Add to collection(s) Add to saved
  1. Wetenschap
  2. Health Science
  3. Mental Health

Notitie “Werken met en verwerken van gegevens”

advertisement 
Beleidsnotitie
“Werken met en verwerken van gegevens”.
De Wet Bescherming Persoonsgegevens, omgaan met datalekken
Status:
Beleidsnotitie
Auteur
Datum
Datum vaststelling MT
Datum vaststelling bestuurder
Datum bespreking Centrale Verwantenraad
Datum bespreking Cliëntenraad
Datum bespreking Ondernemingsraad
Datum bespreking Raad van Toezicht
Datum evaluatie doelstelling
Datum evaluatie beleid
Gegevensverwerking
Henk van Driel
20 juni 2016
Inhoud
Inleiding
1.Algemene beschrijving van uitgangspunten
2.Aansluiting bij wet- en regelgeving
3.Vaststellen van verantwoordelijkheden voor de verschillende gegevens
4.Informatie aan cliënten
4a.Informatie aan medewerkers
5. Per groep medewerkers verantwoordelijkheden en taken vaststellen
Versie 7 juli 2016
3
4
6
8
9
9
10
2
Inleiding
Gegevensverwerking is een breed begrip. We hebben te maken met verschillende soorten
gegevens (persoonsgegevens, dossiers van cliënten en medewerkers, salarisgegevens,
financiële gegevens van de organisatie) en verdere bedrijfsgegevens (denk hierbij aan
bijvoorbeeld cijfers over het ziekteverzuim of het aantal zorgplannen dat gereed is).
Daarbij hebben we te maken met verschillende wetten en regels.
De Lichtenvoorde wenst nadrukkelijk te werken volgens deze wetten en regels (zie de nota
compliance).
Het wettelijk kader
Voor het omgaan met persoonsgegevens is vooral de Wet bescherming persoonsgegevens
(Wbp) van belang. Deze wet is recent nog aangepast onder andere met een paragraaf over
datalekken.
Op korte termijn zullen ook aanvullende Europese verordeningen van kracht zijn.
De Wet op de geneeskundige behandelovereenkomst (Wgbo) regelt veel zaken betreffende
dossiervorming en informatieplicht.
De Kaderregeling Administratieve Organisatie geeft aanwijzingen over productie en
facturering binnen de Wlz.
Tenslotte worden ook door externe partijen (zorgkantoren, Inspectie Gezondheidszorg,
belastingdienst, NZa) eisen gesteld aan het bewerken van gegevens.
De Wbp beoogt een zorgvuldige omgang met privacygevoelige informatie door de
organisaties die dergelijke data met een bepaald doel verzamelen en opslaan.
Voor De Lichtenvoorde betekent dat vooral het vastleggen van data over cliënten en
medewerkers. Deze data zijn noodzakelijk om uitvoering te geven aan de zorgtaken en goed
werkgeverschap.
In de wet wordt omschreven welke verzamelingen mogen worden aangelegd en hoe deze
moeten worden beheerd.
De wet beschrijft ook op welke wijze distributie van data moet plaatsvinden en op welke
wijze de privacy van de betrokken persoon of personen moet worden beschermd.
Datalekken
Datalekken (het onbevoegd inzage hebben in informatie die valt onder de Wet bescherming
persoonsgegevens) worden gemeld bij de Autoriteit Persoonsgegevens (AP).
Een ieder die binnen De Lichtenvoorde het vermoeden heeft van een datalek bij de bewerking
van cliëntgegevens of medewerkersgegevens, meldt dit aan de Privacyfunctionaris (lid van
het MT).
De Privacyfunctionaris draagt er zorg voor dat het datalek wordt opgeheven en indien nodig
wordt gemeld aan de AP.
Versie 7 juli 2016
3
1. Algemene beschrijving van uitgangspunten
Dataopslag intern
Gegevens worden verzameld met een bepaald doel. Bij het omgaan met en verzamelen,
verwerken en opslaan van gegevens is het van belang dat men zich daarvan bewust is.
Zorgvuldigheid is bij gegevensverwerking van belang. Dat geldt niet alleen voor de juistheid
van de gegevens, maar ook voor de manier waarop gegevens worden opgeslagen en verwerkt.
Binnen De Lichtenvoorde wordt nog beperkt gewerkt met fysieke dossiers (mappen) maar
vooral met digitale dossiers. Voor beide soorten dossiers is het belangrijk dat waarborgen
worden ingebouwd voor bescherming.
