1         Het belang van gegevensbescherming

OsteopatenpraktijkHZ hecht grote waarde aan het juist beschermen van de gegevens die zij verwerkt, in het bijzonder persoonsgegevens. Gebasseerd op dit beleid willen we vastleggen op welke wijze gegevens beschermd worden, welke verantwoordelijkheden hierrond zijn toegewezen en welke prioriteiten OsteopatenpraktijkHZ heeft bepaald rond de bescherming van gegevens.

In het bijzonder willen we de persoonsgegevens die onze cliënten ter beschikking stellen, beschermen tegen:

OsteopatenpraktijkHZ wil in dit beleid een beroep doen op iedereen die betrokken is bij de elektronische en papieren verwerking om samen, vanuit een gemeenschappelijke visie én vanuit onze gezamenlijke wil om kwaliteitsvolle dienstverlening aan te bieden, de verwerking van persoonsgegevens van onze correct te laten verlopen.

Dit gegevensbeschermingsbeleid gaat dieper in op de bescherming van de persoonlijke levenssfeer van en meer in het bijzonder, de informationele privacy. Dit beleid dient als norm voor het verwerken van de persoonsgegevens van onze cliënten en hun verzekerden. Tevens kan het aangewend worden voor audit en controle.

2         Toepassingsgebied

OsteopatenpraktijkHZ bepaalt bij aanvang van een arbeidsovereenkomst tot welke applicaties en met welke rechten de medewerker toegang mag krijgen.

Patiënteninformatie:

–  Patiëntenzorg: Het stellen van een diagnose, het  verstrekken van (medische, paramedische, verpleegkundige en psycho-sociale) zorg of behandelingen aan de  betrokkene of een verwant of het beheer van de dienstverlening, in het belang van de betrokkene. 

–   Patiëntenregistratie: Het registreren van gegevens van cliënten voor interne door de overheid opgelegde doeleinden, evenals voor onderzoeks- behandelings- en beleidsdoeleinden, evenals het opvolgen van de prestaties van cliënten met het oog op facturering; 

–  Geneesmiddelen en natuurfarmaceutische remedies: Verwerkingen met betrekking tot de opvolging van geneesmiddelen en posologie. 

– Patiëntenadministratie en zorgkwaliteit: Verzameling en verwerking van alle gegevens met betrekking tot medische en paramedische diagnostische en therapeutische praktijken toegediend aan de cliënten met als doel de zorgkwaliteit te  verbeteren.

–  Klachtenbehandeling: Het registreren van persoonsgegevens van cliënten en/of hun vertrouwenspersonen teneinde te kunnen bemiddelen bij de aangebrachte klachten. Het registreren van klachten. 

Personeelsinformatie:

–  Alle medewerkers die in de uitoefening van hun functie in contact komen met persoonlijke gegevens, en in het bijzonder de HR medewerkers die met personeelsgegevens in contact komen, zullen een confidentialiteitsclausule ondertekenen als addendum aan hun contract.

 – Alle sollicitanten, vrijwilligers, stagiaires die met personeelsgegevens in contact komen, zullen een confidentialiteitsclausule ondertekenen als addendum.

3         De organisatie van gegevensbescherming

Als verantwoordelijke voor de verwerking, ligt de bevoegdheid van dit beleid bij OsteopatenpraktijkHZ , vertegenwoordigd door Eddy Gysbrechts en Chris Degens.  Zij zijn verantwoordelijk voor het formuleren en vaststellen van, en het toezien op, de naleving van de beleidsprincipes binnen de praktijk.      

Verantwoordelijke uitvoerder

Eddy Gysbrechts en Chris Degens  fungeren als beslissingsverantwoordelijken voor de gegevensbescherming.   Zij zijn bevoegd om beslissingen te nemen die betrekking hebben op volgende aspecten: 

• De risicoanalyse en bijhorende methodiek.
• Het ontwikkelen van het gegevensbeschermingsbeleid en de bijhorende

richtlijnen.

