Bescherming van persoonsgegevens

In het privacyreglement wordt onder meer verduidelijkt op welke wijze de persoonsgegevens in het AZ Herentals worden verwerkt en hoe de patiënt controle kan uitoefenen op deze verwerking van zijn/haar persoonsgegevens.

Wat is de bedoeling van dit reglement?

Het AZ Herentals wil kwalitatief hoogstaande, betaalbare en verantwoorde zorg bieden, en deze zorg aanpassen aan de behoeften van de patiënt, met respect voor de patiënt en zijn familie. Dat betekent dat patiënten, maar ook medewerkers en andere personen niet enkel recht hebben op deskundige zorg maar eveneens recht hebben op hun privacy en transparante verwerking van hun persoonsgegevens.

In dit privacyreglement wordt daarom onder meer verduidelijkt op welke wijze de persoonsgegevens in het AZ Herentals worden verwerkt en hoe de patiënt controle kan uitoefenen op deze verwerking van zijn/haar persoonsgegevens.

Dit reglement werd opgesteld in uitvoering van:

  • de Gecoördineerde wet van 10 juli 2008 op de ziekenhuizen en andere verzorgingsinrichtingen (hierna: de Ziekenhuiswet)
  • Bijlage A. III. artikel 9quater van het Koninklijk Besluit van 23 oktober 1964 tot bepaling van de normen die door ziekenhuizen en hun diensten moeten worden nageleefd
  • de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzicht van de verwerking van persoonsgegevens, en zijn uitvoeringsbesluiten, met name het Koninklijk Besluit van 13 februari 2001 (hierna: de Privacywet)
  • Verordening EU nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, en zijn uitvoeringswetten en –besluiten (hierna: de GDPR)
  • het Koninklijk Besluit van 6 december 1994 houdende bepaling van de regels volgens welke bepaalde statistische gegevens moeten worden meegedeeld aan de Minister die de Volksgezondheid onder zijn bevoegdheid heeft

 

Definities

Voor de toepassing van dit reglement wordt verstaan onder:

  • Persoonsgegevens: iedere vorm van informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zoals een patiënt. Als identificeerbaar wordt beschouwd een natuurlijke persoon die rechtstreeks of onrechtstreeks kan worden geïdentificeerd, met name aan de hand van een identificatienummer (bv. het Rijksregisternummer), locatiegegevens, een online identificator (bv. een IP-adres) of één of meer elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economisch, culturele of sociale identiteit;
  • Persoonsgegevens over de gezondheid: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;
  • Anonieme gegevens: alle gegevens die niet (meer) met een geïdentificeerd of identificeerbaar persoon in verband kunnen worden gebracht en die dus geen persoonsgegevens (meer) zijn;
  • Gepseudonimiseerde persoonsgegevens: persoonsgegevens die op zodanige wijze verwerkt worden dat ze niet meer aan een specifieke natuurlijke persoon kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld. Het gaat dus niet om anonieme gegevens, aangezien de natuurlijke persoon na pseudonimisering nog wel identificeerbaar is;
  • Bestand: elk gestructureerd geheel van persoonsgegevens, samengesteld en bewaard op een logische gestructureerde wijze die een systematische raadpleging toelaat, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;
  • Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, aligneren, combineren, alsook het afschermen, uitwissen of vernietigen van persoonsgegevens;
  • Verwerkingsverantwoordelijke: de natuurlijke persoon, de rechtspersoon, een overheidsinstantie, een dienst of een andere orgaan die/dat alleen of samen met anderen het doel en de middelen voor de verwerking van de persoonsgegevens bepaalt;
  • Bewerker: de persoon die onder gezag van de verwerkingsverantwoordelijke gemachtigd is om de gegevens te verwerken;
  • Verwerker: de natuurlijke persoon, de rechtspersoon, een overheidsinstantie, een dienst of een andere orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder onder het rechtstreeks gezag van de verwerkingsverantwoordelijke te staan;
  • Ontvanger: de natuurlijke persoon, de rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan aan wie/waaraan persoonsgegevens worden verstrekt;
  • Patiënt: de natuurlijke persoon, opgenomen of behandeld in het ziekenhuis, die er al dan niet verblijft en voor wie medische of verpleegkundige of paramedische prestaties worden verricht;
  • Toestemming van de patiënt: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting, waarmee de patiënt of zijn wettelijke vertegenwoordiger door middel van een verklaring of ondubbelzinnige actieve handeling aanvaardt dat persoonsgegevens betreffende die patiënt worden verwerkt.

