Artikel 1. Doelstelling
Tempus Thuisverpleging alsook de met Tempus verbonden Zelfstandige Verpleegkundigen (hierna gezamenlijk “Tempus Thuisverpleging”) hechten veel belang aan de bescherming van de persoonlijke levenssfeer van hun patiënten. Via deze privacyverklaring wenst Tempus Thuisverpleging haar patiënten dan ook zo goed als mogelijk te informeren over de wijze waarop binnen de zorgvoorziening wordt omgegaan met de persoonsgegevens die zij over hen verzamelt en verwerkt. In deze privacyverklaring wordt onder meer verduidelijkt op welke wijze de persoonsgegevens van patiënten binnen de zorgvoorziening worden verwerkt en hoe de patiënt controle kan uitoefenen op deze verwerking van zijn/haar persoonsgegevens.
Deze verklaring werd opgesteld in uitvoering van:
- Verordening EU nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens (hierna: de “GDPR”), en zijn uitvoeringswetten en -besluiten (waaronder de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna: de Kaderwet);
- De wet van 22 augustus 2002 betreffende de rechten van de patiënt.
Artikel 2. De verwerkingsverantwoordelijke en DPO
§ 1. Tempus Thuisverpleging, Bosstraat 23, 9250 Waasmunster, ondernemingsnummer 0839.897.858, alsook de met Tempus verbonden Zelfstandige Verpleegkundigen, te bereiken op info@tempusverpleging.be of 03 369 27 14 zijn de gezamenlijke verwerkingsverantwoordelijken van de persoonsgegevens van hun patiënten.
§2. Tempus Thuisverpleging heeft een externe DPO (Data Protection Officer) aangesteld die haar adviseert inzake de verwerking van persoonsgegevens. De DPO van Tempus Thuisverpleging is te bereiken via dpo@tempusverpleging.be.
Artikel 3. Definities
De definities zoals uiteengezet in bijlage 1 van deze verklaring moeten worden begrepen als en komen overeen met deze uit de GDPR. De definities uit de GDPR prevaleren op deze uit deze privacyverklaring.
Artikel 4. Verwerkingsdoeleinden en wettelijk kader
De verwerking van de persoonsgegevens van betrokkenen gebeurt steeds op basis van een van de mogelijke rechtsgronden uit artikel 6 GDPR, en waar nodig onder een van de bijkomende voorwaarden uit art. 9 GDPR.
Binnen de grenzen van dit wettelijk kader hebben de verwerkingen van persoonsgegevens van patiënten door Tempus Thuisverpleging met name een of meer van de volgende doeleinden voor ogen:
- de verstrekking van gezondheidszorg zoals bedoeld in de Wet Patiëntenrechten(1): op grond van de wettelijke verplichting (art. 6, 1, c GDPR) die op Tempus Thuisverpleging rust tot het aanleggen van een patiëntendossier en dit conform artikel 9, 2. h) van de GDPR;
- de patiëntenadministratie: op grond van een wettelijke verplichting (art. 6, 1. c GDPR), zoals onder meer vastgelegd in de wet op de verplichte verzekering voor geneeskundige verzorging, gecoördineerd op 14 juli 1994;
- het verwerken van persoonsgegevens nodig in het kader van klachtenbehandeling: op grond van de wettelijke verplichting die het hiertoe heeft onder de Wet Patiëntenrechten (art. 6, 1,c GDPR);
- het verwerken van persoonsgegevens van zorgpartners (hiertoe behoren wettelijk vertegenwoordigers, vertrouwenspersonen, mantelzorgers, familieleden, artsen en andere professionele zorgverleners zoals diëtisten, podologen, gezinszorg, …): om adequate en kwaliteitsvolle gezondheidszorg te kunnen bieden in de uitvoering van de overeenkomst die Tempus Thuisverpleging sloot met de Patiënt (art. 6, 1.b GDPR);
- het versturen van informatie en communicatie met betrekking tot haar dienstverlening: op grond van het gerechtvaardigd belang dat Tempus Thuisverpleging kent (art. 6, 1. f GDPR) in het kader van direct marketing;
- voor andere bijkomende doeleinden op basis van uitdrukkelijke en geïnformeerde toestemming (art. 6, 1.a GDPR) van de patiënt, voor zover de toestemming voor de verwerking van patiëntgegevens overeenkomstig de artikelen 6 en 9 GDPR vereist is.