• De implementatie van beveiligingsmaatregelen (i.e. de inhoud van het
  veiligheidsplan)
• De structurele reactie op gegevensbeschermingsproblemen en –adviezen (binnen de 3 maanden).               

De medewerker             

Iedereen (intern of extern) die gegevens verwerkt (bijvoorbeeld inkijkt, registreert, wijzigt, …), doet dit volgens de beleidsprincipes uit deze beleidsvoorschriften. De gebruiker verwerkt gegevens in overeenstemming met de discretieplicht, en conform volgende principes:

• Is verantwoordelijk voor de gegevens van bewoners die hij/zij verwerkt
• Voert de veiligheidsrichtlijnen uit tijdens zijn/haar verwerkingsopdracht
• Verwerkt enkel die gegevens die horen bij de taak
• Draagt zorg voor de gegevens
• Meldt inbreuken
• Leeft artikel 458 van het Strafwetboek na: De gebruiker respecteert het beroepsgeheim        

ICT-medewerker of key user     

De ICT-medewerker of key user zijn, bovenop de verantwoordelijkheden voor de gebruiker, verantwoordelijk voor:

• De implementatie van de technische maatregelen
• De veiligheidsinstellingen te implementeren in lijn met dit beleidshandboek.
• De veiligheidsproblemen die ontstaan voor, tijdens of na de implementatie van ICT-middelen te melden aan de DPO
• Te fungeren als expert. Vanuit deze rol neemt hij/zij deel aan de identificatie zowel als aan de remediëring van de gegevensbeschermingsrisico’s
• De gedragscode na te leven. 

ICT-leverancier

De ICT-leverancier heeft dezelfde verantwoordelijkheden als deze van een ICT-medewerker. Bijkomstig:

• Wijst hij op veiligheidsrisico’s van geleverde toepassingen
• Wijst de leverancier op de op te nemen veiligheidstaken

Streeft de leverancier een transparant gegevensbeschermingsbeleid na door te communiceren over het eigen actuele veiligheidsniveau en bij de afhandeling van veiligheidsincidenten.

4         Scope van het gegevensbeschermingsbeleid

Dit beleid is van toepassing voor de gehele levensduur van informatie binnen OsteopatenpraktijkHZ, van het verkrijgen van informatie tot de uiteindelijke verwijdering van informatie binnen de organisatie.

Dit beleid geldt voor heel de praktijk :

• Alle personeelsleden, zowel interne medewerkers als externen die tewerkgesteld zijn binnen OsteopatenpraktijkHZ voor bepaalde of onbepaalde duur.
• Alle bedrijfsmiddelen en informatieverwerkende systemen beheerd door OsteopatenpraktijkHZ , evenals systemen beheerd door externen ten behoeve van informatieverwerkingen voor de praktijk zoals databases, informatie ongeacht de drager ervan, netwerken, datacenters, etc.
• Ale verwerkingsactiviteiten, zowel als verwerkingsverantwoordelijke als verwerker.

Voor bepaalde domeinen of processen binnen de praktijk kunnen aanvullende richtlijnen of procedures worden uitgewerkt die in detail omschrijven welke maatregelen genomen worden om het gewenste niveau van gegevensbescherming te bereiken. Dit beleid is de kapstok waar alle andere richtlijnen of procedures onder vallen.

Gezien de belangrijke rol van de ICT-leveranciers bij het opzetten van de ICT-omgeving om gegevens te verwerken, legt het beleidshandboek hiervoor ook de beleidsprincipes vast. 

5         Welke persoonsgegevens verzamelen en verwerken wij ?

Wij verzamelen en verwerken gegevens over u wanneer u als patiënt op onze diensten als zorgvestrekker een beroep doet, of wanneer u op een andere manier met ons contact opneemt.

Bent u leverancier, dan worden uw gegevens of deze van uw contactpersonen verwerkt in het kader van deze activiteiten.  Verder worden uw gegevens, als klant of als leverancier, verwerkt bij het opmaken van facturen en andere boekhoudkundige documenten.  In sommige gevallen verwerken wij uw gegevens met de bedoeling u onze diensten voor te stellen (direct marketing).

