Gratis vooronderzoek

Privacy-reglement International Vision Centers BV

Artikel 1. Begripsbepalingen

  1. International Vision Centers: International Vision Centers BV
    2. Management: Het Management van International Vision Centers BV
    3. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
    4. Zorg gegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen, verzameld door een beroepsbeoefenaar op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening;
    5. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
    6. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens;
    7. Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.
    8. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
    9. Verantwoordelijke: Het Management
    10. Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
    11. Betrokkene: degene op wie een persoonsgegeven betrekking heeft;
    12. Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;
    13. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
    14. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;
    15. CBP: het College Bescherming Persoonsgegevens, het College dat tot taak heeft toe te zien op de verwerking van persoonsgegevens;
    16. WBP: de Wet Bescherming Persoonsgegevens;
    17. WGBO: de Wet inzake de Geneeskundige Behandelingsovereenkomst;
    18. De Wet BIG: de Wet op de Beroepen in de Individuele Gezondheidszorg;
    20. BOPZ: de Wet Bijzondere Opneming in psychiatrische Ziekenhuizen;
    21. Klachtencommissie: de commissie ingesteld overeenkomstig de Wet Klachtwet.

Artikel 2. Reikwijdte
Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. De persoonsgegevens die bij International Vision Centers verwerkt worden betreffen voornamelijk patiënt- en personeelsgegevens.

Artikel 3. Algemene bepalingen
1. Het Management is verantwoordelijk voor het vaststellen van de algemene doelstellingen van de verwerkingssystemen waarvan gebruik wordt gemaakt.
2. Onverminderd de door het Management vastgestelde algemene doelstellingen worden persoonsgegevens alleen verwerkt: met toestemming van de betrokkene en/of uit oogpunt van een verplichting in het kader van de wet zoals de WGBO, de WBP, de Wet BIG, en/of ter vrijwaarding van een vitaal belang van de betrokkene.
3. Het Management is er verantwoordelijk voor dat bij de verwerking van de persoonsgegevens de normen in acht worden genomen die de wet daarvoor stelt en worden weergegeven in dit reglement.
4. Het Management kan een functionaris benoemen die in het kader van de gegevens-bescherming toeziet op een verwerking van persoonsgegevens overeenkomstig de wet- en regelgeving. Het Management is daarbij gehouden aan de wettelijke bepalingen van toepassing op een privacyfunctionaris, onder andere dient de functionaris te worden aangemeld bij het CBP.

Artikel 4. Doel
1. Dit reglement is van toepassing binnen International Vision Centers heeft betrekking op de categorieën gegevensverwerkingen en doelen zoals genoemd in bijlage1a en het door de instelling opgestelde overzicht van verwerkingen van persoonsgegevens (zie bijlage 1b, welke één geheel vormt met het reglement en periodiek door International Vision Centers wordt getoetst op aan te brengen mutaties).
2. Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van
de WBP en voor zover van toepassing, de bepalingen van ander wetten zoals de WGBO,
de BOPZ, de algemene Wet inzake Rijksbelastingen.
3. Binnen de doelstelling van dit reglement zullen geen andere gegevens worden opgenomen dan onder artikel 1 omschreven.

Artikel 5. Voorwaarden voor rechtmatige verwerking
1. Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt.
2. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden (zie bijlage 1a) waarvoor ze zijn verkregen.
3. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig te zijn.
4. Het Management is verantwoordelijk voor het goed functioneren van de verwerking van persoonsgegevens. Zijn handelwijze met betrekking tot de verwerking van de persoonsgegevens en de verstrekking van gegevens wordt bepaald door dit reglement2.

Artikel 6. Verwerking van persoonsgegevens (voor zover niet zijnde zorg
gegevens)
Persoonsgegevens mogen slechts worden verwerkt indien aan één van onderstaande voorwaarden is voldaan:
a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend3;
b. dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor handelingen die op verzoek van de betrokkene worden verricht en die noodzakelijk zijn voor het sluiten van een overeenkomst4;
c. dit noodzakelijk is om een wettelijke verplichting na te komen5;
d. dit noodzakelijk is ter bestrijding van ernstig gevaar voor de gezondheid van betrokkene;
e. dit noodzakelijk is voor de vervulling van een publiekrechtelijke taak6;
f. dit noodzakelijk is voor de behartiging van het gerechtvaardigd belang van de Raad van Bestuur of van een derde aan wie de gegevens worden verstrekt én het belang van degene van wie de gegevens worden verwerkt niet prevaleert.

