Privacy Policy:

Per 25 mei 2018 treedt de nieuwe Privacywetgeving in werking. Het gaat dan om Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische communicatie (2002/58/EG), de nationale wetten ter uitvoering van deze richtlijnen en/of, in voorkomend geval, de verordening (EU) 2016/679 (de Algemene Verordening Gegevensbescherming, ofwel AVG). Deze wetgeving vervangt de wet Bescherming persoonsgegevens. De AVG verwacht een meer proactieve rol van iedere organisatie die persoonsgegevens verwerkt.

De meest relevante wijzigingen waar rekening mee dienen te worden gehouden zijn:
- Versterking en uitbreiding van privacy rechten;
- Meer verantwoordelijkheden voororganisaties;
- Dezelfde, stevige bevoegdheden voor alle Europese privacy toezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

De Autoriteit Persoonsgegevens (hierna AP) blijft net als voorheen onder de wet Bescherming persoonsgegevens de autoriteit die controleert of organisaties zich aan de wetgeving houden. Ter voorbereiding op de nieuwe regelgeving heeft de AP een stappenplan opgesteld.

Het AVG-10 stappenplan:
1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Data protection impact assessment (DPIA)
5. Privacy by design & privacy by default
6. Functionaris voor de gegevensbescherming
7. Meldplicht datalekken
8. Verwerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming

Een nadere uitwerking van dit stappenplan en naleving in de praktijk daarvan dient ervoor zorg te dragen dat Osteopathie Seva zich zoveel mogelijk aan de nieuwe wetgeving AVG kan houden. Hieronder zullen de verschillende stappen worden besproken. Daarbij wordt nagegaan in hoeverre deze punten binnen Osteopathie Seva gelden, waar Osteopathie Seva tegenaan loopt en op welke wijze Osteopathie Seva op een verantwoorde manier aan de ‘nieuwe’ verplichtingen kan voldoen.

1 Bewustwording
1.1 Osteopathie Seva is een solo praktijk waarbinnen één osteopaat osteopatische behandelingen als dienstverlening aanbiedt. Om dat doel te kunnen uitvoeren, dient Osteopathie Seva persoonsgegevens van patiënten te verwerken en gebruiken binnen de dagelijkse bedrijfsvoering.
1.2 De gegevens die worden gedocumenteerd zijn privacygevoelig. Het gaat om persoonsgegevens, aan de hand waarvan de betrokkene zowel direct als indirect geïdentificeerd kunnen worden. Ten einde er zeker van te zijn dat met die gegevens wordt omgegaan op een wijze die verantwoord is en voldoet aan de privacywetgeving zoals per 25 mei 2018 van kracht zal worden, heeft Osteopathie Seva ervoor gekozen met het onderhavige protocol in kaart te brengen, aan de hand van het AVG-stappenplan (zoals hiervoor opgesomd), op welke wijze invulling gegeven dient te worden aan de AVG.
1.3 Het betreft hier registratie van persoonsgegevens met een gerechtvaardigd belang. Immers, de patiënten melden zichzelf aan bij Osteopathie Seva. De patiënten hebben er zelf belang bij en de behandelingen leidt tot allerlei voordelen. Osteopathie Seva verzorgt osteopathie behandelingen.

2 Rechten van betrokkenen
2.1 Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de Verordening diverse rechten aan de betrokkene. De betrokkene kan deze rechten uitoefenen tegen de verwerkingsverantwoordelijke.

De betrokkene heeft:
• Het recht op informatie over de verwerkingen;
• Het recht op inzage in zijn gegevens;
• Het recht op correctie van de gegevens als deze niet kloppen;
• Het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;
• Het recht op beperking van de gegevensverwerking;
• Het recht op verzet tegen de gegevensverwerking;
• Het recht op overdracht van zijn gegevens (dataportabiliteit);
• Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.

