Blad gemeenschappelijke regeling van GGD IJsselland
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
GGD IJsselland | Blad gemeenschappelijke regeling 2017, 350 | Overige besluiten van algemene strekking |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
GGD IJsselland | Blad gemeenschappelijke regeling 2017, 350 | Overige besluiten van algemene strekking |
Reglement Privacybescherming GGD IJsselland
ALGEMENE TOELICHTING BIJ REGLEMENT PRIVACYBESCHERMING GGD IJSSELLAND
Verschillende wetten geven regels voor het omgaan met de privacy van burgers in het algemeen en van patiënten of jeugdigen in het bijzonder. Voorbeelden daarvan zijn de Wet bescherming persoonsgegevens, de Wet op de geneeskundige behandelingsovereenkomst, de Wet maatschappelijke ondersteuning 2015 en de Jeugdwet.
Hoewel het hebben van een privacyreglement formeel-juridisch niet verplicht is, is het toch goed om een dergelijk reglement voor de organisatie te hebben. Een reglement maakt de wetgeving voor management, medewerkers en burgers inzichtelijk. Bovendien wordt in het kader van de HKZ-certificering getoetst aan normen op het gebied van privacybescherming. Zo wordt er gekeken of er sprake is van een beleid ten aanzien van de omgang met en geheimhouding van klantgegevens en of er hiervoor richtlijnen voor de medewerkers aanwezig zijn. Het reglement dient als kapstok voor het privacybeleid van de organisatie. Aanvullend op dit reglement kunnen protocollen en richtlijnen voor de medewerkers worden opgesteld.
Het reglement komt uiteraard niet in plaats van de wetgeving, maar geeft een vertaling van onderdelen daarvan voor de organisatie. Voor specifieke vraagstukken op het gebied van de privacybescherming is het soms nodig om terug te vallen op de wetteksten zelf, omdat daarin de verbijzondering van de algemene regels zijn beschreven. Het reglement is een hulpmiddel en geen uitputtende opsomming van de wettelijke verplichtingen. Nieuwe wetgeving, nieuwe samenwerkingsrelaties, taken en opvattingen van professionals en beleidsmakers en ontwikkelingen op het gebied van omgaan met persoonsgegevens, informatisering en automatisering kunnen gevolgen hebben voor het privacybeleid van de organisatie en bijvoorbeeld het opstellen van nieuwe richtlijnen wenselijk maken. Het is zaak om hier in de organisatie alert op te blijven en hier op een systematische, inzichtelijke en toegankelijke wijze mee om te gaan. Het reglement privacybescherming is een dynamisch document dat actueel gehouden wordt en waarvan de meest actuele versie (digitaal) toegankelijk is voor de gehele organisatie en voor het algemeen publiek.
Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Anonieme gegevens zijn geen persoonsgegevens en vallen niet onder dit reglement.
Personalia en identificatiegegevens
Persoonsgegevens, die betrekking hebben op persoonlijke bijzonderheden van betrokkene (naam, adres, woonplaats e.d.).
Medische of psychologische gegevens
Persoonsgegevens, direct of indirect betrekking hebbend op de lichamelijke of geestelijke gesteldheid van betrokkene, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening.
Financiële en administratieve gegevens
Gegevens die in de administratie van GGD IJsselland en de persoonsdossiers zijn opgenomen, niet zijnde personalia, identificatie-, medische of psychologische gegevens, die noodzakelijk zijn voor de financiering en/of administratieve afhandeling van de zorgverlening.
1.2 Verwerking van persoonsgegevens
Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografische wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
De natuurlijke persoon, rechtspersoon of ieder ander die, of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Externe persoon of organisatie die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtsgezag te zijn onderworpen.
Degene op wie een persoonsgegeven betrekking heeft.
N.b. voor de uitoefening van de rechten en verplichtingen van en ten opzichte van de betrokkene kan diens eventuele wettelijke vertegenwoordiger hiervoor in de plaats treden.