Artikel 7. Informatieverstrekking aan de betrokkene
gegevens verkregen bij betrokkene
1. Indien bij de betrokkene zelf de persoonsgegevens worden verkregen, deelt de medewerker die de gegevens verzamelt, voor het moment van verkrijging de betrokkene mede7:
a. de identiteit van de verwerkende organisatie en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, tenzij de betrokkene daarvan reeds op de hoogte is;
b. nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen8.

2 Het Management draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen verlies of enige vorm van onrechtmatige verwerking.
3 Het Management moet zorg dragen dat de betrokkene voldoende geïnformeerd is alvorens toestemming kan worden gegeven (zgn. informed consent). Deze expliciete toestemming hoeft niet schriftelijk te worden gegeven. Toestemming kan ook blijken uit woord of gedrag.
4 Een voorbeeld van een overeenkomst is de geneeskundige behandelingsovereenkomst en de huurovereenkomst.
5 Bijvoorbeeld de gegevensaanlevering in het kader van artikel 22 Wet ziekenhuisvoorzieningen.
6 Hierbij dienen ook de verantwoordelijke in het kader van de BOPZ en/of WMO worden betrokken.
7 Deze algemene kennisgeving kan geschieden door bijvoorbeeld het uitreiken van een
informatiebrochure of door informatie over het reglement en de verwerking van persoonsgegevens op
te nemen in de huisregels.
8 Aangezien de verwerking van de gegevens wordt gedaan door een zorgverlenende instelling, mag in het algemeen worden aangenomen dat de betrokkene weet of kan weten dat verwerking van gegevens plaatsvindt. Kennisgeving van opname van gegevens aan de individuele betrokkene kan dan achterwege blijven. Volstaan kan worden met een algemene kennisgeving van het bestaan van de verwerking en dit reglement.
Dit is anders indien andere doelen dan zorgverlening een zelfstandige doelstelling vormen van de verwerking, bijvoorbeeld wetenschappelijk onderzoek. In dat geval kan niet zonder meer worden aangenomen dat de betrokkene van deze doelstelling weet heeft.

gegevens elders verkregen
1. Indien de persoonsgegevens niet rechtstreeks bij de betrokkene worden verkregen, deelt de medewerker die de gegevens verzamelt, de betrokkene de informatie mede als genoemd in artikel 7 sub a en b, tenzij deze reeds daarvan op de hoogte is:
a. op het moment van vastlegging van hem betreffende gegevens, of
b. wanneer de gegevens bestemd zijn om te worden verstrekt aan een derde, uiterlijk op het moment van de eerste verstrekking.
2. De medewerker die de gegevens verwerkt, verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
3. Het bepaalde onder 2 is niet van toepassing indien de mededeling van de informatie aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de medewerker die de gegevens verzamelt, de herkomst van de gegevens vast.
4. Het bepaalde onder 2 is eveneens niet van toepassing indien de vaststelling of de verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de medewerker die de gegevens verwerkt, de betrokkene op diens verzoek te informeren over het wettelijk voorschrift dat tot de vastlegging of verstrekken van de hem betreffende gegevens heeft geleid.
5. Indien de medewerker die de gegevens verwerkt, de betrokkene niet heeft geïnformeerd conform dit artikel, betekent dit dat de persoonsgegevens op een niet behoorlijke en onzorgvuldige wijze zijn verwerkt9.