§ 2. In geen geval zullen andere persoonsgegevens in deze verwerkingen worden opgenomen dan deze die noodzakelijk zijn voor de doeleinden weergegeven in § 1, én zullen deze persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden.
Artikel 5. Doorgifte van patiëntgegevens
§ 1. Binnen de grenzen van de artikelen 6 en 9 GDPR en voor zover dit noodzakelijk is voor de in artikel 4 van deze privacyverklaring vermelde doeleinden zijn de volgende categorieën van ontvangers gerechtigd om vanwege Tempus Thuisverpleging persoonsgegevens van patiënten te verkrijgen:
- Verzekeringsinstellingen en/of mutualiteiten en tarificatiediensten voor zover opgelegd door of krachtens de wet of met toestemming van de patiënt;
- Rijksinstituut voor Ziekte en Invaliditeitsverzekering voor zover opgelegd door of krachtens de wet of met toestemming van de patiënt;
- betrokken patiënten of hun vertegenwoordigers binnen de grenzen van wat is bepaald binnen de Wet Patiëntenrechten;
- overheidsinstanties die door de wet of door een overheidsbeslissing daartoe gemachtigd zijn;
- externe behandelende zorgverstrekkers van de patiënt in het kader van de patiëntenzorg;
- andere instanties, voor zover opgelegd door of krachtens de wet of met toestemming van de patiënt;
- de beroepsaansprakelijkheidsverzekeraar en/of andere raadgever van Tempus Thuisverpleging, voor zover deze mededeling noodzakelijk is voor de verdediging van een recht in rechte of voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- de DPO van Tempus Thuisverpleging, indien dit noodzakelijk is om de DPO toe te laten zijn/haar verplichtingen uit te voeren;
- externe verwerkers, waarop Tempus Thuisverpleging een beroep doet voor de verwerking van persoonsgegevens. Op heden zijn dit hoofdzakelijk:
o CT Paramedics BV, met zetel te Vrijheidsstraat 12, 2880 Grobbendonk;
o Easix BV, met zetel te Vrijheidsstraat 12, 2880 Grobbendonk.
(1) Wet van 22 augustus 2002 betreffende de rechten van de patiënt, BS 26 september 2002.
§ 2. Indien een doorgifte zoals bedoeld in § 1 van dit artikel betekent dat de persoonsgegevens van de patiënt worden overgemaakt aan een land buiten de Europese Unie of aan een internationale organisatie, dan zal de patiënt bijkomende informatie ontvangen over de gevolgen van deze doorgifte
voor de veiligheid van zijn persoonsgegevens.
§ 3. Buiten de gevallen uiteengezet in § 1 van dit artikel kunnen enkel anonieme gegevens worden uitgewisseld met andere personen en instanties.
Artikel 6. Bewaartermijnen
§ 1. Met inachtneming van eventuele wettelijke voorschriften geldt, te rekenen vanaf de laatste behandeling van de patiënt, voor de persoonsgegevens die identificatie toelaten, een bewaartermijn van:
- 30 jaar voor patiëntengegevens;
- 7 jaar voor facturatiegegevens uit de patiëntenbestanden die dienen als boekhoudkundig verantwoordingsstuk en voor duplicaten van de getuigschriften voor verstrekte hulp, van de individuele factuur en van de verzamelfactuur;
§ 2. Indien de bewaartermijn verstreken is, worden de betreffende persoonsgegevens uit de bestanden verwijderd en vernietigd, binnen een termijn van één jaar. Voor de medische module sensu stricto kan dit enkel gebeuren mits akkoord van de behandelende arts(en).
§ 3. Vernietiging kan evenwel achterwege blijven wanneer:
- hetzij de verdere bewaring is vereist op grond van een wettelijk voorschrift;
- hetzij de verdere bewaring redelijkerwijze belangrijk wordt geacht vanuit medisch oogpunt of vanuit de levensverwachting van de patiënt, of vanuit de verdediging van zijn rechtmatige belangen of die van zijn rechtverkrijgenden;
- hetzij over de verdere bewaring overeenstemming bestaat tussen de patiënt en de behandelend ziekenhuisarts of, bij ontstentenis, de behandelende huisarts, doch zonder dat de persoonsgegevens langer dan 50 jaar na het laatste patiëntencontact mogen worden bewaard.
