Privacy - WZC Van Lierde

BELEIDSTEKST GEGEVENSBESCHERMING 9.0

Het beleid voor gegevensbescherming binnen het WZC

Voor het Woonzorgcentrum (WZC) is het beschermen van de persoonlijke levenssfeer een belangrijk strategisch doel en tevens een wettelijke verplichting die het WZC hoog in het vaandel draagt.

Met deze beleidstekst willen we toelichten op welke manier we de rechten en vrijheden van de betrokkenen, zijnde bewoners, medewerkers en alle andere personen die actief of aanwezig zijn binnen het WZC vrijwaren wanneer we persoonsgegevens verwerken, zowel op papier als in de digitale informatieomgeving.

We besteden hierbij aandacht aan meer risicovolle verwerkingen van persoonsgegevens, zoals het verwerken van gezondheidsgegevens van bewoners en het uitwisselen van deze gegevens met andere actoren. We hebben oog voor het verwerken van persoonsgegevens van personeelsleden, huisartsen en andere actoren binnen het WZC.

We willen duidelijke doelstellingen formuleren, waarbij we ons laten inspireren door het wetgevend kader, meer in het bijzonder verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Hoewel deze verordening het algemene kader schept voor de verwerking van persoonsgegevens, hebben we ook oog voor andere relevante wetgeving zoals de wet op de patiënten-rechten.

We lichten toe hoe de gegevensbescherming binnen het WZC wordt georganiseerd en gaan daarbij in op alle verantwoordelijkheden die gepaard gaan met de uitvoering van het beleid voor gegevensbescherming.

Het beleid voor gegevensbescherming wordt in deze eerste fase op 25 mei 2018, de datum waarop de verordening 2016/679 van kracht is geworden, geïmplementeerd aan de hand van een plan van aanpak. Na de implementatie zal dit beleid verder worden opgevolgd en geëvalueerd via permanente controles en verbeterplannen.

Na 25 mei 2018 zal deze beleidstekst bij wijzigingen periodiek opnieuw ter goedkeuring voorgelegd worden aan de raad van bestuur van het WZC. Daartoe toetsen we de nieuwe regelgevende kaders af en op korte termijn hebben we oog voor de ePrivacy verordening en de richtlijn voor de beveiliging van informatienetwerken en -systemen.

Het toepassingsgebied van het beleid gegevensbescherming

Het beleid is van toepassing op alle persoonsgegevens die het WZC verwerkt. We verstaan hieronder niet alleen de gegevens van bewoners, maar ook van interne en externe medewerkers, al dan niet in dienstverband. Het beleid is van toepassing op alle verwerkingsdoelen met betrekking tot het verblijf en de zorg van bewoners, rapporteringen, de administratie van medewerkers, financiële gegevens, kwaliteitscontroles en risicobeoordelingen.

Deze beleidstekst is geschreven voor iedereen die in opdracht van het WZC persoonsgegevens verwerkt. Voor de directie, het management, de personeelsleden, de huisartsen en elke externe medewerker of dienstenverstrekker. Deze tekst wordt via verschillende kanalen uitgedragen en gepubliceerd, waaronder via de website van het WZC

Het beleid gegevensbescherming is voor het WZC het uitgangspunt in haar samenwerking met andere WZC binnen de Groep Soldium, met zorginstellingen en -verstrekkers. De functionaris voor gegevensbescherming waakt erover dat de principes van het veiligheidsbeleid worden toegepast in alle samenwerkingsverbanden die het WZC opzet.

De wettelijke beleidsdoelstellingen inzake de gegevensbescherming

Een kwaliteitsvol verblijf en zorg voor de bewoner is een topprioriteit voor het WZC. Een belangrijk aspect hierbij is een kwaliteitsvolle verwerking van persoonsgegevens. De Directie en de Raad van Bestuur van het WZC streeft aan de hand van dit beleid na dat de rechten en vrijheden van eenieder gevrijwaard zijn bij elke gegevensverwerking. Het uitschrijven van dit beleid omkadert de doelstelling correct om te gaan met persoonsgegevens. Het bepaalt de beleidsdoelstellingen en vormt een cultuur van gegevensverwerking met respect voor ieders rechten en vrijheden:

Het WZC incorporeert een gegevensbescherming volgens de begrippen ‘privacy by design’ en ‘privacy by default’. Dit betekent dat het WZC reeds bij het ontwerp van een bedrijfsproces de nodige maatregelen inzake gegevensbescherming incorporeert inzake de hoeveelheid, bewaartermijn en toegankelijkheid.
Het WZC biedt transparantie inzake de verwerkte persoonsgegevens en inzake de verwerkingsdoelen en dit zowel naar de betrokkene, als naar de Gegevensbeschermingsautoriteit (GBA) toe. De communicatie is eerlijk, eenvoudig toegankelijk, begrijpelijk en van toepassing bij de uitwisseling van persoonsgegevens.