Artikel 8. Specifieke regels voor de verwerking van zorggegevens
1. Voor verwerking van zorggegevens is uitdrukkelijke toestemming10 van de betrokkene vereist, tenzij het een geval betreft als genoemd in de leden 2 en 6 van dit artikel, of indien verstrekking noodzakelijk is ter uitvoering van een wettelijk voorschrift.
2. Zonder toestemming van de betrokkene kunnen – met inachtneming van het derde lid – door het Management of in zijn opdracht, persoonsgegevens betreffende de gezondheid ter verwerking worden verstrekt aan:
a. hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene; dan wel met het oog op het beheer van de organisatie van het Management;
b. verzekeraars voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico, met uitsluiting van lid 4 van dit artikel en de betrokkene geen bezwaar heeft gemaakt, dan wel voor zover dat noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst.
3. De persoonsgegevens worden alleen verstrekt aan personen of instellingen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.
4. Onverminderd eventuele wettelijke voorschriften terzake hebben slechts toegang tot de gegevensverwerking de beroepsbeoefenaar die deze gegevens heeft verzameld, degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en degene die optreedt als vervanger van de hulpverlener, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden.
9 Het niet voldoen aan de informatieplicht zal leiden tot een onrechtmatige verwerking. Zie ook artikel
5, lid 1.
10 De uitdrukkelijke toestemming: de betrokkene dient in woord, geschrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan de hem betreffende gegevensverwerking. Voorts hebben toegang tot de gegevensverwerking: de Raad van Bestuur, de door het Management aangestelde medewerkers die met het beheer van de gegevens belast zijn en de bewerker persoonsgegevens voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de gegevens noodzakelijk is.
5. Persoonsgegevens betreffende erfelijke eigenschappen mogen alleen worden verwerkt voor zover deze gegevens uitsluitend betrekking hebben op de betrokkene die deze gegevens heeft verstrekt11 tenzij een zwaarwegend geneeskundig belang prefereert of de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek. In dat laatste geval is punt 8 van dit artikel van toepassing.
6. Indien persoonsgegevens zodanig zijn geanonimiseerd dat zij redelijkerwijs niet herleidbaar zijn, kan het Management besluiten deze te verstrekken ten behoeve van doeleinden die verenigbaar zijn met het doel van de gegevensverwerking.
7. Persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid en seksuele leven mogen uitsluitend worden verwerkt indien en voor zover dit noodzakelijk is in aanvulling op de verstrekking van persoonsgegevens betreffende iemands gezondheid als bedoeld in lid 2 van dit artikel.
8. Persoonsgegevens kunnen alleen dan zonder toestemming van de betrokkene ten behoeve van wetenschappelijk onderzoek en statistiek worden verstrekt indien:
a. het onderzoek een algemeen belang dient,
b. de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is,
c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en
d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

Artikel 9. Vertegenwoordiging
1. Indien de betrokkene (hier de patiënt) jonger is dan twaalf jaar, treden de ouders, die het ouderlijk gezag uitoefenen dan wel de voogd in plaats van de betrokkene.
2. Hetzelfde geldt voor de patiënt die de leeftijd van twaalf jaar heeft bereikt en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake.
3. Indien de patiënt in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een redelijke waardering van zijn belangen, treden naast de patiënt zelf diens ouders op.
4. Indien de patiënt de leeftijd heeft van zestien jaar of ouder en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen terzake, dan treedt, in volgorde als hier weergegeven, als vertegenwoordiger voor hem op12:
a. de curator of mentor indien de betrokkene onder curatele staat of ten behoeve van hem een mentorschap is ingesteld;
b. de persoonlijk gemachtigde indien de betrokkene deze schriftelijk heeft gemachtigd, tenzij deze persoon niet optreedt;
c. de echtgenoot of andere levensgezel van de betrokkene, tenzij deze persoon dat niet wenst of ontbreekt;
d. een kind, broer of zus van de betrokkene, tenzij deze persoon dat niet wenst.
5. Echter ook indien de patiënt de leeftijd van zestien jaar of andere betrokkene de leeftijd van achttien jaar heeft bereikt en wel in staat is tot een redelijke waardering van zijn belangen, heeft hij de mogelijkheid een andere persoon schriftelijk te machtigen in diens plaats als vertegenwoordiger te treden.
6. De toestemming kan door de betrokkene of zijn vertegenwoordiger te allen tijde worden ingetrokken.
7. De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.
8. Indien een vertegenwoordiger optreedt namens de betrokkene, komt de het Management zijn verplichtingen die voortvloeien uit de wet en dit reglement na jegens deze vertegenwoordiger, tenzij die nakoming niet verenigbaar is met de zorg van een goed verantwoordelijke.

9 Verwerking van persoonsgegevens betreffende erfelijke eigenschappen met betrekking tot anderen
dan degene omtrent wie de gegevens oorspronkelijk zijn verkregen is ook niet toegestaan met
uitdrukkelijke toestemming van de betrokkene of enig familielid waarop de gegevens eveneens
betrekking hebben.
10 De hier genoemde categorieën vertegenwoordigers komen overeen met de in de WGBO en BOPZ
genoemde categorieën.