§ 4. Indien de betreffende gegevens zodanig verwerkt zijn dat herleiding tot individuele personen onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
Artikel 7. Onderlinge verbanden, verbindingen en raadplegingen
De volgende onderdelen van de patiëntenbestanden zijn deels elektronisch, deels manueel:
a. Administratieve gegevens
- identificatiegegevens van de patiënten: naam, geslacht, geboortedatum, uniek patiëntennummer, rijksregisternummer, adresgegevens, familiale gegevens, contactadressen;
- mutualiteitsgegevens en aansluitingsgegevens bij andere verzekeringsorganismen;
- sociaal dossier;
- verantwoordingsstukken: het bewijsstuk na zorgverstrekking, aangeleverd via het webportaal(2) en een informed consent hieromtrent en omtrent het verwerken van de persoonsgegevens, telkens toegevoegd aan het aanmeldingsformulier van de patiënt.
b. Medische en verpleegkundige gegevens
- kritische gegevens (bloedgroep, allergieën);
- fysische parameters (gewicht, lengte, enzovoort)
- diagnoses;
- ingrepen en bevallingen;
- verpleegkundige aandachtspunten en observaties;
- aanvragen en resultaten (labo, RX, EKG, enzovoort);
- medische verslagen;
- medicatie;
- verpleegkundige verzorging, inclusief het zorgenplan;
- minimale verpleegkundige, klinische, psychiatrische gegevens (MVG, MKG, MPG);
- beeldmateriaal;
- voortgangsnota’s.
c. Facturatie en financiële gegevens
- geleverde prestaties en producten;
- verblijfgegevens, verpleegdagen, forfaits;
- betalingstoestand van de patiënt en verzekeringsorganisatie;
- debiteurengegevens.
De onderlinge verbanden, verbindingen en raadplegingen van deze geautomatiseerde onderdelen zijn vastgelegd op niveau van de patiënt door middel van een uniek patiëntennummer en contactnummer.
(2) Te raadplegen op http://patient.easix.be
Artikel 8. Rechten en mogelijkheden van verweer van de patiënt in het kader van de bescherming van de persoonlijke levenssfeer
§ 1. Uiterlijk op het moment van de verzameling van persoonsgegevens die op de patiënt betrekking hebben, wordt de patiënt overeenkomstig de bepalingen van de GDPR geïnformeerd over de verwerking van deze gegevens en de rechtsgrond voor deze gegevensverwerking via het aanmeldingsformulier, de onthaalbrochure of de website van Tempus Thuisverpleging (www.tempusthuisverpleging.be).
§ 2. De patiënt die hierom verzoekt, heeft het recht om vanwege de verwerkingsverantwoordelijke kosteloos kennis te krijgen en eenmalig kosteloos een kopie te krijgen van:
- het al dan niet bestaan van verwerkingen van op hem betrekking hebbende persoonsgegevens;
- de gegevens zelf die worden verwerkt en alle beschikbare informatie over de oorsprong van die gegevens tenzij de inzage van deze gegevens via de toepasselijke wetgeving van het recht op inzage wordt uitgesloten;
- de doeleinden van deze verwerkingen;
- de categorieën gegevens waarop deze verwerkingen betrekking hebben en de bewaartijd van deze gegevens;
- de categorieën ontvangers aan wie de gegevens worden verstrekt;
- de rechten van de patiënt met betrekking tot de verwerkte persoonsgegevens;
- de bron van deze persoonsgegevens, indien ze niet bij de patiënt zelf werden ingezameld;
- het al dan niet bestaan van geautomatiseerde besluitvorming op basis van deze persoonsgegevens, alsook de onderliggende logica en de gevolgen van die besluitvorming.
Voor bijkomende kopieën kan een redelijke vergoeding aangerekend worden.
§ 3. De patiënt die hierom verzoekt, heeft bovendien het recht om door de verwerkingsverantwoordelijke kosteloos alle onjuist of onvolledig verwerkte persoonsgegevens te laten verbeteren of aanvullen. Daarbij kan de patiënt tevens vragen dat zijn persoonsgegevens tijdelijk niet verder verwerkt worden (behalve in een aantal wettelijk bepaalde gevallen) totdat de juistheid van zijn persoonsgegevens werd gecontroleerd. Slechts indien de verwerkingsverantwoordelijke vaststelt dat de persoonsgegevens inderdaad onjuist of onvolledig zijn, moeten zij worden verbeterd of aangevuld.
