Artikel 1 Begripsbepalingen

In dit privacyreglement wordt onder de in dit artikel vermelde begrippen het volgende verstaan:

• a.

  Autoriteit Persoonsgegevens (AP): de nationale toezichthouder die toeziet op de naleving van de wettelijke regels voor bescherming van persoonsgegevens;

• b.

  Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

• c.

  Betrokkene: degene op wie een persoonsgegeven betrekking heeft;

• d.

  Beveiligingsincident of datadiefstal: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens;

• e.

  Bijzondere persoonsgegevens: informatie over een persoon over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

• f.

  Burgerservicenummer: burgerservicenummer (BSN) als bedoeld in artikel 1 van de Wet algemene bepalingen Burgerservicenummer;

• g.

  Cliënt: de persoon aan wie GGD HN zorg verleent, of heeft verleend, daaronder ook begrepen de ouders van jeugdige cliënten tot zestien jaar;

• h.

  Derde(n): een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

• i.

  Dossier: de verzameling geautomatiseerde gegevens die in de registratie van GGD HN zijn opgenomen;

• j.

  Functionaris gegevensbescherming: onafhankelijke, interne toezichthouder op de toepassing en naleving van de AVG;

• k.

  GGD Hollands Noorden (GGD HN): het rechtspersoonlijkheid bezittend openbaar lichaam, geregeld in de Gemeenschappelijke Regeling;

• l.

  Gegevensverstrekking: het bekend maken of ter beschikking stellen van persoonsgegevens;

• m.

  Gezin of huishouden: de personen die in een gezinsverband leven of hebben geleefd of die een gezamenlijke huishouding voeren of hebben gevoerd;

• n.

  Geschillencommissie Publieke Gezondheid: de Geschillencommissie Publieke Gezondheid, zoals bedoeld in artikel 18 en verder van de Wet publieke gezondheid behandelt klachten van cliënten tegen zorgaanbieders die zijn aangesloten bij GGD GHOR Nederland;

• o.

  Minderjarige: persoon die de leeftijd van 18 jaar nog niet heeft bereikt, niet gehuwd is of meerderjarig is verklaard;

• p.

  Ouder: ouder(s) met gezag, adoptiefouder, stiefouder of anderen die de jeugdige als behorend tot hun gezin verzorgen en opvoeden;

• q.

  Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;

• r.

  Persoonlijke werkaantekeningen: die gegevens, die naar hun aard niet bedoeld zijn om onder andere ogen dan die van de medewerker zelf te komen;

• s.

  Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare, in leven zijnde, natuurlijke persoon;

• t.

  Persoonsgegevens van gevoelige aard: bijzondere persoonsgegevens, het Burgerservicenummer (BSN) en gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen;

• u.

  Professional: de professional van GGD HN die zorg verleent aan een cliënt, of die rechtstreeks is betrokken bij de uitvoering van een andere taak van GGD HN;

• v.

  Register van verwerkingsactiviteiten: een document waarin verwerkingen van verzamelde persoonsgegevens worden bijgehouden. Bij GGD HN is dit Trustbound;

• w.

  Toestemming: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de (direct)betrokkene duidelijk verklaart akkoord te gaan met de verwerking van zijn of haar persoonsgegevens;

• x.

  Verwerking van persoonsgegevens: alle handelingen die GGD HN kan uitvoeren met persoonsgegevens. Hierbij kan het gaan om het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen van persoonsgegevens;

• y.

  Verwerkingsverantwoordelijke: de organisatie die als verantwoordelijke het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

• z.

  Verwerker: Een verwerker is een persoon/organisatie die geen deel uitmaakt van GGD HN, maar wel in ‘opdracht’ van GGD HN persoonsgegevens verwerkt;

• aa.