 

Toepassingsgebied

Dit reglement is van toepassing op de in artikelen 4, 5 en 6 van dit reglement omschreven verwerkingen van persoonsgegevens van patiënten in het AZ Herentals, Nederrij 133 te 2200 Herentals, samengesteld of uitgevoerd door haar werknemers en/of zelfstandige beroepsbeoefenaars.

 

Van wie gebruiken we de gegevens?

Het verzamelen en verwerken van persoonsgegevens geldt voor alle patiënten van het AZ Herentals die hier worden opgenomen of behandeld en die er al dan niet verblijven en voor wie medische, verpleegkundige of paramedische prestaties worden verricht.

Dit is overeenkomstig de artikelen 20 en 25 van de Ziekenhuiswet.

Persoonsgegevens die de gezondheid betreffen, worden door de zelfstandige beroepsbeoefenaars en/of de werknemers van het ziekenhuis ingezameld bij de patiënt zelf, tenzij een andere inzamelingswijze zich opdringt in functie van de doeleinden van de verwerking of tenzij de patiënt zelf niet in staat is om de gegevens te bezorgen.

 

Over welke gegevens gaat het?

De binnen het AZ Herentals verwerkte persoonsgegevens van patiënten zijn:

  • Identificatiegegevens, waaronder het Rijksregisternummer
  • Financiële en administratieve gegevens met betrekking tot opname en facturatie, waaronder het lidmaatschap van het ziekenfonds
  • Medische, paramedische en verpleegkundige gegevens, opgesplitst in volgende modules:
    • medische module
    • verpleegkundige module
    • paramedische module
    • geneesmiddelenverstrekkingsmodule
  • Sociale gegevens
  • andere gegevens noodzakelijk voor het uitvoeren van de doeleinden bepaald of opgelegd door de wet (gerechtelijke gegevens).

 

De volgende onderdelen van de patiëntenbestanden zijn deels elektronisch, deels manueel:

  • Administratieve gegevens
    • patiënten identificatiegegevens: naam, geslacht, geboortedatum, uniek patiëntennummer,
    • rijksregisternummer, adresgegevens, familiale gegevens, contactadressen
    • mutualiteitsgegevens en andere verzekeringsorganismen
    • administratieve opname van verblijfsgegevens: opname- en ontslagdata, behandelende artsen, locaties (dienst, kamer, bed)
    • sociaal dossier
    • maaltijddistributie
    • diverse ondertekende verantwoordingsstukken (opnameverklaring, kamerkeuzeformulier, algemene voorwaarden,…)
  • Medische en verpleegkundige gegevens
    • kritische gegevens (bloedgroep, allergieën)
    • fysische parameters (gewicht, lengte,…)
    • reden van opname, diagnoses
    • ingrepen en bevallingen
    • verpleegkundige aandachtspunten en observaties
    • aanvragen en resultaten (labo, RX, EKG,…)
    • medische verslagen
    • medicatie
    • verpleegkundige zorgen inclusief het zorgenplan
    • minimale verpleegkundige, klinische, psychiatrische gegevens (MVG, MKG)
    • beeldmateriaal
    • voortgangsnota’s van diverse zorgverstrekkers
  • Facturatie en financiële gegevens
    • geleverde prestaties en producten
    • verblijfsgegevens, verpleegdagen, forfaits
    • betalingstoestand van de patiënt en verzekeringsorganisatie
    • debiteurengegevens

De onderlinge verbanden, verbindingen en raadplegingen van deze geautomatiseerde onderlenen zijn vastgelegd op patiëntenniveau door middel van een uniek patiëntennummer.

AZ Herentals heeft een medisch samenwerkingsverband (‘nexuzhealth’) met een aantal andere Vlaamse ziekenhuizen. Omwille van die samenwerking wordt het patiëntendossier gedeeld met zorgverleners in deze ziekenhuizen. Deze aanpak vormt een essentieel onderdeel van onze gedeelde strategie voor veilige en kwaliteitsvolle patiëntenzorg. Ook in dit samenwerkingsverband worden de privacyregels strikt gewaarborgd en nageleefd. De lijst van deelnemende partners groeit nog steeds. Je vindt een actuele lijst op www.nexuzhealth.be.

 

Voor welke doelen gebruiken we deze gegevens?