§ 4. De patiënt heeft voorts het recht om te vragen dat de verwerkingsverantwoordelijke een kopie van zijn persoonsgegevens overmaakt aan hem/haarzelf en/of rechtstreeks aan een andere instelling of persoon naar keuze van de patiënt, en dit in een formaat dat toelaat om deze persoonsgegevens gemakkelijk over te dragen. Dit recht geldt evenwel enkel voor persoonsgegevens verstrekt door de patiënt die via geautomatiseerde procedés verwerkt worden louter op grond van een uitdrukkelijke toestemming van de patiënt én voor zover de overdracht de privacy van anderen niet nadelig beïnvloedt.
§ 5. Indien de patiënt meent dat zijn persoonsgegevens niet meer mogen worden verwerkt (bv. omdat deze gegevens niet langer nodig zijn voor het verwerkingsdoel of omdat ze onrechtmatig worden verwerkt), dan kan hij verzoeken dat zijn persoonsgegevens definitief gewist worden. In plaats van verwijdering kan de patiënt als alternatief ook vragen dat zijn persoonsgegevens wel opgeslagen blijven, maar niet verder worden verwerkt (behalve in bepaalde wettelijk omschreven gevallen).
De verwerkingsverantwoordelijke is echter niet verplicht om de persoonsgegevens te wissen indien ze nog wel rechtmatig verwerkt worden overeenkomstig de GDPR én deze verwerking noodzakelijk is voor het nakomen van een wettelijke verwerkingsverplichting van Tempus Thuisverpleging of de zelfstandige thuisverpleegkundigen of voor het vervullen van een taak van algemeen belang.
§ 6. Tenzij de verwerking nodig is voor dwingende gerechtvaardigde redenen, kan de patiënt de verwerking van zijn persoonsgegevens die louter gebaseerd is op de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of op de uitoefening van een taak van algemeen belang of van openbaar gezag, doen staken door een bezwaar hiertegen in te dienen. In afwachting van het antwoord van de verwerkingsverantwoordelijke kan de patiënt verzoeken om die persoonsgegevens alvast tijdelijk niet verder te verwerken (behalve in een aantal wettelijk bepaalde gevallen).
Eventuele verwerkingen met het oog op direct marketing-doeleinden kan de patiënt in elk geval doen staken door een bezwaar in te dienen.
§ 7. Buiten de gevallen bedoeld in de paragrafen 3, 5 en 6 van dit artikel kan de patiënt eveneens verzoeken dat zijn persoonsgegevens nog wel worden bewaard, maar niet verder worden verwerkt (behoudens in een aantal wettelijk bepaalde gevallen) indien de verwerkingsverantwoordelijke ze niet meer nodig heeft, maar de patiënt ze nog wel nodig heeft in het kader van een rechtsvordering.
De wettelijk bepaalde gevallen waarin de verwerking alsnog kan plaatsvinden, ondanks het verzoek van de patiënt om zijn persoonsgegevens voorlopig niet verder te verwerken, zoals bedoeld in de paragrafen 3, 5, 6 en 7 van dit artikel, zijn de volgende:
- indien de patiënt zijn specifieke toestemming geeft;
- indien de verwerkingsverantwoordelijke de persoonsgegevens nodig heeft in het kader van een rechtsvordering;
- ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon; of
- om gewichtige redenen van algemeen belang.
§ 8. De patiënt die hierom verzoekt, heeft bovendien steeds de mogelijkheid om zich te verzetten tegen geautomatiseerde verwerkingen van zijn persoonsgegevens met het oog op een individuele besluitvorming die voor de patiënt rechtsgevolgen of gevolgen met een soortgelijke impact meebrengen.
De verwerkingsverantwoordelijke is niet verplicht om op dit verzoek in te gaan indien hij zich kan beroepen op een wettelijke bepaling of een uitdrukkelijke toestemming van de patiënt.
§ 9. Voor de uitoefening en vrijwaring van zijn rechten bedoeld in de paragrafen 2 tot en met 8 van dit artikel kan de patiënt een verzoek indienen bij de verwerkingsverantwoordelijke op het e-mailadres dpo@tempusverpleging.be.