Het WZC verwerkt enkel de gegevens die relevant zijn voor het uitvoeren van de taken. Elke taak waarbij persoonsgegevens worden verwerkt, is rechtmatig. Dit betekent dat de verwerking in overeenstemming is met de wettelijke en statutaire doelen van het WZC. Dit wordt geëvalueerd bij elk nieuw verwerkingsdoel.
Het WZC verwerkt enkel de persoonsgegevens die strikt noodzakelijk zijn voor de uitvoering van de taken en zal er in het kader van haar contractuele zorgverplichting ten aanzien van de bewoner op toekijken dat alle noodzakelijke informatie, doch geen overmatige of onnodige informatie verzameld wordt.

Het WZC kijkt toe op de integriteit van de persoonsgegevens gedurende de ganse verwerkingscyclus. Dit betekent dat het WZC erover waakt dat de gegevens naar correctheid worden verzameld en bewaard. De betrokkene heeft daarbij mede de plicht om het WZC tijdig de correcte informatie over te maken.

Het WZC bewaart gegevens niet langer dan noodzakelijk. De noodzakelijkheid is afgetoetst tegenover de wettelijke verplichtingen, de doelmatigheid en de rechten en vrijheden van de betrokkene. Vaak zijn er wettelijk opgelegde bewaartermijnen waarmee het WZC verplicht rekening behoort te houden.

Het WZC doet alle mogelijke inspanningen tot het voorkomen van inbreuken die tot stand kunnen komen bij de gegevensverwerking en neemt daartoe passende, technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op de risico’s. Inbreuken worden gerapporteerd.

Het WZC doet alle nodige inspanningen om alle rechten van de betrokkene, zoals het recht op inzage, afschrift, verbetering, schrapping, overdracht en staking of beperking van de verwerking uit te voeren. Het WZC waakt over de beperkingen die hierop van toepassing zijn zoals de wettelijke bewaartermijnen.

Het WZC kijkt er actief op toe dat bij het verwerken van de persoonsgegevens voor een welbepaald doel, de rechten en vrijheden van de betrokkene gevrijwaard blijven en doet alle nodige inspanningen om de wettelijke kaders ter zake na te leven Het WZC aligneert zich volledig naar de gedragscode van Zorgnet.

Het WZC komt haar wettelijke verantwoordingsplicht na via een permanent intern toezicht en controle en maakt haar plicht inzake ‘accountability’ zichtbaar door een ruime en klare documentatie. Het WZC is immers verplicht om zelf aan te tonen dat zij haar plichten in het kader van de AVG nakomt.

Het WZC beoogt de toepassing van de beleidsdoelstellingen niet alleen in het eigen woonzorgcentrum, maar tracht de geldende principes ook te extrapoleren naar het woonzorgnetwerk. Dit is de ruime omgeving van actoren zoals dienstverleners, diverse overheden, ziekenhuizen, mutualiteiten die rond het WZC een netwerk vormen. Het WZC ziet toe op de impact van de samenwerking en de verantwoordelijkheid over de gegevensverwerking. Hierbij wordt het beslissingscentrum over het verwerken van persoonsgegevens als leidraad gebruikt. Het WZC zal haar Goede Huisvaderprincipes ook toepassen op de leden van het netwerk en daartoe overleggen inzake de beleidsdoeleinden.

Een concreet wettelijk stappenplan ondersteunt de gegevensbescherming

Volgende stappen worden ondernomen door de Directie tot uitvoering van het beleid inzake gegevensbescherming conform de AVG waarbij bij elke stap nauwgezet het advies van de Data Protection Officer wordt ingewonnen.

Een Data Protection Audit wordt volbracht waarbij alle concrete gegevensverwerkingsactiviteiten of gegevensstromen binnen het WZC in kaart worden gebracht. Daarbij wordt de keten van verwerkingen opgetekend van bij het binnenkomen van de persoonsgegevens tot deze gebeurlijk via ontvangers het WZC verlaten. Telkenmale een nieuw bedrijfsproces binnen het WZC wordt geïnstalleerd, zal een veilige en correcte verwerking van gegevens geïntroduceerd worden bij het ontwerp van de verwerkingsactiviteit.

Binnen het huis worden alle bewoners en alle categorieën van medewerkers, gaande van werknemers tot vrijwilligers, externe consultants en bestuurders een op maat opgesteld privacyreglement voorgelegd voor ondertekening. Dit reglement biedt een transparantie inzake de verwerking van hun persoonsgegevens en omschrijft op welke wijze zij hun rechten ter zake kunnen uitoefenen. Dit reglement bevat ook de privacy-gedragscode waaraan de medewerker zich behoort te houden wat betreft de gegevens van anderen.

Met alle leveranciers ten behoeve van het WZC worden er verwerkersovereenkomsten afgesloten omdat het WZC zich behoort te verzekeren dat de persoonsgegevens die het WZC verlaten bij die leveranciers dezelfde beschermingsmaatregelen genieten als deze die gangbaar zijn binnen het WZC. Het WZC maakt bovendien met alle gezamenlijke verwerkingsverantwoordelijke ontvangers afspraken om de transparantie naar de betrokkene toe te waarborgen en in geval van datalekken snel en accuraat te kunnen reageren.