Artikel 10. Recht op inzage en afschrift van opgenomen persoonsgegevens
1. De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens.
2. De gevraagde inzage en of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden, respectievelijk worden verstrekt.
3. Een mogelijke beperkingsgrond voor inzage en afschrift kunnen zijn gewichtige belangen van anderen dan de verzoeker, het Management daaronder begrepen.
4. Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht, die ten hoogste Euro 4,50 bedraagt voor de eerste 100 kopieën (Staatsblad van het Koninkrijk der Nederlanden besluit van 13 juni 2001, nummer 305).

Artikel 11. Recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens
1. Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.
2. De betrokkene kan verzoeken om correctie van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen.
3. De betrokkene kan verzoeken om verwijdering van op hem betrekking hebbende gegevens.
4. De manager zorgadministratie of specialist (indien het patiëntgegevens betreft)
of het unithoofd Beheer en Administratie (indien het personele gegevens betreft), dragen zorg voor een schriftelijk bericht aan de verzoeker, binnen vier weken na ontvangst van het schriftelijk verzoek tot correctie of verwijdering, waarin vermeld staat of, dan wel in hoeverre aan het verzoek wordt voldaan. Een weigering is met redenen omkleed.
5. De manager zorgadministratie of specialist (indien het patiëntgegevens betreft) of het unithoofd Beheer en Administratie (indien het personele gegevens betreft), dragen er zorg voor dat een beslissing tot correctie, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.
6. De manager zorgadministratie of specialist (indien het patiëntgegevens betreft) of het unithoofd Beheer en Administratie (indien het personele gegevens betreft), dragen zorg voor het verwijderen13 van de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is.
13 Onder verwijdering dient men tevens vernietiging te verstaan.

Artikel 12. Bewaren van gegevens
1. Met in acht neming van de wettelijke bepalingen stelt het Management vast hoelang de opgenomen persoonsgegevens bewaard blijven. Deze bewaartermijnen zijn:
a. voor medische en zorg gegevens: in beginsel vijftien jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd , of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener cq de zorg van een goede verantwoordelijke voortvloeit. Als moment waarop het document is vervaardigd wordt bij International Vision Centers uitgegaan van het laatste consult van de patiënt, dus de laatste keer dat het dossier ten behoeve van de behandeling gebruikt is;
b. voor gegevens in het kader van de wet BOPZ: in beginsel vijf jaren na dato van vervaardiging of beëindiging van behandeling of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener cq de zorg van een goede verantwoordelijke voortvloeit;
c. voor gegevens van niet-medische aard: niet langer dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij geanonimiseerd, indien en voor voorzover zij uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard. In bijlage 2, welke bijlage een onderdeel vormt met het privacyreglement, is een overzicht
gegeven van bewaartermijnen.
2. Indien de bewaartermijn van de zorg gegevens is verstreken of de betrokkene doet een verzoek tot verwijdering vóór het verstrijken van de geldende bewaartermijn, worden de betreffende medische persoonsgegevens verwijderd, zulks binnen een termijn van drie maanden.
3. Verwijdering blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en Het Management overeenstemming bestaat.

Artikel 13. Melding van een verwerking van gegevens
1. Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of samenhangende doeleinden bestemd is, wordt alvorens met de verwerking wordt aangevangen gemeld bij het College.
2. De niet geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of samenhangende doeleinden bestemd is, wordt gemeld indien deze is onderworpen aan voorafgaand onderzoek.

Artikel 14. Klachten
Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij zich wenden tot:
a. Het Management;
b. de binnen de instelling functionerende klachtencommissie overeenkomstig de regeling voor onafhankelijke klachtenbehandeling;
c. het CBP en dit college conform de WBP verzoeken een onderzoek in te stellen of de wijze van gegevensverwerking door het Management in overeenstemming is met de WBP; dan wel gebruik maken van de in hoofdstuk 8 van de WPB neergelegde beroepsmogelijkheden.

Artikel 15. Wijzigingen, inwerkingtreding en inzage van dit reglement
1. Wijzigingen in dit reglement worden vastgesteld door het Management en aangebracht door de manager zorgadministratie.
2. De wijzigingen in het reglement zijn van kracht vanaf vier weken nadat ze bekend zijn gemaakt aan betrokkenen.
3. Dit reglement is per 1 november 2008 in werking getreden en is in te zien bij de manager zorgadministratie.
4. Desgewenst kan tegen kostprijs een afschrift van dit reglement worden verkregen.