Voor fysieke dossiers zijn dat de afspraken over waar het dossier wordt bewaard, wie er
toegang hebben tot het dossier, wie gegevens mogen toevoegen en verwijderen.
Deze regels dienen strikt te worden toegepast.
Zo is het meenemen van een dossier (of delen ervan) naar huis nimmer toegestaan.
Voor digitale dossiers gelden dezelfde regels, maar daar is een en ander eenvoudiger te
organiseren door het toekennen van rechten, gekoppeld aan wachtwoorden. Door het steeds
belangrijker worden van automatisering en het gebruik van informatietechnologie zal dit
steeds aandacht vragen.
Uiteraard is het hierbij van het grootste belang dat zorgvuldig wordt omgegaan met het
gebruik van de wachtwoorden.
Van toenemend belang is de beveiliging van digitale opslag en verwerking.
Alleen werken met wachtwoorden volstaat niet meer.
Distributie van data dient beveiligd te zijn zodat geen datalek kan ontstaan.
Dataopslag bij derden
De gegevensopslag en distributie bij derden moet aan strenge regels voldoen.
Beveiliging van dataopslag en distributie van cliëntgegevens (het ECD van Nedap) is
geregeld en controleerbaar via een actuele bewerkersovereenkomst!
De informatie-uitwisseling tussen cliënt en verwant via de App Caren van Nedap is geregeld
via een overeenkomst tussen partijen!
De Lichtenvoorde draagt dan geen verantwoordelijkheid.
Beveiliging van dataopslag en distributie van cliëntgegevens (het ECD Jouw Omgeving) is
geregeld en controleerbaar via een actuele bewerkersovereenkomst!
Beveiliging van het cliëntvriendelijk zorgplan (Mijn Zorgplan) is nog in bewerking!
Beveiliging van het personeelssysteem SDB is geregeld in een bewerkersovereenkomst.
Gebruik van Procare (factuurcontrole) buiten Citrix is nog niet afdoende beveiligd via SMS
verificatie.
Uitwisseling van informatie (een logische verzameling van gegevens)
Bij de (digitale) uitwisseling van informatie uit dossiers aan anderen binnen de organisatie,
publieke organen, toezichthouders of andere zorginstellingen via Outlook worden om
identificatie te voorkomen slechts initialen, geslacht en geboortedatum vermeld.
De combinatie van naam, geslacht en burgerservicenummer is bij wet verboden tenzij van een
beveiligde omgeving gebruik gemaakt wordt.
Dit soort informatie wordt ook niet op andere wijze zoals via Whatsapp en dergelijke
uitgewisseld.
Een uitzondering wordt gevormd door het fysiek overdragen van informatie op papier tussen
bevoegde personen.
Versie 7 juli 2016
4
Verplichte rapportages aan externe organisaties
Cliëntgegevens naar het CBS;
De overdracht is beveiligd!
Verplichte rapportages aan externe toezichthouders, zorgkantoren en gemeenten;
Meldingen aan de IGZ zijn beveiligd!
Rapportages aan Menzis en Achmea lopen via beveiligde Vecozotoepassing!
Sommige rapportages aan gemeenten lopen via beveiligde Vecozotoepassing!
Sommige informatie-uitwisseling zoals bij beschikkingen en aanpassingen is door
gemeenten onvoldoende beveiligd!
Overige informatie-uitwisseling
Individuele medewerkers, waaronder zorgmedewerkers en zorgprofessionals, ontvangen of
verzenden soms vertrouwelijke informatie over cliënten naar derden binnen of buiten de
organisatie.
Om dit afdoende beveiligd te doen zijn er regels en procedures opgesteld.
Informatie uit een zorgdossier die bestemd is voor verwanten die beschikken over
internet
Verwanten van Wlz-cliënten kunnen gebruik maken van de APP Caren van Nedap.
Daarmee wordt een beveiligde verbinding aangelegd tussen de verwant en het ECD ONS.
De cliënt machtigt de verwant voor de toegang.
Familie van jongeren die gebruik maken van jeugdhulpverlening kunnen zelf thuis gebruik
maken van de beveiligde verbinding van Jouw Omgeving.
Informatie uit een zorgdossier die bestemd is voor verwanten die niet beschikken over
internet of er niet mee kunnen omgaan en het dossier niet fysiek kunnen ophalen
In het dossier wordt alleen de voornaam van de cliënt gemeld.
Achternaam, adres, woonplaats, geslacht en BSN worden uit het exemplaar verwijderd.
Dit exemplaar kan dan via de post worden verzonden. De betreffende verwant wordt vooraf
geïnformeerd.