Op basis van de Data Protection Audit en de geattesteerde veiligheidsmaatregelen die aangeleverd worden door de verwerkers wordt vervolgens een Data Protection Impact Assessment gerealiseerd i.h.b. wat betreft de gevoelige gegevens die binnen het WZC vnl. medische-, sociale- en gezondheidsgegevens van de betrokkenen betreffen. Deze DPIA heeft de doelstelling maatregelen te produceren tot extra beveiliging van de gegevensverwerking ter zake. Elke innovatieve reorganisatie kan een nieuwe DPIA verlangen.

In het Data-Protection Register wordt in het kader van bepaalde verwerkingsdoeleinden opgenomen welke categorieën van persoonsgegevens verwerkt en overgemaakt worden aan welke categorie van ontvangers waarbij de verwerkingsgrond, de bewaartermijn en de technische en organisatorische maatregelen inzake de bescherming worden vermeld. Dit Register ligt ter inzage voor de GBA. Bij de totstandkoming van het register wordt advies ingewonnen bij de DPO en het register wordt aangevuld bij elke evolutie of wijziging.

Er wordt een datalekprocedure opgesteld die in staat is binnen een bijzonder krap schema van 72u na detectie een aanmelding bij de GBA te bewerkstelligen wanneer de zwaarwichtigheid van het datalek dit vereist. Een melding naar de betrokkene toe moet tot stand kunnen komen en de middelen moeten er zijn om het datalek te herstellen en/of in te perken zodat de schade minimaal verwordt. Met de verwerkers worden afspraken gemaakt opdat een datalek binnen hun perimeter dezelfde garanties kan genieten.

Binnen het WZC wordt een bewustwordingsproces tot stand gebracht via informatiemomenten evenals via een opleidingsparcours waardoor de verantwoordelijke functies volledig betrokken worden bij het AVG-gebeuren en waarbij via een top-down stramien het belang van de gegevensbescherming kan doordringen binnen alle echelons van medewerkers binnen het WZC. Daarbij wordt de DPO ten volle ingeschakeld voor advies en opleiding. Doelstelling is een diepgaande GDPR-verankering binnen de organisatie te bereiken.

De documentatie vormt het sluitstuk inzake de aantoonbare inspanningen en realiseringen dat het WZC zich getroost heeft om zich een GDPR-conforme status aan te meten. De neerslag van de implementatie van alle voorgaande stappen zullen samengebundeld worden in een documentatiemap waarmee de GDPR-conformiteit van het WZC bij eender welke controle haarfijn kan worden aangetoond. Daarbij hoort ook het Plan van Aanpak dat de leidraad en handleiding vormt van het GDPR-gebeuren binnen het WZC.

Alle voorgaande stappen zijn gezet waarbij het WZC met vereende inspanningen een status heeft bereikt van AVG-conformiteit. Daarmee voldoet het WZC aan haar ambitie om een totale woonzorgkwaliteit aan de bewoner aan te bieden en de medewerkers een werkplek aan te bieden waar ieder zich ten volle gerespecteerd kan voelen.

De verantwoordelijkheid bij de uitvoering van het wettelijk stappenplan

De verantwoordelijkheid inzake de verwerking van persoonsgegevens en de uitvoering van de wettelijke plichten ter zake ligt bij de raad van bestuur. Deze laatste kan daarbij beroep doen op het advies van de functionaris voor de gegevensbescherming of DPO. Elke beoordeling van risico’s vindt plaats onder verantwoordelijkheid van de raad van bestuur die eindverantwoordelijk is voor alle verplichtingen uit hoofde van de wet- en regelgeving ter zake de AVG. Hiervoor delegeert de raad van bestuur een aantal taken zoals hieronder opgesomd.

De verwerking van persoonsgegevens in het algemeen:

Het beleid voor gegevensbescherming doet geen enkele afbreuk aan de wettelijke verplichtingen die de algemeen directeur en de verantwoordelijke diensthoofden hebben met het oog op de toepassing van de AVG. De algemeen directeur wordt aanzien als lasthebber van het WZC dat optreedt als verwerkingsverantwoordelijke. De taak van de algemeen directeur inzake het toepassen van de rechten van betrokkenen is opgenomen in de privacyreglementen. De algemeen directeur stimuleert de correcte omgang met persoonsgegevens bij de diverse diensten van het WZC en neemt de aspecten van gegevensbescherming mee in de evaluatie en het opleidingstraject van medewerkers. Voor elk bedrijfsproces dat gedigitaliseerd wordt of waarbij innoverende technologieën worden gebruikt wordt de DPO geconsulteerd waarbij het ontwerp van bij de aanvang inherent de gegevensbescherming zal waarborgen.

Het toezicht op de gezondheids- en sociale gegevens:

Bij de uitvoering van het beleid voor gegevensbescherming krijgt de algemeen directeur de taak toegewezen, om in relatie met de bijhorende woonzorgprocessen, bedrijfsprocessen en evaluatieprocessen inzake risicobeheer en veiligheid, inzake de gevoelige gegevens van de betrokkenen een Data Protection Impact Assessment (DPIA) op te maken en dit telkens te herhalen bij de introductie van nieuwe processen. Dit leidt tot specifieke technische en/of organisatorische maatregelen die een gegevensbescherming door ontwerp en door standaardinstellingen voorstaat.

