AVG-verantwoording van “Care and coaching Berkelaar”

Vanaf 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. Ook voor zelfstandig werkende zorgverleners in de geestelijke gezondheidszorg met een eigen praktijk. De regels dwingen om zorgvuldig om te gaan met de privacygevoelige informatie van cliënten. Juist nu veel informatie gedigitaliseerd is. Ik als zorgverlener zijn verplicht verantwoording af te leggen over onze gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Daarom heb ik deze AVG-verantwoording voor onze praktijk opgesteld. Hiermee kan ik aantonen dat we de juiste technische en organisatorische maatregelen hebben genomen om de persoonsgegevens van onze cliënten te beveiligen. En dat onze gegevensverwerkingen aan de AVG voldoen.

Stap 1. De gegevens

In onze administratie in onze computer verzamelen we structureel de volgende
persoonsgegevens van onze klanten:

  • Naam
  • Adres
  • Postcode
  • Woonplaats
  • Land
  • Geslacht
  • Telefoonnummer
  • Mobiele nummer
  • Fax-nummer
  • Emailadres
  • URL van de website
  • Bij relatietherapie: naam partner
  • Geboortedatum
  • BSN-nummer
  • Zorgverzekeraar
  • Polisnummer
  • Evt. afwijkend correspondentieadres
  • KvK-nummer indien bedrijf
  • Huisartsgegevens
  • De begeleider(s)
  • Datum eerste sessie
  • Datum van elke sessie
  • Factuur van elke sessie
  • Datum laatste sessie
  • Hoeveel sessies
  • Resultaat van afgeronde begeleiding

Alle bovenstaande gegevens zijn veilig geregistreerd en niet toegankelijk voor anderen dan de medewerker van “Care and coaching Berkelaar”. Naast de eisen die de AVG aan mij stelt, zijn we gehouden aan het medisch beroepsgeheim en aan de regels van de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Ook voldoen we aan de NEN 7510 (zie de bijlagen).

Naast deze voorschriften blijven de volgende wetten gelden:

In geval van tegenstrijdigheid gaat AVG altijd voor.

Naast de voornoemde lijst van gegevens hou ik van cliënten geen papieren dossier bij. Na afloop van de begeleiding worden de dossiers 15 jaar gearchiveerd.

Stap 2. Doel van het vastleggen van persoonsgegevens

Gegevens mogen niet nodeloos worden vastgelegd. De gegevens worden vastgelegd met de volgende doelen.
1. Zorgverzekeraars vragen om de identiteit aan de hand van een ID-bewijs te controleren. Ook de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg schrijft dat voor. Zorgverzekeraars vragen ook het verzekeringsrecht van cliënten bij Vecozo te checken. Daarvoor zijn BSN-nummer, geboortedatum, de zorgverzekeraar en het polisnummer vastgelegd.
2. Middels het samenwerkingscontract die ik afsluiten met onze cliënten gaan ze akkoord met onze samenwerking. Zij zijn dan officieel onze cliënten. Daarmee geven zij toestemming om hun gegevens op te slaan.
3. Cliënten kopen een dienst die ze op basis van een factuur betalen. Zorgverzekeraars stellen eisen aan de gegevens die daarop staan vermeld.
4. Om de voortgang van de therapie vast te leggen, worden door de cliënt en de therapeut verslagen gemaakt. De therapeut kan ook persoonlijke aantekeningen maken. Die worden allemaal in het dossier bewaard.
5. De WGBO schrijft voor dat ik alle dossiers tot 15 jaar na de laatste sessie bewaren. We bewaren daarom de dossiers en de administratie dus minimaal 15 jaar. En zeker langer dan 15 jaar als dat noodzakelijk is voor goede zorgverlening. Als een cliënt schriftelijk verzoekt om het dossier te vernietigen, dan wordt dat gedaan. Dat verzoek zelf wordt vervolgens minimaal 15 jaar gearchiveerd.