Informatie uit een zorgdossier die bestemd is voor artsen, andere zorginstellingen,
zorgkantoren of gemeenten
De persoonlijk begeleider verzoekt het sectorsecretariaat om het betreffende dossier via een
beveiligde mail (encrypted PDF) te verzenden.
Zorgcoördinatoren en de medewerkers van Bureau Zorgexpertise kunnen zelfstandig
beveiligde data verzenden.
Overdracht van informatie aan derden buiten de organisatie in het kader van
persoonlijke informatie over personeelsleden (fiscus, banken, schuldeisers)
Werkgeversverklaringen of salarisstroken moeten persoonlijk door de betreffende
medewerker worden opgehaald.
De post is vanwege het privacygevoelige karakter van deze data niet geschikt.
Onbeveiligde data van derden ontvangen
Derden die onbeveiligde data naar De Lichtenvoorde opsturen dienen daarop te worden aangesproken
door de ontvanger of door een sectormanager.
Versie 7 juli 2016
5
2. Aansluiten bij wet- en regelgeving
Voor het werken met persoonsgegevens (cliënten en medewerkers) is vooral de Wet bescherming
persoonsgegevens (Wbp) van belang. De regels uit die wet zijn te vinden op de website van de
Autoriteit Persoonsgegevens. (www.autoriteitpersoonsgegevens.nl )
Uitgangspunt van de Wbp is dat persoonsgegevens voor een bepaald doel worden opgeslagen. Als dat
doel niet meer bestaat, dienen de persoonsgegevens zo snel mogelijk te worden verwijderd.
In de Wbp worden geen bewaartermijnen genoemd; er wordt wel verwezen naar andere wetten waarin
wel bewaartermijnen worden genoemd, zoals het Burgerlijk Wetboek of de belastingwetgeving.
Cliëntgegevens
De informatie die over cliënten in de ECD’s (elektronisch cliëntendossier) ONS, Mijn
Zorgplan en Jouw Omgeving is opgeslagen valt in zijn geheel onder de Wet bescherming
persoonsgegevens.
Dat betekent dat De Lichtenvoorde in ieder geval:
cliënten (en/of wettelijk vertegenwoordigers) inzage moet geven in hun eigen dossier
en hen correctiemogelijkheden moet geven
de bronnen en de gegevens zelf moet beschermen.
en ervoor zorgt dat de informatie alleen maar in het kader van zorg en begeleiding is vergaard
en opgeslagen.
Individueel gerichte informatie mag alleen gedeeld worden met cliënten en wettelijk
vertegenwoordigers, andere betrokken zorgverleners binnen de organisatie en zorgverleners
buiten de organisatie als zij onderdeel van het zorgproces uitmaken.
Slechts enkele publieke (en bevoegde) organen zoals ministeries, gemeenten en formele
toezichthouders mogen privacygevoelige informatie opvragen.
Als zorgverlenende instelling is voor De Lichtenvoorde ook de Wet inzake de geneeskundige
behandelovereenkomst (Wgbo) van belang (deze wet is onderdeel van het Burgerlijk
Wetboek).
Daarin zijn voor de cliëntdossiers aanvullende eisen gesteld, zoals een bewaartermijn van 15
jaar.
Ook worden in de Wgbo aanvullende eisen gesteld aan de geheimhouding- en
informatieplicht.
Medewerkersgegevens
De informatie die over medewerkers en vrijwilligers in SDB is opgeslagen valt in zijn geheel
onder de Wet bescherming persoonsgegevens.
Dat betekent dat De Lichtenvoorde in ieder geval:
medewerkers en vrijwilligers inzage moet geven in hun eigen dossier,
medewerkers en vrijwilligers correctiemogelijkheden moet geven,
de bronnen en de gegevens zelf moet beschermen.
en er voor zorgt dat de informatie altijd in het kader van goed werkgeverschap is vergaard en
opgeslagen.
Versie 7 juli 2016
6
Er worden voor dossiers van medewerkers geen bewaartermijnen genoemd.
Volgens de belastingwetgeving moeten de fiscaal relevante gegevens van de werknemer
gedurende 7 jaar na beëindiging van het dienstverband worden bewaard. Daarna moeten de
gegevens zo spoedig mogelijk worden verwijderd.
Van sollicitanten moeten alle gegevens verwijderd worden, uiterlijk vier weken na afloop van
de sollicitatieprocedure, behalve natuurlijk als de sollicitant wordt aangesteld. Overigens kan
de sollicitant toestemming geven om deze gegevens langer te bewaren.