De verantwoordelijke bewonerszorg en de hoofdverpleegkundigen of diensthoofden zien permanent en nauwgezet toe op de gegevensbescherming van gezondheidsgegevens van de betrokkenen. Bij belangrijke wijzigingen, zowel op technologisch vlak als op niveau van de verwerking zelf, assisteren deze verantwoordelijken bij het uitvoeren van de Data Protection Impact Assessment. Voor de toepassing van de rechten van betrokkenen en i.h.b. inzake de gezondheidsgegevens, assisteert de verantwoordelijke bewonerszorg bij het uitwerken van de beleidslijnen.

De sociale dienst, onder verantwoordelijkheid van de opnameverantwoordelijke, krijgt inzake de bescherming van sociale gegevens dezelfde respectievelijke opdrachten. De sociale dienst heeft ook bijzondere aandacht voor de verwerking van persoonsgegevens op basis van de toestemming, evenals voor de verwerking van gegevens van derden en voor de uitwisseling van persoonsgegevens met actoren in de sociale dienstverlening.

Het toezicht op de administratieve en financiële gegevens:

Onder verantwoordelijkheid van de algemeen directeur zullen de sociale en administratieve diensten toezien dat de rechten en de vrijheden van de betrokkene bij de verwerking van de persoonsgegevens gewaarborgd blijven. Deze rechten betreffen de toegang tot zorg, het recht op zorg en de verzekerbaarheid. De vermelde diensten zullen strikt toekijken op de uitwisseling van persoonsgegevens met de overheid, de mutualiteiten en de ziekenhuizen. De informatieveiligheid krijgt hier een centrale plaats in samenspraak met de veiligheidsconsulent en de DPO.

Het toezicht op de persoonsgegevens van de medewerkers:

De algemeen directeur heeft de verantwoordelijkheid om de verplichtingen in het kader van het beleid omtrent de gegevensbescherming te vertalen naar het arbeidsreglement, de privacyreglementen en de evaluaties en controles. De verantwoordelijke bewonerszorg, de hoofdverpleegkundigen en de diensthoofden bewaken de bescherming van de persoonsgegevens van de medewerkers op nauwgezette wijze en zullen elk nieuw bedrijfsproces in overleg met de algemeen directeur en de DPO ontwerpen met een inherente bescherming van de persoonsgegevens.

De verantwoordelijke personeelsadministratie zal inzake verwerkingsprocessen waarbij de persoonsgegevens van medewerkers worden verwerkt het beschreven beleid nauwgezet toepassen. Daarbij zal veel aandacht gaan naar de correcte uitwisseling van de persoonsgegevens met verwerkers en andere verwerkingsverantwoordelijken zoals het sociaal secretariaat, verzekeringsmaatschappijen en overheden. Het algemeen toezicht op de verwerkers wat betreft informatieveiligheid wordt waargenomen door de veiligheidsconsulent en de DPO.

De aanstelling van een Data Protection Officer (DPO)

Het WZC stelt in het kader van de AVG als Data Protection Officer aan het advocatenkantoor Marc Bellemans BVBA met ondernemingsnummer 0882.352.580 en gevestigd te 1080 Sint-Jans-Molenbeek, Sonatinestraat 94. Ter zake zal Mr. Marc BELLEMANS in persoon bereikbaar zijn via het e-mailadres Marc.Bellemans@live.be

De Raad Van Bestuur van het WZC mandateert de directie tot benoeming van de DPO die in volle onafhankelijkheid zijn diensten ter plaatste het WZC zal vervullen. De taken van de DPO luiden conform de AVG als volgt:

De DPO informeert en adviseert het WZC, in de hoedanigheid van verwerkingsverantwoordelijke, evenals de medewerkers die bij de verwerking van de persoonsgegevens actief zijn, inzake de verplichtingen die de AVG hen oplegt met betrekking tot de verwerking van persoonsgegevens

De DPO ziet toe op de naleving van de AVG evenals op het beleid inzake gegevensbescherming dat het WZC in haar hoedanigheid van verwerkingsverantwoordelijke ontwikkeld heeft. Hier ziet de DPO toe op de toewijzing van verantwoordelijkheden, de bewustwording en de opleiding van medewerkers die verwerken

De DPO fungeert als permanent aanspreekpunt voor alle betrokkenen die binnen het WZC aanwezig zijn als bewoner, medewerker of andere en dit omtrent alle aspecten die de verwerking van persoonsgegevens aangaat. De DPO verstrekt toelichting over de uitoefening van de rechten ter zake door betrokkenen.

De DPO verstrekt advies bij elke Data Protection Impact Assessment (DPIA) dat door de Raad van Bestuur of de Directie wordt uitgevoerd. Ter zake zal de DPO telkenmale betrokken worden bij het ontwerp of de installatie van nieuwe bedrijfsprocessen of technologische of digitale vernieuwingen of innovaties.

De DPO is de contactpersoon van de Gegevensbeschermingsautoriteit (GBA) en zal samenwerken met de GBA, telkens er zich een aangelegenheid voordoet. De DPO zal voor advies ingeschakeld worden wanneer een datalek dreigt of zich effectief voordoet. Hij kan data-lekken aan de GBA melden indien aangewezen.