………………………
Bijlage 1a
Verwerking van persoonsgegevens en doelen
Deze bijlage maakt deel uit en vormt één geheel met het privacyreglement van International Vision Centers en heeft betrekking op de in artikel 2 van dit reglement genoemde gegevens.
Categorieën persoonsgegevens
De volgende categorieën persoonsgegevens worden in de kliniek verwerkt:
A. Ten behoeve van patiënten:
• algemene persoonsgegevens zoals: naam, adres, woonplaats, geboortedatum, geslacht, telefoonnummer, patiëntnummer (voor patiënten)
• medische gegevens zoals: onderzoek- en diagnose gegevens, verpleegkundige gegevens, complicaties, medicatiegegevens, therapie- en behandelgegevens, anamnesegegevens;
• overige administratieve gegevens zoals: verzekeringsgegevens, verwijzend arts, contactadres, behandeldatum, behandelend specialist, betrokken hulpverleners.
B. Ten behoeve van personeel:
• algemene persoonsgegevens zoals: naam, adres, woonplaats, geboortedatum, geslacht, sofi-nummer;
• personeelsgegevens zoals: datum indiensttreding, roosterplanning, verlof- en verzuimgegevens, functioneringsgegevens, taak- en functieomschrijving;
• medische gegevens: deze worden bij de Arbo arts en/of –verpleegkundige verwerkt.
Deze gegevens worden deels geautomatiseerd, deels handmatig opgeslagen en verwerkt.
Een totaaloverzicht van de registraties binnen de kliniek waarbinnen de persoonsgegevens verwerkt worden, is aanwezig bij de manager zorgadministratie.
De registraties zijn voor zover ze niet vallen binnen het vrijstellingsbesluit, gemeld bij het CBP.

Doelen
De doelstellingen voor de verwerking van de gegevens zijn af te leiden uit de primaire doelstellingen van International Vision Centers:
1. Verlenen van een goede zorg, verzorging en hulpverlening aan de patiënt;
2. Ondersteunen van wetenschappelijk onderzoek, statistiek en medisch onderwijs;
3. Doelmatig, efficiënt en effectief beleid en management;
4. Kwaliteitsbewaking van de zorg;
5. Incidentenregistratie;
6. Intercollegiale toetsing;
7. Klachtenafhandeling van patiënten;
8. Voeren van een financiële administratie van de patiënt, waaronder het in handen van
derden stellen van vorderingen en het laten uitvoeren van accountantscontrole vallen
9. Verlenen van een goede service aan de patiënt;
10. Voldoen aan de WGBO.
Doelen voor het verwerken van personeelsgegevens zijn:
1. Voeren van een salarisadministratie;
2. Voeren van een financiële administratie van de organisatie, waaronder het in handen van derden stellen van vorderingen en het laten uitvoeren van accountantscontrole vallen;
3. Doelmatig, efficiënt en effectief beleid en management;
4. Incidentenregistratie;
5. Voeren van een personeelsadministratie;
6. Ondersteunen van opleiding en begeleiding / ontwikkeling van personeel;
7. Voorkomen van misbruik of beschadiging van middelen;
8. Roosterplanning.
…………………………

Bijlage 1b: Overzicht Registraties International Vision Centers
Registraties betreffende patiëntgegevens
• Medisch dossier;
• Afsprakenregistratie ;
• Registratie van algemene Patiëntengegevens;
• Registratie van verzoeken om medische informatie;
• Medicatieregistratie en medicatieopdrachten;
• Financiële administratieve registratie;
• Complicatieregistratie;
• Incidentieregistratie: Melding incidenten patiëntenzorg (MIP);
• Registratie Klachtenafhandeling ;
• DBC-registratie;

Registraties betreffende personeelsgegevens
• Personeelsdossier
– Papier (in het personeelsarchief)
– Electronisch (PMS)
• Arboregistratie
– Bedrijfsgeneeskundig archief
– Spreekuur en meldingen
• Registratie mbt de procedures tbv de resultaatgerichte functiebeschrijvingen en functiewaardering;
…………………………

Bijlage 2: Bewaartermijnen
Deze bijlage maakt deel uit en vormt één geheel met het privacyreglement van International Vision Centers en heeft betrekking op de in artikel 2 van dit reglement genoemde gegevens.

