Beleidsnotitie “Werken met en verwerken van gegevens”. Status: Beleidsnotitie Auteur Datum Datum vaststelling MT Datum vaststelling bestuurder Datum bespreking Centrale Verwantenraad Datum bespreking Cliëntenraad Datum bespreking Ondernemingsraad Datum bespreking Raad van Toezicht Datum evaluatie doelstelling Datum evaluatie beleid Gegevensverwerking T. Dries September 2011 n.v.t. n.v.t. n.v.t. n.v.t. Inhoud Inleiding ................................................................................................................................................... 3 1. Algemene beschrijving van uitgangspunten. ...................................................................................... 4 2. Aansluiten bij wet- en regelgeving ..................................................................................................... 5 3. Vaststellen van verantwoordelijken voor de verschillende gegevens................................................ 6 4. Informatie aan cliënten. ..................................................................................................................... 7 4a. Informatie aan medewerkers. .......................................................................................................... 7 5. Per groep medewerkers verantwoordelijkheden en taken vaststellen. ............................................ 8 2 Inleiding. Gegevensverwerking is een breed begrip We hebben te maken met verschillende soorten gegevens (persoonsgegevens, dossiers van cliënten en medewerkers, salarisgegevens, financiële gegevens van de organisatie) en verdere bedrijfsgegevens (denk hierbij aan bijvoorbeeld cijfers over het ziekteverzuim of het aantal zorgplannen dat gereed is). Daarbij hebben we te maken met verschillende wetten en regels. De Lichtenvoorde wenst nadrukkelijk te werken volgens deze wetten en regels. Voor het omgaan met persoonsgegevens is vooral de Wet Bescherming Persoonsgegevens (WBP) van belang. De Wet op de geneeskundige behandelovereenkomst (Wgbo) regelt veel zaken betreffende dossiervorming en informatieplicht. De Kaderregeling Administratieve Organisatie geeft aanwijzingen over productie en facturering binnen de AWBZ. Tenslotte worden ook door externe partijen (zorgkantoor, Inspectie Gezondheidszorg, belastingdienst) eisen gesteld aan het beschikbaar maken van gegevens. De notitie is als volgt opgebouwd: 1. Een algemene beschrijving van uitgangspunten. 2. Aansluiten bij wet- en regelgeving. 3. Vaststellen van verantwoordelijken voor de verschillende gegevens. 4. Informatie aan cliënten en medewerkers. 5. Per groep medewerkers verantwoordelijkheden en taken vaststellen. 3 1. Algemene beschrijving van uitgangspunten. Gegevens worden verzameld met een bepaald doel. Bij het omgaan met en verzamelen, verwerken en opslaan van gegevens is het van belang dat men zich daarvan bewust is. Zorgvuldigheid is bij gegevensverwerking van belang. Dat geldt niet alleen voor de juistheid van de gegevens, maar ook voor de manier waarop gegevens worden opgeslagen en verwerkt. Binnen De Lichtenvoorde wordt gewerkt met fysieke dossiers (mappen) en met digitale dossiers. Voor beide soorten dossiers is het belangrijk dat waarborgen worden ingebouwd voor bescherming. Voor fysieke dossiers zijn dat de afspraken over waar het dossier wordt bewaard, wie er toegang hebben tot het dossier, wie gegevens mogen toevoegen en verwijderen. Deze regels dienen strikt te worden toegepast. Zo is het meenemen van een dossier naar huis nimmer toegestaan. Voor digitale dossiers gelden dezelfde regels, maar daar is een en ander eenvoudiger te organiseren door het toekennen van