De gegevens die wij verwerken betreffen de gegevens die u ons meedeelt en die wij nodig hebben voor de uitvoering van de producten of diensten waarvoor u op ons beroep doet.  Meestal geeft u ons die gegevens rechtstreeks door, maar het is ook mogelijk dat wij die gegevens verkrijgen via andere partijen.

Wij verzamelen deze gegevens zowel wanneer u onze papieren formulieren invult als wanneer u dat elektronisch doet.

6         Voor welke doeleinden verzamelen en verwerken wij gegevens?

De in artikel 5 vermelde gegevens verzamelen wij voor uw zorgbehandeling.

7         Bewerkers van patiëntenbestanden en hun bevoegdheden

Alle werknemers en medewerkers van OsteoptenpraktijkHZ die voor de uitvoering van hun taken toegang nodig hebben tot persoonsgegevens die de gezondheid betreffen, zijn ertoe gehouden het vertrouwelijk karakter van de betrokken gegevens strikt in acht te nemen. 

De volgende personen zijn belast met de bewerking van de persoonsgegevens van patiënten, binnen de perken van hun opdracht en de doeleinden eigen aan deze opdracht:

– De zorgverstrekkers zijn verantwoordelijk voor de verzameling en de verwerking van de persoonsgegevens van de patiënten en stellen de verwerkingsmodules op van de patiëntenbestanden waarvoor ze respectievelijk verantwoordelijk zijn.

– De personeelsleden van het medisch secretariaat en medische administratie staan in voor het verwerken van de persoonsgegevens in de patiëntenbestanden. Er is aandacht voor het doorsturen van attesten, verslagen, …. Deze kunnen enkel naar de patiënt zelf worden verstuurd, of naar die zorgverstrekkers die de patiënt schriftelijk heeft doorgegeven.

– De personeelsleden van de dienst ICT staan in voor de technische verwerking van persoonsgegevens tot geanonimiseerde gegevens met het oog op door de overheid opgelegde doeleinden. Daarnaast komen zij in contact met persoonsgegevens in het kader van probleemoplossende werkzaamheden, interne  efficiëntieverhoging of gelijkaardige toepassingen.

8         Interne en externe raadpleging van de patiëntenbestanden, rechten en plichten van de bewerkers

8.1 Intern

• De interne raadpleging en bewerking van de patiëntenbestanden geschiedt door de personen zoals omschreven punt 7. Dit recht is echter beperkt in het kader van hun opdracht en de verwerkers hebben geen toegang tot de persoonsgegevens die niet noodzakelijk zijn voor de uitvoering van hun opdracht.
• Bij de verwerking van de persoonsgegevens hebben de verwerkers de plicht op de persoonsgegevens eerlijk en rechtmatig te verwerken. Ze hebben de plicht om de persoonsgegevens niet te verwerken dan voor de doeleinden zoals vermeld in punt 5 van dit regelement.
• Interne auditoren kunnen met het oog op kwaliteitscontrole patiëntendossiers of applicaties inkijken. Dit is gekoppeld aan een geheimhoudingsverklaring
• Bovendien zijn de verwerkers bij de verwerking van de persoonsgegevens betreffende de gezondheid tot geheimhouding verplicht.

8.2 Extern

Binnen het kader van art. 7, lid 4 W.B.P.L. zijn volgende categorieën van instanties gerechtigd tot het verkrijgen van gegevens uit de patiëntenbestanden:

• Verzekeringsinstellingen voor zover opgelegd door of krachtens de wet of met toestemming van de patiënt;
• Rijksinstituut voor Ziekte- en invaliditeitsverzekering voor zover opgelegd door of krachtens de wet of met toestemming van de patiënt;
• De betrokken patiënten of hun aangestelde – mits ondertekend aanvraagformulier inzage en afschrift patiëntendossier;
• Overheidsinstanties die door een overheidsbeslissing daartoe gemachtigd zijn;
• Externe zorgverstrekkers van de patiënt;
• Mutualiteiten;
• Andere instanties, voor zover opgelegd door of krachtens de wet of met toestemming van de patiënt;
• Software en hardware leveranciers ter ondersteuning. Hiervoor wordt een specifieke verklaring ondertekend (remote access policy) om de privacy van deze data te garanderen.