  Wettelijke vertegenwoordiger: de ouder(s) die het gezag uitoefen(t)en over de minderjarige, de voogd, de mentor of curator van personen vanaf 18 jaar die niet in staat zijn tot een redelijke waardering van hun belangen ter zake;

Artikel 2 Doel

Dit reglement heeft tot doel het kader vast te stellen waarbinnen de verschillende verwerkingen van persoonsgegevens binnen GGD HN op eenduidige en rechtmatige wijze plaatsvinden.

Artikel 2A Toepassingsgebied en verwerking van persoonsgegevens in het algemeen

• 1.

  Dit reglement is van toepassing op iedere verwerking van persoonsgegevens, waaronder personele gegevens, door GGD HN, (deels) geautomatiseerd en handmatig en opgenomen in een bestand of bedoeld om in een bestand te worden opgenomen.

• 2.

  Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt en alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. De doeleinden worden benoemd in het register van verwerkingsactiviteiten.

• 3.

  Persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar is met het doeleinde waarvoor ze zijn verkregen.

• 4.

  Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld, toereikend, ter zake dienend en niet bovenmatig zijn.

• 5.

  Elke verwerking van persoonsgegevens dient te berusten op ten minste één van de volgende gronden

  • a.

    toestemming van betrokkene;

  • b.

    noodzakelijkheid voor de uitvoering of voorbereiding van een overeenkomst;

  • c.

    het nakomen van een wettelijke verplichting;

  • d.

    noodzakelijkheid ter vrijwaring van vitale belangen (zoals een ernstig gevaar voor de gezondheid);

  • e.

    noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.

Artikel 3 Reikwijdte van het reglement

Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet-geautomatiseerde verwerking van persoonsgegevens die in een dossier zijn opgenomen of die bestemd zijn om daarin te worden opgenomen en die verband houden met de taken van GGD HN.

Artikel 4 Doel van de verwerking van persoonsgegevens

• 1.

  Voor de verwerking van persoonsgegevens door GGD HN gelden de volgende doelstellingen:

  • a.

    ondersteunen bij de uitvoering van de wettelijk opgedragen en contractueel overeengekomen taken van GGD HN;

  • b.

    ondersteunen en in stand houden van preventie, zorg en nazorg aan cliënten;

  • c.

    het financieel afhandelen van geboden zorg aan de cliënt met de cliënt dan wel met diens zorgverzekeraar;

  • d.

    het financieel afhandelen van deelname aan oefeningen en inzet bij grootschalig optreden en rampenbestrijding;

  • e.

    het kunnen beschikken over rechtmatig verkregen informatie ten behoeve van de bedrijfsvoering, onderscheidenlijk het uitvoering geven aan wettelijke taken;

  • f.

    uitvoeren of ondersteunen van wetenschappelijk onderzoek.

• 2.

  Persoonsgegevens zullen niet worden verwerkt voor andere doeleinden dan hierboven genoemd.

Artikel 5 Register van verwerkingsactiviteiten

• 1.

  De soort persoonsgegevens die worden verwerkt, de categorieën van betrokkenen en de wijze van verwerking, zijn opgenomen in het register van verwerkingsactiviteiten.

• 2.

  In het register van verwerkingsactiviteiten worden tenminste omschreven:

  • a.

    de categorieën van persoonsgegevens;

  • b.

    de verwerkingsverantwoordelijke;

  • c.

    de eventuele verwerker;

  • d.

    de wijze waarop de persoonsgegevens verwerkt worden;

  • e.

    de bewaartermijn;

  • f.

    de categorieën van personen of instanties waaraan persoonsgegevens worden verstrekt.

Artikel 6 Verwerkingsverantwoordelijke

• 1.

  GGD HN is als verwerkingsverantwoordelijke verantwoordelijk voor de naleving van dit reglement en voor alle wettelijke verplichtingen met betrekking tot de bescherming van de persoonsgegevens door GGD HN.

• 2.

  De verwerkingsverantwoordelijke treft voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen persoonsgegevens.

• 3.