De DPO kan wanneer dit door de betrokkene gewenst is onafhankelijk en bemiddelend optreden naar aanleiding van de klachtneerlegging ten aanzien van het WZC aangaande de verwerking van zijn of haar persoonsgegevens. De betrokkene kan een bewoner, een medewerker of een derde betreffen.

De DPO speelt in het verhaal van de AVG een ruime rol. De Raad van Bestuur en de Directie hebben de touwtjes in handen. De Raad van Bestuur draagt de verantwoordelijkheid en de Directie voert het beleid uit. De DPO biedt daarbij advies vanuit zijn onafhankelijke positie waarbij hij alle bedrijfsprocessen aanschouwt door een AVG-bril.

Het algemene privacyreglement binnen het WZC

Het WZC is verantwoordelijk voor de verwerking van de persoonsgegevens van alle betrokkenen die zich binnen het huis bevinden. Dat zijn de bewoners die een verblijf genieten in het Rust- en Verzorgingstehuis, in Kortverblijf, in het Dagverzorgingscentrum of in een Service Residentie. Dat zijn alle categorieën van medewerkers die met een regelmaat binnen het huis werkzaam zijn of diensten verlenen ten behoeve van het WZC of de bewoners. Dit zijn werknemers, stagiair(e)s, jobstudenten, uitzendkrachten, zelfstandigen, vrijwilligers en alle externe medewerkers.

Bij de opname in het WZC zullen een aantal gegevens die betrekking hebben op de persoon van de bewoner benut of verwerkt worden. Dit laat het WZC toe de inschrijving te realiseren en het verblijf af te stemmen op maat van de behoeften, wensen en verzorging van de bewoner. Alles zal in het werk worden gesteld om de bewoner een verblijf aan te bieden waarbij zijn of haar gezondheid zal worden opgevolgd Op dezelfde wijze zal de indiensttreding van de medewerker binnen het WZC noodzakelijkerwijze leiden tot de verwerking van persoonsgegevens in het kader van de uitvoering van de arbeids- of samenwerkingsovereenkomst.

Cruciaal in het kader van de AVG is de plicht in hoofde van het WZC om de betrokkenen transparantie te bieden inzake de verwerkingen die hun persoonsgegevens binnen het WZC zullen ondergaan. Dat recht op transparantie moet de betrokkene aangeboden worden op een zo vroeg mogelijk tijdstip in principe voorafgaand aan elke vorm van verwerking. In dat kader is de website van het WZC een uitermate nuttig vehikel om mensen te informeren.

Bij de eerste intrede van de bewoner of de medewerker binnen het WZC zal een privacyreglement op maat per categorie van betrokkene ter ondertekening voor akkoord worden voorgelegd. Dit individuele privacyreglement informeert de betrokkene over de wijze waarop zijn of haar persoonsgegevens binnen het WZC verwerkt worden, evenals welke rechten de betrokkene uit kan oefenen ten aanzien van voormelde verwerkingen. Tegelijk bevat dit reglement de privacy-gedragscode die elke medewerker behoort na te leven ten aanzien van de persoonsgegevens van de bewoners en andere medewerkers waarvan de betrokkene binnen het WZC kennis kan krijgen.

Klaar is dat er binnen het WZC ook persoonsgegevens van familie, vertrouwenspersonen, bezoekers en kennissen van de bewoner verwerkt kunnen worden. Deze gegevens zullen eenzelfde bescherming en respect genieten dat vervat is in de principes van het privacyreglement voor de bewoner dat ook op hen van toepassing is.

In het geval dat de bewoner niet in staat is zijn persoonsgegevens zelf te verstrekken, zal in zijn of haar belang de gegevens verkregen worden via de vertrouwenspersonen, de familieleden, de huisarts of het ziekenhuis. Vaak zullen sociale-, gezondheids- en medische gegevens overgemaakt worden via de sociale dienst van het ziekenhuis.

De persoonsgegevens van de bewoners: verwerkingsdoeleinden en rechtsgronden

Bij de intrede en het verblijf van de bewoner worden binnen het WZC heel wat gegevens verzameld en verwerkt ten einde een verblijf op maat aan te bieden waarbij de zorgtaken omtrent de gezondheid van de bewoner een belangrijk aspect uitmaakt. Op die wijze worden identificatie-, financiële en administratieve gegevens verzameld met betrekking tot opname en facturatie, evenals gegevens die betrekking hebben op de sociale situatie, het medicatiegebruik, de gezondheid en de medische toestand van de bewoner.

De huisarts van de bewoner blijft de centrale persoon die verantwoordelijk is voor de medische gegevens die ten behoeve van hemzelf, een vervangende arts of de coördinerend raadgevend arts (CRA) bewaard en geraadpleegd wordt binnen het WZC. Om die reden is er sprake van een gezamenlijke verwerkingsverantwoordelijkheid tussen de huisarts en het WZC. Dit geldt ook voor andere zelfstandige zorgbeoefenaars door de bewoner aangesteld.