Ik mag onder de AVG persoonsgegevens blijven verstrekken aan zorgverzekeraars. De regels die onder de huidige wet WBP gelden voor bijvoorbeeld het verstrekken van gegevens aan zorgverzekeraars voor de declaratie van zorgkosten, het aanvragen van machtigingen en het uitvoeren van formele en materiële controle blijven onder de AVG bestaan.

Stap 3. Hoe informeer ik onze cliënten?

Cliënten krijgen alle zakelijke informatie, zoals procedures, prijzen en opleidings- en registratiegegevens, en algemene beschrijvingen van onze diensten via de website. Deze informatie is ook mondeling verkrijgbaar.

Tijdens de intake wordt naar die informatie verwezen. Hij wordt geïnformeerd over hoe ik met de duur van de begeleiding, met afspraken en met de samenwerking omgaan. En hij krijgt een samenwerkingsovereenkomst (ook wel behandelovereenkomst genoemd) mee, met het verzoek om die ingevuld weer in te leveren.

Stap 4. Wie werken met de persoonsgegevens en de dossiers?

De medewerker van “Care and coaching Berkelaar”: G.M.A. Berkelaar

Stap 5. Hoe is de beveiliging van de persoonsgegevens geregeld?

  • Lopende en gearchiveerde dossiers worden in de beveiligde computer en achter slot en grendel opgeborgen. Bij afwezigheid van de therapeut staat een alarm aan.
  • Na de wettelijke bewaartermijn zullen dossiers worden vernietigd.
  • De zakelijke administratie staat op een beveiligde computer en in een beveiligde kamer.
  • Cliënten kunnen kiezen voor de mogelijkheid om hun verslagen die ze naar mij mailen voor de veiligheid encrypted in te sturen.
  • Facturen worden direct overhandigd of per post verstuurd worden.
  • Bij intervisie en supervisie is alle daar ingebrachte informatie geanonimiseerd.

Stap 6. Wie heeft toegang tot de persoonsgegevens geregeld?

  • Alleen de therapeut G.M.A. Berkelaar van “Care and coaching Berkelaar” heeft
    toegang tot de administratie en de dossiers.
  • Daarnaast heeft de boekhouder L. Grotenhuis van “O & I Administratiekantoor” toegang tot de financiële administratie.
  • Bij wanbetaling worden alleen die gegevens aan een incassobureau gegeven die nodig zijn voor het incasseren.
  • De cliënt heeft het wettelijke recht om zijn dossier in te zien. Wil een ander, bijvoorbeeld een partner of een andere zorgverlener, het inzien dan kan dat alleen na schriftelijke toestemming van de cliënt.
  • Collegiaal overleg met een zorgverlener buiten “Care and coaching Berkelaar” kan alleen geschieden na schriftelijke toestemming van de cliënt.

Stap 7. Hoe gaan ik om met datalekken?

In geval gesignaleerd wordt dat persoonsgegevens toch gelekt zijn,

  • zal de betreffende persoon direct verwittigd worden.
  • zal al het mogelijke worden gedaan om de impact voor die persoon te beperken.
  • zullen de betrokken partijen geïnformeerd worden.
  • Zullen wij de Autoriteit Persoonsgegevens hiervan op de hoogte stellen. Wij houden conform de AVG-verplichting een register van datalekken bij.

Referenties

1. Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/gezondheid/zorgverleners-en-de-avg
2. Bewaartermijn medisch dossier, zie Burgerlijk Wetboek 7, artikel 454:
https://wetten.overheid.nl/BWBR0005290/2018-02-01#Boek7
3. T 7-stappen-plan: https://www.dropbox.com/s/jzp3qvz8sir0gfo/7-Stappenplan-om-te-voldoen-aan-de-AVG.docx?dl=0
4. Factuureisen van de NIP: https://www.psynip.nl/actueel/themas/thema/curatieve-ggz/
5. Factuureisen van de belastingdienst: https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/administratie_bijhouden/facturen_maken/factuureisen/
En zie de bijlage: NEN 7510 deel 1 en 2, van 2017.

Nog vragen?

Toch nog een vraag, of een verzoek tot contact. Mail ons via dit formulier en we nemen z.s.m contact met u op.