  De verwerkingsverantwoordelijke ziet erop toe dat ten aanzien van de beveiliging van de persoonsgegevens tegen verlies of aantasting en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan, afdoende technische en organisatorische maatregelen worden genomen.

• 4.

  Er is een interne procedure aanwezig voor het afhandelen van beveiligings-/privacy incidenten.

• 5.

  De verwerkingsverantwoordelijke draagt er zorg voor dat datalekken worden gemeld bij de AP en zo nodig de betrokkenen en draagt er eveneens zorg voor dat medewerkers deugdelijk zijn geïnstrueerd over het intern melden van datalekken.

• 6.

  De verwerkersverantwoordelijke draagt de eindverantwoordelijkheid voor de in dit artikel beschreven verplichtingen. Deze eindverantwoordelijkheid laat onverlet de eigen verantwoordelijkheid van eenieder die op grond van dit reglement persoonsgegevens verwerkt voor een zorgvuldige en rechtmatige verwerking van persoonsgegevens, zoals beschreven in dit reglement.

Artikel 7 Verwerker

• 1.

  De taken, rechten en verplichtingen van de verwerker worden door de verwerkingsverantwoordelijke schriftelijk vastgelegd. Dit houdt in dat de verwerker in ieder geval een adequate geheimhoudingsplicht heeft en slechts toegang heeft tot, dan wel kennisneemt van persoonsgegevens voor zover dit strikt noodzakelijk is ten behoeve van door hem uit te voeren werkzaamheden.

• 2.

  De verwerker is voorts verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van onder andere de apparatuur en de programmatuur.

Artikel 8 Toegang tot persoonsgegevens

• 1.

  Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de persoonsgegevens de door de verwerkingsverantwoordelijke aangewezen medewerkers van GGD HN en de medewerker die deze persoonsgegevens verwerkt of diens waarnemer.

• 2.

  De verwerkingsverantwoordelijke heeft als zodanig geen toegang tot de persoonsgegevens.

Artikel 9 Informatieplicht

• 1.

  GGD HN informeert de betrokkene actief over de persoonsgegevens die worden verwerkt en met welk doel, wat er met de persoonsgegevens gebeurt en wie daarvoor verantwoordelijk is. De verwerkingsverantwoordelijke dient zich ervan te overtuigen dat betrokkene over deze informatie kan beschikken.

• 2.

  De verwerkingsverantwoordelijke informeert zo mogelijk betrokkene voorafgaand aan de verzameling van de persoonsgegevens of, indien de persoonsgegevens van derden afkomstig zijn, binnen een redelijke termijn, maar uiterlijk één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt.

Artikel 10 Verstrekking van persoonsgegevens

• 1.

  Om persoonsgegevens te verstrekken aan derden is de uitdrukkelijke (mondelinge of schriftelijke) toestemming van de betrokkene of diens vertegenwoordiger vereist.

• 2.

  Binnen GGD HN kunnen persoonsgegevens worden verstrekt zonder uitdrukkelijke toestemming als genoemd in het eerste lid, voor zover voor hun taakuitoefening noodzakelijk, aan:

  • a.

    degene (en diens vervanger) die rechtstreeks betrokken is bij de actuele zorg of bij de hulpverlening aan de betrokkene;

  • b.

    personen en instanties die tot taak hebben de verleende zorg of hulpverlening te controleren en te toetsen;

  • c.

    anderen, indien de gegevensverwerking noodzakelijk is vanwege een vitaal belang van de betrokkene;

  • d.

    ten behoeve van uitvoering van wet- en of regelgeving.

• 3.