Wet Bescherming Persoonsgegevens
De WBP is van toepassing op alle vormen van persoonsgegevens zoals personeels- en patiëntgegevens. Deze wet bepaalt dat gegevens niet langer in identificeerbare vorm mogen worden bewaard dan noodzakelijk is voor het doel waarvoor zij zijn vastgelegd.
De doelen die in International Vision Centers gelden zijn vastgelegd in bijlage 1a.
Gegevens moeten worden vernietigd of geanonimiseerd als het doel is bereikt.
Echter er zijn gegevens waarvoor conform de wet specifieke bewaartermijnen gelden. Deze termijnen zijn in onderstaand overzicht weergegeven.

Bijzondere bewaartermijnen
Er zijn diverse wetten die regels geven voor bewaartermijnen van specifieke personeels- of patiëntgegevens of die daar mede op betrekking hebben.

Personeels- en salarisregistratie
De bewaartermijnen gelden zowel voor gegevens in een geautomatiseerd systeem als voor gegevens in fysieke (papieren) dossiers.

Soort gegevens Bewaartermijn en verwijzing
Gegevens die fiscaal relevant zijn: 7 jaar
Algemene Wet inzake Rijksbelastingen
Gegevens betreffende etniciteit en Herkomst van medewerkers: 5 jaar

Uiterlijk 2 jaar na uitdiensttreding
Vrijstellingsbesluit WBP

Medische gegevens / Arbogegevens
Medische personeelsgegevens dienen onder beheer te zijn van de Arbodienst. De genoemde bewaartermijnen gelden dan ook alleen als de gegevens ook daadwerkelijk door de Arbodienst worden bewaard. Medische gegevens die (met uitdrukkelijke toestemming van de werknemer) in het personeelsdossier zijn opgenomen, vallen onder de hoofdregel inzake personeelsdossiers (zie boven).
Medische patiëntgegevens vallen onder de verantwoordelijkheid van het Management.
Diverse medewerkers hebben uit oogpunt van beroep of functie toegang tot de gegevens (bijlage 3). Voor alle medewerkers en specialisten geldt een zwijgplicht omtrent de (medische) gegevens onder anderen geregeld in de CAO, en in contracten met bewerkers en in de toelatingsovereenkomst.

15 jaar na laatste contact van de patiënt met de kliniek (betrokkene kan om vernietiging vragen) of zoveel langer als redelijkerwijs uit de zorg van een goed voortvloeit. Conform WGBO art.454 lid 3 (Boek 7, Burgerlijk Wetboek) 10 jaar; en bij ministerieel besluit 10 december 2004 verhoogd naar 15 jaar. Recepten/Medicatieopdrachten 6 jaar (de Wet op de Geneesmiddelenvoorziening)

Sollicitatiegegevens
Voor gegevens van sollicitanten geldt als vuistregel dat deze gegevens niet langer dan 4 weken bewaard mogen worden, tenzij de sollicitant zijn toestemming heeft gegeven deze gegevens gedurende een langere periode te bewaren. (Sollicitatiecode NVP).
Indien de registratie onder het Vrijstellingsbesluit WBP valt, is de maximale bewaartermijn 4 weken tot na beëindiging van de sollicitatieprocedure (zonder toestemming) of maximaal 1 jaar (met toestemming).
Soort gegevens Bewaartermijn en verwijzing

Gegevens van sollicitanten (niet gemeld bij CBP ivm vrijstelling)
Zonder toestemming: Max. 4 weken
Met toestemming: Max. 1 jaar
Vrijstellingsbesluit WBP

Max. 24 uur
Vrijstellingsbesluit WBP

Logfiles computersystemen / e-mail en internetmonitoring
Gegevens betreffende de handelingen van werknemers op computers, computernetwerken en het gebruik van computerdiensten (e-mail/internet) zijn ook aan een maximale bewaartermijn gebonden.
Soort gegevens Bewaartermijn en verwijzing
Logfiles (niet gemeld bij CBP ivm vrijstelling)
– Computersystemen

Max. 6 maanden
Vrijstellingsbesluit WBP
Niet gemeld bij CBP (ivm vrijstelling)
– E-mail / Internet-monitoring