NB.
Het valt te overwegen om de afspraken rond de omgang met persoonsgegevens in de
arbeidsovereenkomst van medewerkers op te nemen.
Versie 7 juli 2016
7
3. Vaststellen van verantwoordelijken voor de verschillende
gegevens
Voor het beheer van de verschillende gegevens zijn eindverantwoordelijke functionarissen
aangesteld.
De eindverantwoordelijken worden geacht:
1.
op de hoogte te zijn en blijven van wettelijke regels
2.
de uitvoerende werkzaamheden vast te leggen
3.
de uitvoering te controleren.
In de diverse taak- en functiebeschrijvingen is hier al aandacht aan besteed.
Eindverantwoordelijken:
a.
Gegevens cliënten:
- algemeen: de manager van Bureau Zorgexpertise in de rol van privacyfunctionaris
- intake: de zorgcoördinator van het zorgloket.
- bij start dienstverlening: de verantwoordelijke sectormanager samen met de
persoonlijk begeleider, persoonlijk begeleider behandeling of behandelcoördinator.
- na vertrek/overlijden cliënt: de zorgcoördinator van het zorgloket.
b.
Gegevens medewerkers:
Adviseur Personeelszaken (uitvoering door afdeling P&O) in de rol van
Privacyfunctionaris
-
c.
-
Overige gegevens
Manager Bedrijfsbureau (uitvoering Administratie).
Versie 7 juli 2016
8
4. Informatie aan cliënten
In de dienstverleningsovereenkomst is een verwijzing opgenomen naar het privacyreglement.
Dit privacyreglement is gescheiden van deze notitie opgesteld.
Daarin is ook opgenomen dat persoonsgegevens onder voorwaarden ook aan andere personen
en instanties kunnen worden doorgegeven.
Het inzagerecht is in de dienstverleningsovereenkomst opgenomen.
In de brochure “Voorwaarden Zorgovereenkomst” wordt in artikel 13 nader invulling gegeven
over dossiervorming, geheimhouding en privacy. Daarin is onder andere vastgelegd dat De
Lichtenvoorde het dossier na het beëindigen van de zorg- en dienstverleningsovereenkomst 15
jaar zal bewaren.
4a. Informatie aan medewerkers
Het privacyreglement lijkt in eerste oogopslag alleen te gelden voor cliënten.
Voor zover van toepassing zijn de bepalingen in dit reglement ook van toepassing voor
medewerkers (inclusief stagiaires en vrijwilligers).
Tijdens de introductiebijeenkomsten voor nieuwe medewerkers wordt hieraan aandacht
besteed.
Versie 7 juli 2016
9
5. Per groep medewerkers verantwoordelijkheden en taken
vaststellen
In hoofdstuk 3 is vastgelegd dat het de taak is van de eindverantwoordelijke om per groep
medewerkers de verantwoordelijkheden en taken op het gebied van gegevensverwerking vast
te stellen. De grootste groep medewerkers die veel met gegevensverwerking van cliënten te
maken heeft, wordt gevormd door de (persoonlijk) begeleiders (behandeling).
Voor deze groep zijn in deze notitie de verschillende taken en verantwoordelijkheden
opgenomen.
Opslag van gegevens
De manager van het Bureau Zorgexpertise is de (systeem)verantwoordelijk
privacyfunctionaris voor de opslag en verwerking van cliëntgegevens.
De sectormanagers zijn eindverantwoordelijk voor het beheer van het zorgdossier.
Zij zijn verantwoordelijk voor het bewaren en schonen van het dossier.
Het fysieke dossier van de cliënt wordt (zolang dit nog bestaat) bewaard in een afgesloten kast
op het sectorbureau.
Zorgcoördinatoren, (Persoonlijk) begeleiders (behandeling) en behandelcoördinatoren hebben
inzagerecht; het dossier verlaat in principe dit kantoor niet.
De persoonlijk begeleider bewaakt de inhoud van het dossier.
Het verzenden van te ondertekenen en ontvangen van getekende zorgplannen (onderdeel van
het zorgdossier) is de taak van de bureausecretaresses (zie stroomschema zorgplannen in de
task-manager). Zij zorgen ook voor het opbergen van het getekende zorgplan en vervolgens
verwijdering (en vernietiging) van het oude zorgplan en zorgdossier.
De cliënt heeft een origineel getekend exemplaar van het zorgplan; de
verwant/belangenbehartiger heeft een kopie.