  Buiten GGD HN kunnen, zonder uitdrukkelijke toestemming als genoemd in artikel 10.1, persoonsgegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk, aan:

  • a.

    degene die rechtstreeks betrokken is bij de actuele zorg of hulpverlening aan de betrokkene en tijdelijk of permanent de zorg overneemt, tenzij betrokkene een bezwaar ertegen heeft kenbaar gemaakt;

  • b.

    betrokken zorgverzekeraar (maar alleen die persoonsgegevens die noodzakelijk zijn vanwege de verplichtingen uit de verzekeringsovereenkomst);

  • c.

    andere personen en instanties, indien:

    • ➢

      de gegevensverwerking noodzakelijk is vanwege een vitaal belang van de cliënt of

    • ➢

      de gegevensverwerking noodzakelijk is voor de nakoming van een wettelijke plicht of

    • ➢

      de gegevensverwerking noodzakelijk is voor een gerechtelijke procedure.

• 4.

  Uitgangspunt bij het verstrekken van de persoonsgegevens is dat slechts de minimaal noodzakelijke persoonsgegevens worden uitgewisseld.

Artikel 11 Vertegenwoordiging

• 1.

  Indien persoonsgegevens worden verwerkt in het kader van verrichtingen vallend onder de Wet op de geneeskundige behandelingsovereenkomst gelden voor de toestemming van de betrokkene de volgende vereisten:

  • a.

    Een minderjarige die de leeftijd van 16 jaar heeft bereikt, is bekwaam tot het aangaan van een behandelingsovereenkomst ten behoeve van zichzelf.

  • b.

    Een cliënt heeft vanaf de leeftijd van 12 jaar een eigen privacyrecht in de zorg. Voor behandeling geldt dat cliënten van 12 tot en met 15 jaar samen met de gezaghebbende(n) besluiten over een behandeling. Indien een cliënt een andere mening heeft dan de gezaghebbende(n) beslist de cliënt zelf mits deze duidelijk kan verwoorden waarom hij/zij een behandeling al dan niet wil..

  • c.

    Cliënten van 16 jaar en ouder zijn zelfstandig bevoegd.

• 2.

  Indien persoonsgegevens worden verwerkt van de betrokkene die onder curatele is gesteld, of wanneer de betrokkene onder bewind of mentorschap is gesteld, en het een aangelegenheid betreft waarvoor de betrokkene onbekwaam dan wel onbevoegd is, dan treedt zijn wettelijk vertegenwoordiger in zijn plaats op.

• 3.

  De verwerkingsverantwoordelijke komt zijn uit wet- en regelgeving voortvloeiende verplichtingen jegens de vertegenwoordiger van de betrokkene na, tenzij die nakoming niet verenigbaar is met de zorg van een goede verwerkingsverantwoordelijke.

Artikel 12 Bewaartermijn

• 1.

  Met inachtneming van de wettelijke voorschriften stelt de verwerkingsverantwoordelijke vast hoelang de persoonsgegevens bewaard blijven.

• 2.

  Indien de bewaartermijn is verstreken, worden de desbetreffende persoonsgegevens verwijderd en vernietigd.

• 3.

  Vernietiging blijft achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, wanneer bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de beroepsbeoefenaar overeenstemming bestaat.

• 4.

  Persoonsgegevens die ten behoeve van epidemiologisch of ander onderzoek naar de volksgezondheid in het onderzoeks- bestand zijn opgenomen, worden zo spoedig mogelijk vernietigd nadat het (vervolg)onderzoek is afgerond.

Artikel 13 Verzoek betrokkene

• 1.

  De betrokkene heeft recht op inzage in, afschrift van en/of correctie, aanvulling of verwijdering van op hem betrekking hebbende verwerkte persoonsgegevens.

• 2.

  De betrokkene kan zich schriftelijk wenden tot de verwerkingsverantwoordelijke met een verzoek tot inzage in, afschrift van en/of correctie, aanvulling of verwijdering zoals genoemd in artikel 12.1.

• 3.