rechten gekoppeld aan wachtwoorden. Door het steeds belangrijker worden van automatisering en het gebruik van informatietechnologie zal dit steeds aandacht vragen. Uiteraard is het hierbij van het grootste belang dat zorgvuldig wordt omgegaan met het gebruik van de wachtwoorden. Het verzenden van privacy gevoelige informatie per e-mail is een aandachtspunt. Hoewel ook bij verzending per post dingen mis kunnen gaan, lijkt e-mail nog minder betrouwbaar. Als gebruik wordt gemaakt van e-mail kunnen persoonlijke gegevens het best in een bijlage worden meegestuurd. De bijlage is gemakkelijk met een wachtwoord te beschermen (voor verdere informatie neem contact op met de netwerk- of applicatiebeheerder) Bij twijfel altijd de veiligste weg kiezen. 4 2. Aansluiten bij wet- en regelgeving. Voor het werken met persoonsgegevens (cliënten en medewerkers) is vooral de Wet Bescherming Persoonsgegevens (WBP) van belang. De regels uit die wet zijn te vinden op de website van het College Bescherming Persoonsgegevens (www.cbpweb.nl). Uitgangspunt van de WBP is dat persoonsgegevens voor een bepaald doel worden opgeslagen. Als dat doel niet meer bestaat dienen de persoonsgegevens zo snel mogelijk te worden verwijderd. In de WBP worden geen bewaartermijnen genoemd; er wordt wel verwezen naar andere wetten waarin wel bewaartermijnen worden genoemd, zoals het Burgerlijk Wetboek of de belastingwetgeving. Cliënten: Als zorgverlenende instelling is voor De Lichtenvoorde ook de Wet inzake de geneeskundige behandelovereenkomst (Wgbo) van belang (deze wet is onderdeel van het Burgerlijk Wetboek). Daarin zijn voor de cliëntdossiers aanvullende eisen gesteld, zoals een bewaartermijn van 15 jaar. Ook worden in de Wgbo aanvullende eisen gesteld aan de geheimhouding- en informatieplicht. Over dit laatste heeft de VGN een notitie geschreven: Medisch beroepsgeheim en verschoningsrecht in de gehandicaptenzorg. Medewerkers: Er worden voor dossiers van medewerkers geen bewaartermijnen genoemd. Volgens de belastingwetgeving moeten de fiscaal relevante gegevens van de werknemer gedurende 7 jaar na beëindiging van het dienstverband worden bewaard. Daarna moeten de gegevens zo spoedig mogelijk worden verwijderd. Van sollicitanten moeten alle gegevens verwijderd worden, uiterlijk vier weken na afloop van de sollicitatieprocedure, behalve natuurlijk als de sollicitant wordt aangesteld. Overigens kan de sollicitant toestemming geven om deze gegevens langer te bewaren. Voor de verwerking van persoonsgegevens is ook ons bestaande privacyreglement van belang. 5 3. Vaststellen van verantwoordelijken voor de verschillende gegevens. Voor het beheer van de verschillende gegevens zijn eindverantwoordelijke functionarissen aangesteld. De eindverantwoordelijken worden geacht: 1. Op de hoogte te zijn en blijven van wettelijke regels. 2. De uitvoerende werkzaamheden vast te leggen. 3. De uitvoering te controleren. In de diverse taak- en functiebeschrijvingen is hier al aandacht aan besteed. Eindverantwoordelijken: a. Gegevens cliënten: - Intake: accountmanager/zorgcoördinator. - Bij start dienstverlening: sectormanager/teammanager (uitvoering door bureausecretaresse en persoonlijk begeleider). - Na vertrek/overlijden cliënt: accountmanager/zorgcoördinator. b. Gegevens medewerkers: - Adviseur Personeelszaken (uitvoering door afdeling P&O) c. Overige gegevens - Manager Bedrijfsbureau (uitvoering Administratie). 