Ieder ander dan de betrokkene, de verantwoordelijke, de bewerker, of degene(n) die onder gezag van de verantwoordelijke of de bewerker gemachtigd is (zijn) om persoonsgegevens te verwerken.
Degene aan wie de persoonsgegevens worden verstrekt.
1.9 Toestemming van betrokkene
Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat zijn persoonsgegevens worden verwerkt.
1.10 Autoriteit Persoonsgegevens
Het College dat tot taak heeft toe te zien op de verwerking van persoonsgegevens overeenkomstig de Wet bescherming persoonsgegevens.
1.11 Verstrekken van persoonsgegevens
Het bekend maken of ter beschikking stellen van persoonsgegevens.
ARTIKELGEWIJZE TOELICHTING 1 Begripsbepalingen
De definities uit dit artikel zijn voor het grootste gedeelte (1.1 tot en met 1.10) definities zoals die in de Wet bescherming persoonsgegevens worden gehanteerd.
2.1 Dit reglement is van toepassing op zowel geautomatiseerde als handmatige verwerking van medische en niet-medische persoonsgegevens binnen de GGD, met uitzondering van personele gegevensverwerkingen.
2.2 Voor het beheer van, inzage in c.q. toegang tot personeelsgegevens heeft de GGD regels vastgelegd in een protocol.
2.3 Elk gebruik van persoonsgegevens dient te berusten op ten minste één van de volgende gronden:
ARTIKELGEWIJZE TOELICHTING 2 Reikwijdte
Dit reglement is van toepassing op verwerkingen van persoonsgegevens die plaatsvinden in het kader van de taken van de GGD op het terrein van de gezondheidszorg. Voor het beheer van, inzage in c.q. toegang tot personeelsgegevens bestaan al afzonderlijke regels voor de organisatie.
De Wbp is gebaseerd op een aantal beginselen:
VERWERKING VAN PERSOONSGEGEVENS
3 Beschrijving van registraties
3.1 Van alle registraties van persoonsgegevens die bij de GGD in een bestand zijn opgenomen legt de GGD per registratie vast:
3.2 De beschrijvingen als bedoeld in lid 1 worden bijgehouden door de organisatie en zijn op te vragen bij de GGD.
De GGD verplicht eventueel ingeschakelde bewerkers met een overeenkomst de regels op het gebied van privacybescherming na te leven. De taken, rechten en verplichtingen van de bewerker worden door de verantwoordelijke schriftelijk vastgelegd. Dit houdt in dat de bewerker in ieder geval een geheimhoudingsplicht heeft en slechts toegang heeft tot, dan wel kennis neemt van persoonsgegevens voor zover dit, gelet op technische middelen ter voorkoming daarvan, strikt noodzakelijk is ten behoeve van door hem uit te voeren werkzaamheden.
De bewerker is voorts verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van onder andere apparatuur, programmatuur en de gegevens waarmee de persoonsregistraties worden gevoerd. De ter zake getroffen regelingen zijn bij de bewerker in te zien.
Voor verstrekking van persoonsgegevens aan derden is in principe de uitdrukkelijke (mondelinge of schriftelijke) toestemming van de betrokkene vereist. Het verstrekken van gegevens aan derden zonder toestemming geschiedt slechts wanneer hier een wettelijke grondslag voor is. Het al dan niet verlenen van toestemming wordt aangetekend in het dossier. In het dossier wordt bij verstrekking van gegevens aan derden eveneens vastgelegd aan wie wanneer welke gegevens zijn verstrekt.
3.5 Toegang tot persoonsgegevens
Vernietiging blijft achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, wanneer bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de beroepsbeoefenaar overeenstemming bestaat.
Indien de bewaartermijn is verstreken, worden de desbetreffende persoonsgegevens binnen één jaar verwijderd en vernietigd.
De GGD voert beleid op het gebied van gegevensbescherming en legt dit vast. De GGD draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsgegevens tegen verlies of aantasting van gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.
