmaatregelen

Om uw persoonsgegevens zo goed mogelijk te beschermen hebben wij passende beveiligingsmaatregelen getroffen.


9. Uw privacyrechten

U heeft op grond van de AVG verschillende rechten die u kunt uitoefenen:


-     Recht op inzage/kopie: inzage in uw persoonsgegevens (bijvoorbeeld uw personeelsdossier, behalve persoonlijke aantekeningen van uw leidinggevende en/of anderen).

            U heeft ook recht op een kopie van uw persoonsgegevens;

-     Recht op rectificatie: het recht om onjuist verwerkte persoonsgegevens te corrigeren, bijvoorbeeld in uw personeelsdossier;

-     Recht op verwijdering: het recht op verwijdering van uw persoonsgegevens (LET OP: wij hoeven geen gehoor te geven aan uw verzoek indien wij de persoonsgegevens moeten

            bewaren op grond van een wettelijke plicht, een gerechtvaardigd belang hebben of de gegevens nodig zijn voor de uitvoering van de arbeidsovereenkomst);

-     Recht op beperking: het recht om verwerking van uw persoonsgegevens te beperken;

-     Recht van bezwaar: het recht om bezwaar te maken tegen het gebruik van uw persoonsgegevens;

-     Toestemming intrekken: indien u toestemming heeft gegeven voor verwerking van bepaalde persoonsgegevens, kunt u deze toestemming ten alle tijden intrekken;

-     Klachtrecht: een klacht in te dienen bij Autoriteit Persoonsgegevens (Adres: Postbus 93374, 2509 AJ Den Haag).


Indien u ontevreden bent over de verwerking van uw persoonsgegevens kunt telefonisch contact met ons op nemen op het telefoonnummer: 024-3584445 Indien u gebruik wilt maken van bovenstaande rechten, kunt u ook een e-mail sturen naar F. Gonzalez Cruz, gonzalez@qualitysmile.nl. U kunt het verzoek ook per post verzenden naar het adres Prinsenweg 35a 6584AZ te Molenhoek.


Wij streven ernaar om binnen 14 werkdagen op uw verzoek te reageren.


10. Wijzigingen in deze privacyverklaring

Wij behouden ons het recht voor om deze privacyverklaring aan te passen. Deze wijzigingen zullen aan u worden medegedeeld.


11. Onze contactgegevens

Heeft u nog vragen of opmerkingen na het lezen van deze privacyverklaring? Neem hiervoor contact met ons op via de onderstaande contactgegevens:


Praktijk voor Tandheelkunde Molenhoek

Prinsenweg 35a

6584AZ

Molenhoek