De doeleinden van de gegevensverwerking de bewoners binnen het WZC worden als volgt opgesomd:

-de administratie ten behoeve van de opvolging, de facturatie en de financiering van het verblijf

-de registratieverplichtingen in het kader van door de overheid opgelegde doeleinden

-het geneesmiddelenbeheer met betrekking tot het afleveren van geneesmiddelen

-de zorgplanning die de bewoners omringd met de nodige zorgtaken

-de aanbieding van diensten inzake animatie, sociale evenementen, coiffure, pedicure, de restauratie …

Wat betreft de medewerkers binnen het WZC worden heel wat gegevens verzameld in het kader van de uitvoering van de arbeids- of samenwerkingsovereenkomst. Dit betreffen persoonsgegevens met betrekking tot de opleiding, de identificatie, de beroepservaring, de aanwezigheden, evenals van financiële aard. Deze gegevens worden binnen het WZC verwerkt in het kader van de werkplanning, de evaluatie en de vergoeding van de verrichte diensten.

De doeleinden van de gegevensverwerking binnen het WZC inzake de medewerkers worden als volgt opgesomd:

-de administratie ten behoeve van de uitvoering van de samenwerkingsovereenkomst

-de administratie inzake de werkplanning, de opleiding en de evaluatie

-de administratie met betrekking tot de bezoldiging, de facturatie en de financiering

-de administratie en registratie inzake door de overheid opgelegde doeleinden

-de administratie en registratie m.b.t. het IT-netwerk en de softwareapplicaties

De persoonsgegevens van alle betrokkenen kunnen verwerkt worden wanneer daartoe een rechtmatige grond aanwezig is. In het kader van de doeleinden van de gegevensverwerking binnen het WZC kunnen volgende noodzakelijke gronden aangeduid worden:

-de uitvoering van de overeenkomst met de betrokkene

-de nakoming van wettelijke bepalingen en verplichtingen

-het behoeden van de betrokkene of derden voor gevaren die diens gezondheid of belangen schaden

-de verdediging van de belangen van het WZC bij gebeurlijke rechtsvorderingen

-de behartiging van andere gerechtvaardigde belangen van het WZC of van een derde

-de vervulling van een taak van algemeen belang of ter zake de uitoefening van het openbaar gezag

Het WZC garandeert daarenboven dat de persoonsgegevens van de betrokkene op behoorlijke en zorgvuldige wijze verwerkt worden en dit uitsluitend voor de welbepaalde en uitdrukkelijk omschreven gerechtvaardigde doeleinden. De persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij verzameld worden, toereikend, ter zake dienend en niet bovenmatig zijn.

Klaar is dat zonder de verwerking van de noodzakelijke persoonsgegevens van de betrokkene het niet mogelijk zou zijn om een opname- of samenwerkingsovereenkomst af te sluiten, noch deze uit te voeren. Op de betrokkene rust dan ook de opdracht om volledige en correcte persoonsgegevens over te maken en bij wijziging van deze gegevens per direct het WZC daarvan in kennis te stellen.

Het gerechtvaardigde belang dat permanent in hoofde van het WZC aanwezig is bij de verwerking van persoonsgegevens van bewoners betreft de professionele zorgattitude teneinde steeds in staat te zijn om de bewoner een gepaste, steeds waardige en optimaal veilige dienstverlening te bieden.

Er worden binnen het WZC geen persoonsgegevens verwerkt via een geautomatiseerde besluitvorming en er worden geen persoonsgegevens doorgegeven buiten de Europese Unie, noch aan internationale organisaties.

De verwerkingen die de toestemming van de betrokkene vergen

Wanneer er binnen het WZC bepaalde faciliteiten worden aangeboden in het kader van het gemak en de aangenaamheid van het verblijf van de betrokkene of het bezoek van familie en kennissen kunnen bepaalde persoonsgegevens openbaar worden gemaakt. Voorbeelden zijn het verschijnen van een periodiek tijdschrift waarin nieuwe bewoners of medewerkers worden voorgesteld of een beeldscherm/lijst aan het onthaal waarin de bezoekers het kamernummer gelinkt aan de naam van de bewoner kunnen aflezen.

In het kader van een goede werking van het WZC omvat dit privacyreglement de toestemming van de betrokkene inzake het gebruik van zijn persoonsgegevens inzake voormelde twee faciliteiten. Deze toestemming behelst met betrekking tot het interne periodieke tijdschrift het gebruik van fotomateriaal waarop de betrokkene is afgebeeld.

In het geval andere dergelijke faciliteiten zullen worden aangeboden is telkens de uitdrukkelijke toestemming van de betrokkene daartoe noodzakelijk. Bij het aanbieden van de betreffende faciliteit zal aan de betrokkene een formulier worden aangeboden waarmee een uitdrukkelijke toestemming kan worden gegeven.

Met betrekking tot de voormelde type verwerkingen die gebaseerd zijn op de toestemming van de betrokkene is het logisch dat deze laatste op een later moment het recht heeft om zijn of haar toestemming in te trekken. In dat geval zal het WZC daar uiteraard rekening mee houden en per direct de nodige maatregelen nemen.