9         De aard van de verwerkte gegevens en de wijze waarop ze verkregen worden

De aard van de gegevens zijn als volgt vastgelegd:

• Identificatiegegevens, waaronder het rijksregisternummer
• Financiële en administratieve gegevens met betrekking tot facturatie, waaronder het lidmaatschap van het ziekenfonds
• Gezondheids- en paramedische gegevens, opgesplitst in volgende applicaties /
                toepassingen:            – gezondheidsgegevens  
                                                  – paramedische gegevens
                                                  – geneesmiddelen
• Sociale gegevens
• Andere gegevens noodzakelijk voor het uitvoeren van de doeleinden bepaald of opgelegd door de wet (gerechtelijke gegevens).

10       Het beheer van risico’s

Alle nodige voorzieningen worden getroffen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens.  Tevens worden de nodige technische en organisatorische maatregelen getroffen ter beveiliging van de patiëntenbestanden tegen verlies of aantasting van de gegevens en tegen ongeoorloofde kennisneming, wijziging of verstrekking daarvan.
Indien van toepassing zal er een summiere risicoanalyse uitgevoerd worden.

11       Bewaartermijnen

Met inachtneming van eventuele wettelijke voorschriften geldt, te rekenen vanaf het laatste ontslag of de laatste behandeling van de patiënt, voor de persoonsgegevens die identificatie toelaten, een bewaartermijn van:

– 10 jaar voor de facturatiegegevens uit de patiëntenbestanden die dienen als boekhoud-kundig verantwoordingsstuk; 
– 30 jaar voor de medische gegevens;  
– 5 jaar voor alle andere gegevens uit de patiëntenbestanden;   

Indien de bewaartermijn is verstreken, worden de betreffende persoonsgegevens uit de bestanden verwijderd en vernietigd, binnen een termijn van één jaar..

Vernietiging blijft evenwel achterwege wanneer:

– de bewaring vereist is op grond van een wettelijk voorschrift;  
– de bewaring redelijkerwijze belangrijk wordt geacht vanuit medisch oogpunt, vanuit de levensverwachting van de patiënt, of vanuit de verdediging van zijn rechtmatige belangen of die van zijn rechtverkrijgenden;  
– over de bewaring overeenstemming bestaat tussen de patiënt en de zorgverstrekker

Indien betreffende gegevens zodanig bewerkt zijn dat herleiding tot individuele personen redelijkerwijze onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven. 

12       Rechten en mogelijkheden van verweer van de patiënt in het kader van de bescherming van de persoonlijke levenssfeer

De patiënt heeft het recht m.b.t.  gegevensverwerking kennis te krijgen van:

– het al dan niet bestaan van verwerkingen van op hem betrekking hebbende gegevens
– de doeleinden van deze verwerkingen
– de categorieën gegevens waarop deze verwerkingen betrekking hebben
– de categorieën ontvangers aan wie de gegevens worden verstrekt

– de gegevens zelf die worden verwerkt en alle beschikbare informatie over de oorsprong van die gegevens tenzij de inzage van deze gegevens via de wet van het recht op inzage worden uitgesloten.

Eenieder mag zich kosteloos en zonder enige motivering verzetten tegen het ver-werken van gegevens met het oog op direct marketing.