2.2 Een patiënt of voormalig patiënt (de betrokkene) kan om bovenstaande gegevens verzoeken. De betrokkene kan zulks doen per mail naar info@osteopathieseva.nl. De betrokkene dient zich daarbij te legitimeren, opdat Osteopathie Seva met voldoende zekerheid kan vaststellen dat degene die het verzoek doet daadwerkelijk de betrokkene is.
2.3 Osteopathie Seva zal binnen 1 maand na ontvangst van het verzoek betrokkene informeren over de uitvoering van het verzoek. Bij complexe verzoeken, of een veelvoud aan verzoeken, kan deze termijn verlengd worden met maximaal 2 maanden. De betrokkene zal in een dergelijk geval van verlengde termijn van uitvoering van het verzoek daaromtrent geïnformeerd worden. De informatie wordt in principe schikkelijk verstrekt.
2.4 In sommige gevallen mag Osteopathie Seva weigeren tot uitvoering van het verzoek om gegevensverstrekking over te gaan, dan wel daarvoor kosten in rekening brengen. Het moet dan gaan om de situatie dat de betrokkene buitensporige of ongegronde verzoeken doet. (Bijvoorbeeld meerdere verzoeken achter elkaar om dezelfde gegevens. Dan wel wanneer sprake is van een van de beschermende noodzakelijkheidscriteria welke de AVG kent zoals bijvoorbeeld in het kader van een (strafrechtelijk) onderzoek naar de betrokkene). Indien Osteopathie Seva weigert aan het verzoek te voldoen, zal Osteopathie Seva zulks motiveren en de betrokkene wijzen op het klachtrecht bij de toezichthouder AVG.
2.5 Osteopathie Seva realiseert zich dat indien zij een schriftelijke beslissing neemt in het kader van de uitoefening van de rechten van de betrokkene, dat dit dan geldt als een besluit in de zin van de Algemene wet bestuursrecht.
2.6 In sommige gevallen dient Osteopathie Seva de betrokken patiënt uit zichzelf te informeren.

Dit is het geval indien:
- Gegevens buiten de betrokkene om worden verkregen;
- Gegevens voor een ander doel gebruikt gaan worden dan waar de gegevens
- Oorspronkelijk voor waren afgegeven. Osteopathie Seva zal in die gevallen binnen 1 maand betrokkene informeren.

2.7 Indien de behandeling van de patiënt eindigt, zal Osteopathie Seva de persoonsgegevens nog enige tijd in haar systeem bewaren. De wet Wgbo bepaalt dat medische dossiers 15 jaar moeten worden bewaard. Aan die bewaartermijn zal Osteopathie Seva zich houden. De dossiers zullen na 15 jaar vernietigd worden. Binnen het dossier bevinden zich tevens gegevens van niet medische aard. 2.8 Teneinde er zeker van te zijn dat de betrokkene een volledig beeld heeft van de wijze waarop met diens persoonsgegevens wordt omgegaan en met welk doel en onder welke grondslag (gerechtvaardigd belang), zal iedere betrokkene bij registratie toegang krijgen tot dit privacy statement en de hierbij behorende documenten. Osteopathie Seva zal deze gegevens op de website plaatsen en iedere betrokkene op die vindplaats wijzen.

3 Register van verwerkingsactiviteiten
3.1 Osteopathie Seva verwerkt persoonsgegevens van patiënten. De volgende persoonsgegevens worden van deze patiënten verwerkt.
3.2 Ten aanzien van al deze vormen van verwerkingen van persoonsgegevens zal Osteopathie Seva een register van verwerkingsactiviteiten bijhouden. Daarin worden alle soorten persoonsgegevens opgenoemd die verwerkt worden. Alleen en indien dit noodzakelijk is voor uitvoering van de hierboven genoemde doeleinden, worden de gegevens aan andere partijen verstrekt of krijgen toegang voor onderhoud. Osteopathie Seva heeft een verwerkingsovereenkomst met andere partijen voor: Softwareleverancier patiëntenadministratie (Crossuite) 3 DPIA (Data protection impact assessment)
4.1 DPIA staat voor gegevensbeschermingseffectbeoordeling. Een DPIA is alleen verplicht wanneer sprake is van gegevensverwerking welke waarschijnlijk een hoog privacy risico oplevert. Binnen de AVG worden drie situaties besproken wanneer sprake is van verhoogd risico:
- Systematisch en uitvoerig persoonlijke aspecten evalueren
- Op grote schaal bijzondere persoonsgegevens verwerken
- Op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied

4.2 Naast de criteria uit de AVG zelf heeft de werkgroep van Europese privacy toezichthouders een lijst met 9 criteria opgesteld om nader te bezien of een DPIA nodig is. De criteria die op osteopaten van toepassing zouden kunnen zijn:
- Gevoelige gegevensverwerking
- Grootschalige gegevensverwerking
- Gegevensverwerking over kwetsbare personen

4.3 De privacy toezichthouders zien verwerkingen van bijzondere persoonsgegevens door individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen DPIA uit te voeren. Het ligt voor de hand dat de gegevensverwerking door de individuele osteopaat aldus evenmin de uitvoering van een DPIA behoeft. Osteopathie Seva zal zodoende geen DPIA uitvoeren.
4.4 Evenwel is Osteopathie Seva zich ervan bewust dat sprake is van bijzondere persoonsgegevens. De inhoud van een medisch dossier is gevoelig voor de betrokkene en vergt een grote mate van vertrouwelijkheid. Osteopathie Seva zal zich zodoende inzetten die gegevens vertrouwelijk te houden.
4.5 De gegevens zoals Osteopathie Seva registreert, zijn slechts bedoeld voor intern gebruik. De persoonsgegevens worden gebruikt om te waarborgen dat de osteopaat de patiënt zo goed mogelijk van dienst kan zijn. Van dienst zijn in het verhelpen van de klachten en van dienst zijn door het mogelijk maken dat de ziektekostenverzekering de kosten zoveel mogelijk vergoedt.
4.6 Op termijn zal de Autoriteit Persoonsgegevens (AP) een lijst van verwerkingen publiceren waar een DPIA voor verplicht is. Zodra die lijst er is, zal Osteopathie Seva haar verwerking van persoonsgegevens opnieuw tegen het licht houden om te bezien of nog nadere maatregelen nodig zijn.