Na indiening van het verzoek van de patiënt zal de patiënt een ontvangstbevestiging ontvangen en zal de verwerkingsverantwoordelijke zo snel mogelijk en uiterlijk binnen één maand laten weten welk gevolg aan het verzoek zal worden gegeven. Bij complexe of veelvuldige aanvragen kan deze termijn worden verlengd tot drie maanden na de indiening van het verzoek. In dat geval zal de verwerkingsverantwoordelijke dit meedelen aan de patiënt.
Indien het verzoek van de patiënt onduidelijk is of indien er twijfel bestaat over de identiteit van de verzoeker, dan kan de verwerkingsverantwoordelijke de nodige bijkomende informatie opvragen. Indien de verzoeker weigert om de nodige informatie te verstrekken, kan de verwerkingsverantwoordelijke het verzoek weigeren.
De verzoekprocedure is kosteloos voor de patiënt. Indien het verzoek van de patiënt echter kennelijk ongegrond is of indien de patiënt buitensporig gebruikmaakt van zijn rechten, met name indien hetzelfde verzoek overmatig repetitief wordt ingediend, dan kan de verwerkingsverantwoordelijke het verzoek weigeren ofwel een redelijke vergoeding aanrekenen naargelang de administratieve kosten die gepaard gaan met deze verzoeken.
§ 10. Indien de patiënt van mening is dat de bepalingen van deze Privacyverklaring of van de GDPR niet worden nageleefd of andere redenen tot klagen heeft omtrent de bescherming van de persoonlijke levenssfeer, kan de patiënt zich rechtstreeks wenden tot de Gegevensbeschermingsautoriteit.
Inwerkingtreding en wijzigingen
Deze Privacyverklaring treedt in werking op 1 maart 2022. Tempus Thuisverpleging behoudt zich het recht voor om zijn privacyreglement te allen tijde te wijzigen. Wijzigingen worden aangebracht door de raad van bestuur van Tempus Thuisverpleging.
Eventuele wijzigingen worden ook aan de betrokken patiënten kenbaar gemaakt, op dezelfde wijze als de wijze waarop dit privacyreglement aan de patiënten kenbaar wordt gemaakt.
Bijlage 1: definities
Persoonsgegevens: iedere vorm van informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals een patiënt. Als identificeerbaar wordt beschouwd een natuurlijke persoon die rechtstreeks of onrechtstreeks kan worden geïdentificeerd, met name aan de hand van een identificatienummer (bv. het rijksregisternummer), locatiegegevens, een online-identificator (bv. een IP-adres) of een of meer elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;
Persoonsgegevens over de gezondheid: persoonsgegevens die verband houden met de fysieke of de mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;
Anonieme gegevens: alle gegevens die niet (meer) met een geïdentificeerd of identificeerbaar persoon in verband kunnen worden gebracht en die dus geen persoonsgegevens (meer) zijn;
Gepseudonimiseerde persoonsgegevens: persoonsgegevens die op zodanige wijze verwerkt worden dat ze niet meer aan een specifieke natuurlijke persoon kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld. Het gaat dus niet om anonieme gegevens, aangezien de natuurlijke persoon na pseudonimisering nog wel identificeerbaar is;
Bestand: elk gestructureerd geheel van persoonsgegevens, samengesteld en bewaard op een logische gestructureerde wijze die een systematische raadpleging toelaat, ongeacht of dit geheel gecentraliseerd, dan wel gedecentraliseerd is, of verspreid op een functioneel of geografisch bepaalde wijze;
Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op enigerlei andere wijze ter beschikking stellen, aligneren, combineren, alsook het afschermen, uitwissen of vernietigen van persoonsgegevens;
Verwerkingsverantwoordelijke: de natuurlijke persoon, de rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat alleen of samen met anderen het doel en de middelen voor de verwerking van de persoonsgegevens bepaalt;
Bewerker: de persoon die onder gezag van de verwerkingsverantwoordelijke gemachtigd is om de gegevens te verwerken;
Verwerker: de natuurlijke persoon of de rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder onder het rechtstreeks gezag van de verwerkingsverantwoordelijke te staan;
Ontvanger: de natuurlijke persoon of de rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan aan wie/waaraan persoonsgegevens worden verstrekt;
Patiënt: patiënten die thuisverpleegkundige dienstverlening afnemen bij Tempus Thuisverpleging ;
Toestemming van de patiënt: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting, waarmee de patiënt of zijn wettelijke vertegenwoordiger door middel van een verklaring of een ondubbelzinnige actieve handeling aanvaardt dat persoonsgegevens betreffende die patiënt worden verwerkt.