6 4. Informatie aan cliënten. In de dienstverleningsovereenkomst is een verwijzing opgenomen naar het privacy reglement. Daarin is ook opgenomen dat persoonsgegevens onder voorwaarden ook aan andere personen en instanties kunnen worden doorgegeven. Het inzagerecht is in de dienstverleningsovereenkomst opgenomen. In de brochure “Voorwaarden Zorgovereenkomst” wordt in artikel 13 nader invulling gegeven over dossiervorming, geheimhouding en privacy. Daarin is onder andere vastgelegd dat De Lichtenvoorde het dossier na het beëindigen van de zorg- en dienstverleningsovereenkomst 15 jaar zal bewaren. 4a. Informatie aan medewerkers. Het privacy reglement lijkt in eerste oogopslag alleen te gelden voor cliënten. Voor zover van toepassing zijn de bepalingen in dit reglement ook van toepassing voor medewerkers (inclusief stagiaires en vrijwilligers). Tijdens de introductiebijeenkomsten voor nieuwe medewerkers wordt hieraan aandacht besteed. 7 5. Per groep medewerkers verantwoordelijkheden en taken vaststellen. In hoofdstuk 3 is vastgelegd dat het de taak is van de eindverantwoordelijke om per groep medewerkers de verantwoordelijkheden en taken op het gebied van gegevensverwerking vast te stellen. De grootste groep medewerkers die veel met gegevensverwerking van cliënten te maken heeft, wordt gevormd door de (persoonlijk) begeleiders. Voor deze groep zijn in deze notitie de verschillende taken en verantwoordelijkheden opgenomen. De sectormanager is formeel de beheerder van het dossier. Hij is verantwoordelijk voor het schonen van het dossier. Het fysieke dossier van de cliënt wordt bewaard in een afgesloten kast op het sectorbureau. (Persoonlijk) begeleiders hebben inzagerecht; het dossier verlaat in principe het sectorbureau niet. De persoonlijk begeleider bewaakt de inhoud van het dossier. Het verzenden van te ondertekenen en ontvangen van getekende zorgplannen is de taak van de bureausecretaresse (zie stroomschema zorgplannen in de task-manager). Zij zorgt ook voor het opbergen van het getekende zorgplan en vervolgens verwijdering (en vernietiging) van het oude zorgplan. De cliënt heeft een origineel getekend exemplaar van het zorgplan; de verwant/belangenbehartiger heeft een kopie. Als er sprake is van een cliënt die wilsonbekwaam is (cliënt is minderjarig of staat onder curatele of mentorschap) gaat het originele exemplaar naar degene die het zorgplan heeft ondertekend. Deze wettelijk vertegenwoordiger kan dus ouder, voogd, curator of mentor zijn. Eventuele uitzonderingen worden vastgelegd in het zorgplan. Het digitale dossier is te raadplegen via ONS zorgplan. De rechten zijn daarbij geregeld door de inlogcodes en de wachtwoorden. Met deze codes en wachtwoorden (die regelmatig worden vernieuwd) moet altijd zorgvuldig worden omgegaan. Alle vorige zorgplannen worden in ONS bewaard. Niet-digitale gegevens zoals identiteitsbewijs, testverslagen en dergelijke kunnen gescand worden en vervolgens in het digitale dossier worden opgeslagen. Bij vertrek van de cliënt naar een ander sector wordt het fysieke dossier door de sectormanager of teammanager overgebracht naar het sectorbureau van het nieuwe sector. Niet met de interne post, maar overhandigd. De medewerker managementinformatie wordt geïnformeerd en zorgt voor het aanpassen van de rechten in ONS. 8 Bij vertrek van een cliënt bij De Lichtenvoorde wordt het fysieke dossier geschoond en in overleg met de cliënt/belangenbehartiger ter hand gesteld aan de cliënt of, indien van toepassing, aan de nieuwe zorgverlener. Het digitale dossier wordt gearchiveerd en toegewezen aan het zorgloket. Bij overlijden van een cliënt wordt het fysieke dossier geschoond en ter hand gesteld aan de nabestaanden. Stellen die daar geen prijs op, dan wordt het fysieke dossier gearchiveerd door het zorgloket. Het digitale dossier wordt gearchiveerd en toegewezen aan het zorgloket. . 9