5 Privacy by design & privacy by default
5.1 Privacy door ontwerp en door standaardinstellingen voor producenten. Osteopathie Seva is producent van een dienst, welke wordt ondersteund door de verwerking van persoonsgegevens. Zodoende houdt Osteopathie Seva bij de ontwikkeling en uitwerking van die dienst rekening met het recht op bescherming van persoonsgegevens. Met inachtneming van de stand van de techniek ziet Osteopathie Seva erop toe dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.

.2 Osteopathie Seva let daarbij op:
- Het minimaliseren van de verwerking van persoonsgegevens;
- Slechts het BSN-nummer noteren, doch geen kopie maken van de het paspoort/ID kaart;
- Transparante met betrekking tot de functies en de verwerking van persoonsgegevens;
- Het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking;
- Beveiligingskenmerken creëren en verbeteren.

6 Functionaris voor de gegevensbescherming
6.1 Net als voor de DPIA geldt dat de individuele praktijk van een osteopaat door de AP niet wordt gezien als een grootschalige verwerker. Het instellen van een Functionaris voor de Gegevensbescherming is ondanks dat het gaat om bijzondere persoonsgegevens niet noodzakelijk. Osteopathie Seva benoemt nogmaals dat er sprake is van het verwerken van persoonsgegevens op verzoek van de patiënt. Osteopathie Seva verwerkt geen persoonsgegevens voor commerciële doeleinden. Patiënten worden niet gevolgd door Osteopathie Seva aan de hand van de persoonsgegevens.
6.2 Osteopathie Seva benadrukt opnieuw zich te realiseren persoonsgegevens te verwerken die een hoge mate van vertrouwelijkheid kennen. Osteopathie Seva meent echter alle maatregelen te hebben genomen, teneinde erop toe te zien dat de persoonsgegevens van patiënten niet voor andere doeleinden gebruikt worden dan bedoeld is.

7 Meldplicht Datalekken
7.1 Een datalek in de zin van de AVG is een inbreuk in verband met persoonsgegevens. Het is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
7.2 Het is voor de kwalificatie als ‘inbreuk in verband met persoonsgegevens’ niet relevant dat er boze opzet in het spel is. Naast het ‘hacken’ van persoonsgegevens, kan ook gedacht worden aan gegevens die op een verloren laptop staan of een afgesloten website met persoonsgegevens die per ongeluk open staat. Een inbreuk op de beveiliging houdt in dat zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Er is niet uitsluitend sprake van een dreiging, of van een tekortkoming in de beveiliging (ook wel aangeduid als een beveiligingslek), die zou kunnen leiden tot een beveiligingsincident. Er heeft zich daadwerkelijk een beveiligingsincident voorgedaan, waarbij de getroffen preventieve maatregelen niet toereikend waren om dit te voorkomen.
7.3 Osteopathie Seva zal ieder datalek aan de AP melden, tenzij onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Osteopathie Seva zal binnen 72 uur na ontdekking de AP in kennis stellen, ook indien nog niet alle informatie voorhanden is.
7.4 Bovendien zal Osteopathie Seva het datalek onverwijld melden aan de betrokkenen, indien sprake is van een hoog risico door de inbreuk op de persoonsgegevens. Voor de vraag of sprake is van een hoog risico zal Osteopathie Seva eerst nader onderzoek daarnaar mogen doen.
7.5 Het datalek zal door Osteopathie Seva gedocumenteerd worden in een overzicht van datalekken die zich binnen Osteopathie Seva hebben voorgedaan. Niet alleen zullen de feiten omtrent de inbreuk en de gevolgen daarvan in dit overzicht worden gedocumenteerd, doch eveneens de genomen corrigerende maatregelen.