De verwerking van de persoonsgegevens van patiënten is op grond van de artikelen 6 en 9 van de GDPR onder meer mogelijk in het kader van:

  • de verstrekking van gezondheidszorgdiensten zoals bedoeld in de wet van 22 augustus 2002 betreffende de rechten van de patiënt;
  • de bepalingen van de Ziekenhuiswet (m.n. de artikelen 20 en 25);
    de wet op de verplichte verzekering voor geneeskundige verzorging en uitkeringen, gecoördineerd op 14 juli 1994;
  • rechtsvorderingen; of
  • een uitdrukkelijke en geïnformeerde toestemming van de patiënt, voor zover de toestemming voor de verwerking van patiëntengegevens overeenkomstig de artikelen 6 en 9 van de GDPR vereist is.

Binnen de grenzen van het wettelijk kader hebben de verwerkingen van persoonsgegevens van patiënten binnen het AZ Herentals met name één of meer van de doeleinden voor ogen:

  • Patiëntenzorg: het verrichten van preventieve geneeskunde of het stellen met een medische diagnose, het verstrekken van (medische, paramedische, verpleegkundige en sociale) zorg of behandelingen aan de betrokkene of een verwant of het beheer van de gezondheidsdiensten, in het belang van de betrokkene;
  • Patiëntenadministratie: het opvolgen van verblijf en behandeling van patiënten met het oog op facturatie;
    Patiëntenregistratie: het registreren van medische gegevens en verblijfsgegevens van patiënten voor interne door de overheid opgelegde doeleinden, evenals voor onderzoeks- en beleidsdoeleinden;
  • Geneesmiddelenbeheer: verwerkingen met betrekking tot het voorschrijven en afleveren van geneesmiddelen;
  • Klachtenbehandeling: het registreren van persoonsgegevens van patiënten en/of hun vertrouwenspersonen teneinde te kunnen bemiddelen bij de aangebrachte klachten en het registreren van klachten;
  • Zorgkwaliteit: verzameling en verwerking van alle gegevens met betrekking tot medische en paramedische diagnostische en therapeutische praktijken toegediend aan de patiënten met als doel de zorgkwaliteit te verbeteren;
  • Patiëntveiligheid: zorgen voor een veilig verloop van de zorgprocessen en een professionele zorg voor de patiënten;
  • Wetenschappelijke registratie: de registratie van (medische) persoonsgegevens die een epidemiologisch, wetenschappelijk en/of beheersmatig karakter hebben met het oog op doelstellingen over research, onderwijs of objectieven, opgelegd door de federale of regionale overheden;
  • Orgaandonatie: het verwerken van persoonsgegevens in het kader van het Koninklijk Besluit van 10 november 2012 houdende de lokale donorcoördinatie;

In geen geval zullen andere persoonsgegevens in deze verwerkingen worden opgenomen dan deze die noodzakelijk zijn voor de doeleinden hierboven weergegeven én zullen deze persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met deze doeleinden.

 

Wie is verantwoordelijk voor het gebruik van de gegevens?

§1. Het AZ Herentals, gelegen te 2200 Herentals, Nederrij 133, met ondernemingsnummer BE0821.734.213, tel: 014 24 61 23 en e-mail: info@azherentals.be, is de verwerkingsverantwoordelijke van de persoonsgegevens van patiënten, vertegenwoordigd door zijn Raad van Bestuur, en voor wie optreedt de Voorzitter van de Raad van Bestuur.

§2. De persoonsgegevens over de gezondheid zullen overeenkomst artikel 9, lid 3 van de GDPR uitsluitend onder toezicht en de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg worden verwerkt. De centrale verantwoordelijkheid voor en het toezicht op de patiëntenbestanden met persoonsgegevens die de gezondheid betreffen, berust bij de hoofdarts, hierin bijgestaan door de directeur administratie en financiën voor de niet medische en niet verpleegkundige persoonsgegevens uit de patiëntenbestanden en door de directeur verpleegkundige diensten voor de verpleegkundige en paramedische gegevens.

§3. Binnen het AZ Herentals werd een functionaris voor gegevensbescherming (data protection officer of DPO) aangesteld. Deze persoon is belast met het toezicht op alle aspecten in verband met de verwerking van persoonsgegevens, waaronder de beveiliging van persoonsgegevens en de uitoefening van de rechten van patiënten met betrekking tot hun persoonsgegevens. Deze functionaris kan door iedere patiënt gecontacteerd worden in verband met alle aangelegenheden betreffende de verwerking van persoonsgegevens in het AZ Herentals via e-mail: gegevensbescherming@azherentals.be en tel 014 24 61 75.