ARTIKELGEWIJZE TOELICHTING 3 Beschrijving van registraties
3.1 Dit artikel is bedoeld om per registratie een concreet beeld te krijgen van voor de privacybescherming relevante aspecten. De onderdelen die per registratie moeten worden beschreven komen deels overeen met de onderdelen die zijn beschreven en gemeld aan de Autoriteit Persoonsgegevens, en zijn aangevuld met enkele andere concrete onderdelen waarover de organisatie afspraken moet hebben. De meldingen aan de Autoriteit Persoonsgegevens zijn echter beperkt tot geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens (die voor de verwezenlijking van (een) doeleinde(n) bestemd is). Op basis van dit artikel in het reglement zijn ook de niet geautomatiseerde registraties in beeld gebracht en beschreven.
3.2 De beschrijvingen maken geen direct onderdeel uit van dit reglement maar worden afzonderlijk bijgehouden, waardoor het gemakkelijker is deze actueel te houden en nieuwe beschrijvingen op te nemen zonder het reglement zelf hierop aan te hoeven passen. 3.3 tot en met 3.6
De artikelen 3.3 tot en met 3.6 geven kaders voor de beschrijving van enkele specifieke onderdelen (bewerker, verstrekking van en toegang tot gegevens, bewaartermijnen en beveiliging).
Artikel 3.4 gaat over de verstrekking van gegevens aan derden. Hiervoor is in principe toestemming van de betrokkene vereist. Er kunnen echter redenen zijn waarom hiervan toch wordt afgeweken, bijvoorbeeld in het geval van (een ernstig vermoeden van) kindermishandeling. Verschillende wetten geven regels voor gevallen waarin het toestemmingsvereiste niet doorslaggevend hoeft te zijn voor het verstrekken van gegevens aan derden. Zo bepaalt de WGBO dat de hulpverlener zijn verplichtingen na komt tegenover wettelijke vertegenwoordigers van (o.a) de patiënt jonger dan 12 jaar, tenzij die nakoming niet verenigbaar is met de zorg van een goed hulpverlener. Het gaat te ver om al deze bepalingen in het reglement op te nemen. Of aan het toestemmingsvereiste voorbij kan worden gegaan is vaak ook een kwestie van interpretatie van (vrij algemeen geformuleerde) regels. Soms moet van geval tot geval een afweging worden gemaakt. Lid 2 van dit artikel geeft een nadere specificatie van mogelijkheden om persoonsgegevens te verstrekken binnen de wettelijke kaders.
4.1 Degenen die toegang hebben tot persoonsgegevens zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behalve wanneer een wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.
4.2 De GGD draagt er zorg voor dat medewerkers op de hoogte zijn van de geheimhoudingsplicht.
ARTIKELGEWIJZE TOELICHTING 4 Geheimhouding
De medewerkers werkzaam voor de GGD die toegang hebben tot persoonsgegevens zijn verplicht tot geheimhouding daarvan (tenzij..). Deze geheimhoudingsplicht wordt expliciet onder hun aandacht gebracht.
De GGD informeert de betrokkene op de daarvoor wettelijk geldende momenten actief over de persoonsgegevens die worden verwerkt en met welk doel, wat er met de gegevens gebeurt en wie daarvoor verantwoordelijk is. De GGD draagt er zorg voor dat betrokkene over deze informatie kan beschikken.
ARTIKELGEWIJZE TOELICHTING 5 Informatieplicht
De Wbp kent bepalingen over het moment waarop de betrokkene informatie moet worden verstrekt over de identiteit van de verantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens (art. 33,34,44).
6.1 De betrokkene heeft rechten ten aanzien van op hem betrekking hebbende verwerkte persoonsgegevens, zoals het recht op inzage in, kopie van en/of correctie, aanvulling of verwijdering van persoonsgegevens,
het recht op afscherming van gegevens en het recht op verzet tegen het verwerken van zijn persoonsgegevens.
6.2 Verzoeken ter uitoefening van de rechten worden binnen vier weken na ontvangst van het verzoek in behandeling genomen volgens daarvoor opgestelde protocollen van de GGD.