  De procedure voor het indienen van een verzoek is vermeld op de website van GGD HN. De verwerkingsverantwoordelijke reageert zo spoedig mogelijk, doch uiterlijk binnen vier weken na ontvangst, op het verzoek. Indien het verzoek (gedeeltelijk) wordt geweigerd reageert de verwerkingsverantwoordelijke schriftelijk en motiveert hij de (gedeeltelijke) afwijzing.

• 4.

  Indien het verzoek niet wordt gehonoreerd kan de betrokkene bezwaar aantekenen conform de Awb.

Artikel 14 Recht op inzage en afschrift

• 1.

  Het recht op inzage en afschrift kan door de verwerkingsverantwoordelijke worden beperkt op grond van zwaarwegende belangen in verband met de bescherming van de persoonlijke levenssfeer van een ander dan de betrokkene.

• 2.

  Op dit artikel is artikel 12.2, 12.3, 12.4 van overeenkomstige toepassing.

Artikel 15 Recht op correctie

• 1.

  De betrokkene heeft het recht de hem betreffende persoonsgegevens te laten corrigeren, aan te vullen, te verwijderen of af te schermen, indien deze persoonsgegevens feitelijk onjuist, onvolledig, dan wel voor het doel van de verwerking niet ter zake dienend zijn. Het verzoek bevat de aan te brengen wijzigingen.

• 2.

  De verwerkingsverantwoordelijke draagt er zorg voor dat een beslissing tot correctie, aanvulling, verwijdering of afscherming aan derden, aan wie de persoonsgegevens eerder zijn verstrekt, bekend wordt gemaakt.

• 3.

  Is betrokkene het niet eens met een verwerking zoals deze over hem is vastgelegd in het bestand, dan kan hij de verwerkingsverantwoordelijke verzoeken zijn eigen verklaring omtrent dit oordeel aan het bestand toe te voegen.

• 4.

  Op dit artikel is artikel 13.2, 13.3, 13.4 van overeenkomstige toepassing.

Artikel 16 Recht op vernietiging

• 1.

  Ondanks de bewaartermijnen zoals omschreven in artikel 11, vernietigt GGD HN de persoonsgegevens in het bestand binnen drie maanden nadat de betrokkene de verwerkingsverantwoordelijke daar schriftelijk om heeft verzocht tenzij:

  • a.

    redelijkerwijs aannemelijk is dat het bewaren van de persoonsgegevens van aanmerkelijk belang is voor een ander dan de betrokkene; of

  • b.

    vernietiging in strijd is met de wet.

  • c.

    of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

• 2.

  Op dit artikel is artikel 13.2, 13.3, 13.4 van overeenkomstige toepassing.

Artikel 17 Recht op bezwaar

De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens. Hij kan hiertoe schriftelijk een bezwaarschrift indienen bij GGD HN.

Artikel 18 Klachtenprocedure

• 1.

  Indien de betrokkene van mening is dat de bepalingen in dit reglement niet worden nageleefd of vanwege andere reden tot klagen, kan hij schriftelijk een klacht indienen bij GGD HN.

• 2.

  Betrokkenen hebben te allen tijde het recht een klacht in te dienen bij de AP.

Artikel 19 Functionaris Gegevensbescherming

• 1.

  Voor GGD HN is een FG aangewezen. De contactgegevens staan vermeld op de website van GGD HN.

• 2.

  Betrokkenen kunnen contact opnemen met de FG over alle aangelegenheden die verband houden met de verwerking van hun persoonsgegevens en de uitoefening van hun rechten.

Artikel 20 Citeertitel, inwerkingtreding en looptijd van het reglement

• 1.

  Dit reglement dan worden aangehaald als ‘Privacyreglement GGD Hollands Noorden’

• 2.

  Dit reglement treedt in werking op de dag na vaststelling door het dagelijks bestuur onder gelijktijdige intrekking van het Privacyreglement GGD HN zoals vastgesteld door het dagelijks bestuur op 16 mei 2018. .

• 3.

  Dit reglement is vastgesteld voor onbepaalde tijd.