De categorieën van interne bewerkers en externe verwerkers of ontvangers

Binnen het WZC worden de persoonsgegevens van de betrokkene zodoende geraadpleegd en gebruikt door interne medewerkers die bewerkers worden genoemd. De gegevens tot identificatie en deze van administratieve aard zijn uitsluitend toegankelijk voor het administratieve personeel terwijl de gegevens die betrekking hebben op de gezondheid uitsluitend toegankelijk zijn voor het zorg-, verpleegkundig- en paramedisch personeel. Deze bewerkers zijn door het beroepsgeheim gebonden via de arbeidsovereenkomstenwet en/of gehouden aan de privacy-gedragscode die ter zake binnen het WZC van toepassing is.

Bepaalde persoonsgegevens worden ook door externe diensten geraadpleegd of gebruikt. Deze externe verwerkers gebruiken de gegevens alleen ten behoeve van het WZC en zijn via verwerkersovereenkomsten gehouden tot een uitsluitend gebruik van de persoonsgegevens in het kader van hun dienstverlening aan het WZC. Men denke aan de dienstverlening inzake coiffure, pedicure, wasserij, medicatie, restauratie, transport en dergelijke.

Ook deze categorieën van verwerkers zijn aan hun contractuele vertrouwelijkheidsverplichtingen of door hun beroepsgeheim gehouden tot een uitsluitend nuttig gebruik in het kader van de dienstverlening.

Een aparte categorie vormen de ontvangers die zelf verwerkingsverantwoordelijken zijn zoals de diensten van de overheid en andere diensten of ondernemingen die de inkomende persoonsgegevens verwerken in het kader van een eigen wettelijke opdracht of dienstverlening die aan de betrokkene wordt geboden zoals daar zijn de huisarts, de mutualiteiten, de ziekenhuizen, het OCMW, het RIZIV en dergelijke.

Deze overheden en diensten dragen een eigen verantwoordelijkheid inzake de verwerking van gegevens van de betrokkenen, doch via schriftelijke overeenkomsten wordt tussen deze overheden en diensten en het WZC afspraken gemaakt om de uitwisseling van de gegevens maximaal te beveiligen.

De bewaartermijnen

De persoonsgegevens behoren overeenkomstig de wettelijke bepalingen na afloop van het verblijf van de betrokkene niettemin bewaard te worden. Voor medische gegevens geldt een bewaartermijn van 30 jaar, voor verpleegkundige gegevens 20 jaar en voor facturatie en boekhoudkundige gegevens 7 jaar.

De rechten van de bewoners inzake de verwerking van hun gegevens

Dit privacyreglement werd opgemaakt in het kader van het eerste recht dat de betrokkene te beurt valt bij zijn aantrede in het WZC. De betrokkene wordt geïnformeerd over de verwerking van zijn gegevens naar aanleiding van zijn intrede binnen het WZC. Dit betreft het belangrijke recht op transparantie. De betrokkene kan daarnaast ook terecht bij de functionaris voor gegevensverwerking voor alle verdere informatie.

Een tweede reeks rechten dat de betrokkene geniet is het recht op inzage en het recht op een éénmalig kosteloos afschrift al dan niet gekoppeld aan het recht op correctie en/of wissen van bepaalde objectieve gegevens die niet juist of niet ter zake dienend blijken. Wat betreft de inzage in het medisch dossier zal de huisarts beslissen in welke mate ook de persoonlijke notities mogen ingekeken worden. Indien de huisarts dit niet toelaatbaar acht, zal de betrokkene een arts kunnen aanstellen die de notities toch kan inkijken. Wat betreft de persoonlijke nota’s van het zorg- en verpleegkundig personeel, beslist het WZC of een rechtstreekse inzage door de betrokkene mogelijk is. Indien het WZC dit niet aangewezen acht, kan de betrokkene daartoe de huisarts of een andere arts aanstellen.

Een derde mogelijkheid die de betrokkene te beurt valt is het indienen van een bezwaar waarbij de staking van een verwerking wordt verzocht. Dit is mogelijk in het kader van een verwerking die niet gestoeld is op dwingende gerechtvaardigde redenen, doch wel bijvoorbeeld op de toestemming van de betrokkene.

De overdracht van de gegevens is een vierde type recht dat toelaat dat de betrokkene een overdracht van de gegevens verzoekt bij wijze van kopie aan hem of haar of aan een andere instelling. Dit verzoek moet enkel worden ingewilligd als het persoonsgegevens zijn die door de betrokkene zelf verstrekt zijn en die via geautomatiseerde procedés verwerkt zijn op grond van de uitdrukkelijke toestemming van de betrokkene.

Het extra verzoek tot beperking van de verwerking van de gegevens kan samengaan met de uitoefening van de voorgaande rechten, waarbij tijdelijk tot permanent wordt beoogd dat de verwerking minimale vormen aanneemt en bij voorkeur beperkt wordt tot de loutere bewaring van de betreffende gegevens.

Het WZC zal elk van bovenvermelde verzoeken binnen de maand beantwoorden, maar bij complexe of veelvuldige verzoeken kan het WZC deze termijn naar 3 maanden herleiden.