6.3 Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht,doch deze mag niet meer bedragen dan het hiervoor geldende wettelijke maximum (opgenomen in het Besluit kostenvergoeding rechten betrokkene Wbp).
ARTIKELGEWIJZE TOELICHTING 6 Rechten van betrokkene
Dit artikel geeft een opsomming van belangrijke rechten van de betrokkene. Op basis van verschillende wetten zijn verschillende rechten van toepassing. Het ‘Protocol uitoefenen cliëntenrechten persoonsgegevens’ geeft de procedures weer die de GGD organisatie hanteert bij een verzoek betreffende het uitoefenen van de rechten t.a.v. een persoonsregistratie m.b.t. de eigen persoon of m.b.t. degene die men wettelijk vertegenwoordigt.
7.1 De wetgeving die op de verwerking van persoonsgegevens een betrokkene van toepassing is bepaalt wie de rechten m.b.t. de verwerkte persoonsgegevens mag uitoefenen. Indien betrokkene zelf zijn rechten (nog) niet mag uitoefenen kan zijn wettelijk vertegenwoordiger dit doen.
7.2 De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.
7.3 De verantwoordelijke komt zijn verplichtingen die voortvloeien uit wet en reglement na jegens de vertegenwoordiger van de betrokkene, tenzij die nakoming niet verenigbaar is met de zorg van een goed verantwoordelijke.
ARTIKELGEWIJZE TOELICHTING 7 Vertegenwoordiging
De Wbp kent m.b.t. de vertegenwoordiging een iets ander regime dan andere wetten, zoals de Wgbo of de Wmo 2015. De bijzondere wet gaat voor de algemene wet.
Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij een klacht indienen bij de GGD.
ARTIKELGEWIJZE TOELICHTING 8 Klachten
In het geval van klachten zijn de geldende klachtenprocedures van de GGD van toepassing.
De GGD hanteert voor bemoeizorg de landelijke ‘Handreiking gegevensuitwisseling in de bemoeizorg’ (2014) van KNMG en GGZ Nederland
ARTIKELGEWIJZE TOELICHTING 9 Bemoeizorg
Het Dagelijks Bestuur heeft op 4 maart 2011 besloten de landelijke handreiking voor bemoeizorg te hanteren. Dit in verband met de bijzondere doelgroep waar bemoeizorg zich op richt.
De GGD draagt er zorg voor dat de medewerkers op de hoogte zijn van en de beschikking hebben over dit reglement en over protocollen die hierop gebaseerd zijn.
ARTIKELGEWIJZE TOELICHTING 10 Informeren medewerkers
Dit reglement en protocollen op het gebied van privacy staan ter beschikking voor de organisatie via het Intranet en worden actief onder de aandacht gebracht.
De GGD draagt er zorg voor dat de organisatie de verwerkingen van persoonsgegevens die vallen onder de meldingsplicht van de Wbp worden gemeld bij het Autoriteit Persoonsgegevens, conform de bepalingen die daarvoor gelden.
ARTIKELGEWIJZE TOELICHTING 11 Meldingen
Voor bepaalde verwerkingen van persoonsgegeven geldt een meldingsplicht. Dit geldt voor geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens die voor de verwezenlijking van een (of meer samenhangende) doeleinde(n) bestemd zijn. Het team Bestuursbureau (medewerker bestuurlijke en juridische zaken) is contactpersoon voor de Autoriteit Persoonsgegevens.
Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende de hele looptijd van de verwerking van de persoonsgegevens.
ARTIKELGEWIJZE TOELICHTING 12 Looptijd
Het is wenselijk dat er een reglement is zolang er registraties worden bijgehouden
ARTIKELGEWIJZE TOELICHTING 13 Inwerkingtreding
Bekendmaking geschiedt via de website www.overheid.nl. Het reglement is ook te vinden op de website van GGD IJsselland:
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/bgr-2017-350.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.