8 Verwerkersovereenkomsten
8.1 Osteopathie Seva maakt gebruik van Crossuite voor het verwerken van de persoonsgegevens in een patiëntendossier online platform. Dit bedrijf dient zodoende gezien te worden als een verwerker. Om ervan verzekerd te zijn dat Crossuite zich aan de vereisten houdt welke nodig zijn om te voldoen aan de AVG heeft Osteopathie Seva een verwerkersovereenkomst afgesloten met bedrijf Crossuite. Binnen de verwerkersovereenkomst zijn de volgende zaken geregeld:

- Het onderwerp en de duur van de verwerking;
- De aard en het doel van de verwerking;
- Het soort persoonsgegevens en de categorieën van betrokkenen; de rechten en verplichtingen van de verwerkingsverantwoordelijke.
- De persoonsgegevens alleen verwerkt worden onder schriftelijke instructie van
- Osteopathie Seva, onder andere voor wat betreft de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (tenzij deze daartoe wettelijk is verplicht);
- Waarborg van de verwerker dat de toegang tot die gegevens is beperkt tot gemachtigde personen. Deze personen moeten gebonden zijn aan geheimhouding op grond van een overeenkomst of een wettelijke verplichting;

- De verwerker minimaal hetzelfde niveau van beveiliging van de persoonsgegevens hanteert als Osteopathie Seva doet;
- De verwerker zal Osteopathie Seva alle mogelijke ondersteuning bieden bij het nakomen van haar verplichtingen met het oog op beantwoording van verzoeken rondom de rechten van betrokkenen;
- Verwerker Osteopathie Seva zal bijstaat bij het nakomen van haar verplichtingen op het gebied van beveiliging van persoonsgegevens en de meldplicht datalekken;
- Na beëindiging van de overeenkomst tussen Osteopathie Seva en verwerker, de in uw opdracht verwerkte persoonsgegevens wist of aan Osteopathie Seva teruggeeft, en bestaande kopieën verwijdert;
- Osteopathie Seva alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat de verplichtingen op grond van de Verordening rondom het inzetten van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken;
- Verwerker maakt inzichtelijk welke afspraken deze met betrekking tot sub verwerkers maakt;
- Verwerker vermeldt de goedgekeurde gedragscodes en certificeringsmechanismen waar verwerker bij diens werkzaamheden gebruik van maakt;
- Verwerker garandeert Osteopathie Seva aan alle verplichtingen te voldoen zoals de AVG en verwerkt verlangt

9 Leidende Toezichthouder
9.1 Osteopathie Seva dient te bepalen onder welke toezichthouder zij valt. Osteopathie Seva heeft 1 vestiging in Ridderkerk. Dit is op Nederlandse bodem. De werkzaamheden van Osteopathie Seva rusten op Nederlands grondgebied. De Leidende toezichthouder voor Osteopathie Seva is dus de Autoriteit Persoonsgegevens te Nederland.

10 Toestemming 10.1 Voor de verwerking van bepaalde gegevens is toestemming nodig van de betrokkene. Dat is het geval indien het gaat om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Ook het nationaal identificatienummer (BSN) is een zaak waarbij expliciete toestemming van de betrokkene nodig is, indien dat nummer wordt verwerkt. Osteopathie Seva verwerkt het BSN-nummer van haar patiënten nu osteopaten verplicht zijn dit nummer te gebruiken in correspondentie met andere zorgverleners. Het verwerken van gegevens over de gezondheid betreft eveneens een bijzondere categorie gegevens waarvan voor de verwerking toestemming nodig is van de patiënt. Het heeft echter de sterke voorkeur het verwerken van alle persoonsgegevens op voorhand met patiënten te bespreken en bij die verwerking expliciet te vermelden of de patiënt toestemming heeft gegeven voor die verwerking.
10.2 Osteopathie Seva zal op de volgens de volgende wijze invulling geven aan deze benodigde toestemming. Naast het doorspreken van de onderzoeksresultaten zal besproken worden welk behandelplan gevolgd zal worden. Bij de intake van een patiënt zal een inschatting worden geven van het aantal afspraken. Hierbij aangetekend wordt dat het hier een bevestiging van de gemaakte afspraken betreft.


- Patiënt gewezen is op het feit dat de persoonsgegevens verwerk zullen worden en om welke gegevens het gaat.
- Patiënt heeft expliciet toestemming gegeven voor het verwerken.
- Patiënt heeft rechten ten aan zien van de verwerking van de persoonsgegevens
- Patiënt is gewezen op de bewaartermijn van de persoonsgegevens
- Patiënt is gewezen op de tarieven van Osteopathie Seva
- Patiënt het recht heeft om een klacht in te dienen tegen Osteopathie Seva bij de NRO of NVO.

11 Slotwoord:
- Osteopathie Seva gaat ervan uit met dit privacy beleid aan alle vereisten van de nieuwe AVG
- regels te voldoen. Osteopathie Seva is zich ervan bewust dat sprake is van nieuwe regelgeving en
- dat zulks inhoudt dat nog niet alle facetten zich even makkelijk laten uiteenzetten.
- Osteopathie Seva zal de aanpassingen, beslissingen en verder nieuws vanuit de AP volgen, opdat
- tijdige maatregelen genomen kunnen worden deze beleidsregels alsnog verder aan
- te scherpen, of bij te snijden.

TERUG NAAR DE WEBSITE