Samengevat kan de betrokkene, die zich identificeert via ID-card, in het kader van de verwerking van zijn of haar persoonsgegevens een verzoek aan het WZC richten, bij voorkeur via het e-mailadres directie@wzcvanlierde.be waarbij hij of zij kenbaar maakt één van volgende rechten te willen uitoefenen, mits voldaan aan de voorwaarden:

-een recht van inzage in gegevens

-een recht van één kosteloos afschrift van gegevens

-een recht van correctie van gegevens

-een recht van wissen van gegevens

-een recht van staking van de verwerking van gegevens

-een recht van beperking van de verwerking van gegevens

-een recht van overdracht van gegevens

-een recht van intrekking van een toestemming

Hieraan kan toegevoegd worden dat voormelde rechten echter geen garantie betekenen dat het verzoek van een bewoner ook effectief kan worden uitgevoerd. Telkenmale zal de WZC nauwgezet moeten nagaan wat er mogelijk en toelaatbaar is binnen de wettelijke bepalingen die van toepassing zijn.

Het indienen van een klacht

Indien een betrokkene van mening is dat de bepalingen van dit privacyreglement of van de Algemene Verordening Gegevensverwerking (AVG) niet werden gerespecteerd kan hij of zij zich via het neerleggen van een klacht wenden tot de directie van het WZC teneinde tot een vergelijk te komen.

Bij gebreke aan een vergelijk kan de betrokkene zich via een klachtneerlegging wenden tot de

Gegevensbeschermingsautoriteit (GBA) of tot de rechtbank.

Privacy-gedragscode dat alle medewerkers naar de bewoner toe zullen betrachten

Concreet zullen de medewerkers en in het bijzonder de zorg-, de verpleegkundigen en de paramedici in het kader van hun dienstverlening aan de bewoners volgende voorzichtigheden nastreven bij het vervullen van hun taken:

“Wij respecteren te allen tijde onze discretieplicht, zowel in het WZC als daarbuiten. Dit betekent dat wij geen namen van bewoners vermelden aan derden. Wij vertellen ook publiekelijk niets over gebeurtenissen met bewoners, ook niet op sociale media en ook niet naamloos”.

Bij de verzorging van een bewoner of bij een gesprek met de bewoner hieromtrent of betreffende zijn gezondheid sluiten wij de kamerdeur of het gordijn en passen wij ons stemvolume aan, zodat niemand kan meeluisteren. Ook wanneer wij een bewoner vervoeren naar een andere dienst of kamer doen wij dit respectvol en bedekken we de bewoner.

Wij schermen vertrouwelijke informatie zoals naam, geboortedatum, adres, aard, verzorging, … af. Wij zorgen ervoor dat deze informatie niet zichtbaar is voor derden. Wij letten op met informatie op de kamerdeur, in de gangen, op zichtbare plaatsen in de verpleegpost en binnen de kamer, op het computerscherm, op de verpleegkar e.d.m..

Wij trachten bij elke handeling of gesprek attent te zijn voor individuele noden inzake privacy. Wij zijn aandachtig voor uitgesproken of onuitgesproken signalen die erop wijzen dat een bewoner (meer) behoefte heeft aan privacy.

Informatie over de gezondheidstoestand van een bewoner geven wij enkel aan een familielid of vertrouwenspersoon waarvan de bewoner ons heeft bevestigd dat het mag; niet aan elke “geïnteresseerde”.

We raadplegen enkel en alleen bewonersdossiers van bewoners met wie wij op dat ogenblik een zorgrelatie hebben. Dit inzagerecht is in het WZC strikt geregeld en wordt gecontroleerd.

Bij een bespreking van bewoners onder collega’s, letten wij er op dat onbevoegden niet kunnen meeluisteren. Wij voeren geen gesprekken over bewoners in de gangen of in openstaande lokalen. Dezelfde voorzichtigheid nemen wij in acht bij telefoongesprekken over bewoners.

Wij vermelden enkel informatie over individuele bewoners in externe mailberichten, wanneer wij hiertoe genoodzaakt zijn. Voor communicatie met externe zorgverstrekkers gebruiken wij enkel beveiligde wegen.

Elke bewoner heeft in het WZC het recht om een foto- of filmopname te weigeren. Bij een mondelinge of schriftelijke bevraging moedigen wij onze bewoners aan tot deelname, doch wij respecteren een eventuele weigering.

De bewoner zal ook zorg dragen ter zake de persoonsrechten van de andere bewoners

De bewoner maakt actief deel uit van de gemeenschap van bewoners en medewerkers binnen het WZC. Het is dan ook logisch dat de bewoner kennis kan krijgen van een beperkt aantal persoonsgegevens over andere bewoners, medewerkers en derden. In het contact tussen bewoners en met medewerkers komt men zaken van elkaar te weten zoals de naam, de afkomst tot bepaalde gezondheidsgegevens.

Ook aan de bewoner wordt aldus verzocht om met de persoonsgegevens die men van elkaar of van medewerkers te weten komt discreet om te gaan op een wijze dat éénieder zich binnen het WZC gerespecteerd voelt wat betreft de bescherming van zijn persoonsgegevens.

Deze beleidstekst gegevensbescherming werd opgesteld op 25/05/2018 en zal verder worden aangepast in het licht van de wijzigende en evoluerende wetgeving en rechtspraak.

Het WZC Van Lierde

Dhr. Dirk DE BYSER

Algemeen Directeur