Als er sprake is van een cliënt die wilsonbekwaam is, of de cliënt is minderjarig of staat onder
curatele of mentorschap, dan gaat het originele exemplaar naar degene die het zorgplan heeft
ondertekend. Deze wettelijk vertegenwoordiger kan dus ouder, voogd, curator of mentor zijn.
Eventuele uitzonderingen worden vastgelegd in het zorgdossier.
Het digitale dossier is te raadplegen via ONS zorgplan. De rechten zijn daarbij geregeld door
de inlogcodes en de wachtwoorden. Met deze codes en wachtwoorden (die regelmatig worden
vernieuwd) moet altijd zorgvuldig worden omgegaan.
Alle vorige zorgplannen worden in ONS bewaard.
Niet-digitale gegevens zoals identiteitsbewijs, testverslagen en dergelijke zijn gescand en in
het digitale dossier opgeslagen.
Versie 7 juli 2016
10
Bewerking van gegevens
Bij de overdracht van gegevens of de bewerking van gegevens moet uiterst zorgvuldig
worden omgegaan met de systemen, de gebruikte hardware en de gegevens zelf om
datalekken te voorkomen.
Om datalekken te voorkomen zijn er een aantal regels:
Tijdens de bewerking binnen de organisatie (kantoren en voorzieningen) kunnen
alleen bevoegde personen in een beveiligde omgeving (Citrix) toegang hebben tot een
aantal dossiers en bewerkingen uitvoeren.
Passwords worden regelmatig ververst en worden niet overgedragen aan onbevoegden.
Ambulante medewerkers hebben de beschikking over een beveiligd digitaal tablet dat
onder controle van de afdeling IT staat en niet anders gebruikt kan worden.
Deze medewerkers zijn ervoor verantwoordelijk dat niemand anders van dit tablet
gebruik maakt.
Diefstal of verlies moet direct worden gemeld aan de afdeling IT.
Medewerkers die vanwege hun participatie in de calamiteitendienst (bestuurder,
managers psychologen) thuis met behulp van SMS-verificatie in hun eigen computer
dossiers kunnen inlezen, dienen zelf deze computers afdoende te beveiligen en er zorg
voor te dragen dat geen onbevoegden toegang hebben.
-
Sommige verwanten kunnen er met instemming van de cliënt voor kiezen om
informatie uit het dossier in te lezen via de app Caren van Nedap.
Zij tekenen ervoor dat zij deze informatie en de toegang via de app niet zonder
toestemming van de cliënt aan derden overdragen. Een datalek dat ontstaat tussen
cliënt en verwant is niet de verantwoordelijkheid van De Lichtenvoorde.
Bij het afsluiten van de relatie
Bij vertrek van een cliënt bij De Lichtenvoorde wordt het fysieke dossier geschoond en in
overleg met de cliënt/belangenbehartiger ter hand gesteld aan de cliënt of, indien van
toepassing, aan de nieuwe zorgverlener.
Het digitale dossier wordt gearchiveerd en toegewezen aan het zorgloket.
Bij overlijden van een cliënt wordt het fysieke dossier geschoond en ter hand gesteld aan de
nabestaanden. Stellen die daar geen prijs op, dan wordt het fysieke dossier gearchiveerd door
het zorgloket.
Het digitale dossier wordt gearchiveerd en toegewezen aan het zorgloket.
Versie 7 juli 2016
11
Related documents
Beleidsnotitie “Werken met en verwerken van gegevens”.
Beleidsnotitie “Werken met en verwerken van gegevens”.
Information Ethics
Information Ethics
1.1. Vastleggen en verwerking van gegevens 1.2
1.1. Vastleggen en verwerking van gegevens 1.2
Modelbrief uitoefening recht van verzet
Modelbrief uitoefening recht van verzet
Privacy- en cookiebeleid Witte
Privacy- en cookiebeleid Witte
Jouw privacy en persoonlijke gegevens Wij delen
Jouw privacy en persoonlijke gegevens Wij delen
VriezenFijn
VriezenFijn
TichelaarADadvies Privacy reglement TichelaarADadvies heeft een
TichelaarADadvies Privacy reglement TichelaarADadvies heeft een
European Commission
European Commission
Bijlage 3 - RP - Controledienst voor de ziekenfondsen
Bijlage 3 - RP - Controledienst voor de ziekenfondsen
Privacy beleid - De beste Fleurop bloemist
Privacy beleid - De beste Fleurop bloemist
kinderen en jongeren met een licht verstandelijke beperking én
kinderen en jongeren met een licht verstandelijke beperking én
Download
advertisement