Bij de verzameling van persoonsgegevens die op de patiënt betrekking hebben, wordt deze omtrent de in art. 4 W.B.P.L. vermelde topics geïnformeerd via de website www.osteopatenpraktijkHZ.be

• Bovendien heeft elke patiënt het recht om hetzij op rechtstreekse wijze, hetzij met behulp van een beroepsbeoefenaar in de gezondheidszorg, kennis te krijgen van de persoonsgegevens die betreffende zijn gezondheid worden verwerkt. Deze aanvraag tot inzage of afschrift dient gericht te worden tot de praktijverantwoordelijken.
• Indien de patiënt van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere redenen tot klagen heeft omtrent de bescherming van diens persoonlijke levenssfeer, kan deze zich steeds wenden tot een praktijverantwoordelijke naar keuze.
• Onverminderd alle hierboven opgesomde interne rechts- en verweermiddelen, kan de patiënt zich overeenkomstig de art. 13, 14 en 63 e.v. W.B.P.L. respectievelijk wenden tot de Voorzitter van de Rechtbank van Eerste Aanleg en tot de Gegevensbeschermingsautoriteit.

13       Beleidsdoelstellingen voor gegevensbescherming

OsteopatenpraktijkHZ als verwerker van de gegevens van haar cliënten :

1. Is transparant over de persoonsgegevens die het verwerkt en het verwerkingsdoel. Z

Zowel naar de betrokken cliënten, als naar de toezichthouders. De gevoerde communicatie is eerlijk, eenvoudig toegankelijk en begrijpelijk. Het transparantieprincipe is ook van toepassing wanneer de persoonsgegevens worden uitgewisseld.

2. Verwerkt enkel de gegevens die relevant zijn voor het uitvoeren van haar taken. Elke taak waarbij persoonsgegevens worden verwerkt, is rechtmatig. In overeen-stemming is met de wettelijke en statutaire doelen van de praktijk.
3. Verwerkt enkel de persoonsgegevens die strikt noodzakelijk zijn voor de uitvoering van de activiteiten
4. Kijkt toe op de integriteit van de persoonsgegevens gedurende de ganse verwerkingscyclus.
5. Bewaart gegevens niet langer dan noodzakelijk. De noodzakelijkheid is afgetoetst tegenover wettelijke verplichtingen en de rechten en vrijheden van de betrokkene.
6. Voorkomt inbreuken die voortvloeien uit het verwerken van persoonsgegevens. Informatieveiligheid, gegevensbescherming bij ontwerp en privacy-vriendelijke standaardinstellingen zijn hiervoor hulpmiddelen. Wanneer een inbreuk plaatsvindt, wordt hierover gerapporteerd in lijn met de regelgeving ter zake.
7. Is in staat om alle geldende rechten van een betrokkene, zoals het recht op inzage, afschrift en eventueel ook schrapping uit te voeren. OsteopatenpraktijkHZ waakt hierbij over de eventuele beperkingen die op deze rechten van toepassing zijn.
8. Waakt er actief over dat bij het verwerken van de persoonsgegevens voor een welbepaald doel, de rechten en vrijheden van de betrokkene gevrijwaard blijven.
9. Verwerkt gegevens in lijn met de rechten en vrijheden die gelden in de Europese Economische Ruimte en controleert de toepassing hiervan wanneer de gegevens worden uitgewisseld daarbuiten. OsteopatenpraktijkHZ leeft bijgevolg alle wettelijke en normerende kaders na (i.e. zowel Vlaamse, Federale als Europese regels) bij het verwerken van persoonsgegevens en heeft daartoe haar verantwoordelijkheid over de persoonsgegevens en die van anderen duidelijk in kaart gebracht.
10. Kan aantonen dat het alle beleidsdoelstellingen naleeft, conform de wettelijke bepalingen. Deze verantwoordingsplicht wordt bewaakt door intern toezicht en controle en is uitvoerbaar volgens de wettelijk geldende principes.

14       Inwerkingtreding en wijzigingen

Deze versie van het privacybeleid treedt in werking op 1 mei 2024.
Wij behouden ons het recht voor om dit privacy beleid indien nodig te updaten. Eventuele wijzigingen zullen via de website aan de gebruikers worden gecommuniceerd.