§4. Het AZ Herentals heeft eveneens een externe veiligheidsconsulent aangesteld, belast met de veiligheidsaspecten van de geïnformatiseerde informatie-inzameling, -bewaring en -verwerking. Deze persoon staat de verantwoordelijke voor het dagelijks beheer met raad bij inzake alle aspecten van de veiligheid van de informatie door het verstrekken van deskundige adviezen. De veiligheidsconsulent heeft hierbij naast een adviserende, ook een documenterende, stimulerende en controlerende rol en zal het dagelijks beheer behartigen en o.a. ook de gepaste technische en organisatorische maatregelen voorstellen die nodig zijn ter bevordering van de coherentie van de opgenomen gegevens en voor de bescherming van de gegevens tegen toevallig of ongeoorloofde vernietiging, en tegen toevallig verlies. Deze persoon stelt ook die technische maatregelen voor tegen niet-toegelaten wijziging van of toegang tot de gegevens, alsook tegen elke andere niet-toegelaten verwerking van persoonsgegevens.

 

Welke medewerkers gebruiken de gegevens?

§1. De interne raadpleging en verwerking van de persoonsgegevens van de patiënten geschiedt door de personen en binnen de perken zoals omschreven in deze paragraaf.

  • De persoonsgegevens die de gezondheid betreffen, worden verzameld en verwerkt onder leiding van de hoofdarts, zoals vermeld in artikel 7 van dit Privacyreglement;
  • De zelfstandige artsen verbonden aan het ziekenhuis krijgen een gedelegeerde verantwoordelijkheid voor de verzameling en de verwerking van de persoonsgegevens van de patiënten op de leefeenheden waarin zij werkzaam zijn;
  • De personeelsleden en zelfstandige beroepsbeoefenaars verbonden aan de verschillende verpleegkundige en paramedische diensten van het ziekenhuis stellen de verwerkingsmodules op van de patiëntenbestanden waarvoor ze respectievelijk de verantwoordelijkheid dragen;
  • De personeelsleden verbonden aan de keuken (incl. dieetkeuken) staan in voor de verwerking van de persoonsgegevens in de patiëntenbestanden, met het oog op de maaltijddistributie;
  • De personeelsleden van de verschillende medische secretariaten staan in voor het verwerken van de persoonsgegevens in de patiëntenbestanden, met het oog op de afhandeling van de medische administratie;
  • De personeelsleden van de diensten facturatie en financiële administratie staan in voor het uitvoeren, bewaren, opzoeken en technisch verwerken van persoonsgegevens van patiënten met het oog op facturatie;
  • De personeelsleden van ondersteunende diensten, zoals de diensten ICT en MKG/MVG staan in voor de technische verwerking van de persoonsgegevens tot geanonimiseerde gegevens, zowel met het oog op de door de overheid opgelegde doeleinden als met het oog op interne onderzoeks- en beleidsdoeleinden of voor de verwerking van de persoonsgegevens met het oog op de administratieve ondersteuning van deze doeleinden;
  • De personeelsleden verbonden aan patiëntbegeleidende diensten staan in voor de verwerking van de persoonsgegevens in de patiëntenbestanden met het oog op de opvolging binnen respectievelijk de sociale, psychologische, palliatieve en pastorale dienst en het patiëntenvervoer;
  • De personeelsleden van de ombudsdienst staan in voor de verwerking van de persoonsgegevens in de patiëntenbestanden, in het kader van de ombudsfunctie;
  • De personeelsleden van de apotheek staan in voor het verwerken van de persoonsgegevens in de patiëntenbestanden met het oog op de geneesmiddelendistributie;
  • De functionaris verwerkt persoonsgegevens in de patiëntenbestanden voor zover dit noodzakelijk zou zijn voor de uitvoering van zijn respectievelijke opdrachten.

De onderscheiden bewerkers hebben enkel toegang tot die persoonsgegevens welke zij absoluut nodig hebben voor de uitvoering van hun taken in opdracht van de verwerkingsverantwoordelijke. Uit het Elektronische Patiëntendossier kan een lijst getrokken worden van wie zich toegang heeft verschaft tot het programma en de erin opgenomen informatie.

§2. Alle werknemers en medewerkers van het ziekenhuis die voor de uitvoering van hun taken toegang nodig hebben tot persoonsgegevens van patiënten hebben zich ertoe verbonden om bij het verwerken en het raadplegen van de patiëntenbestanden de bepalingen van dit Privacyreglement en van de GDPR te eerbiedigen, evenals alle andere beginselen inzake privacybescherming te respecteren. Zij houden zich ook aan hun beroepsgeheim of aan een gelijkwaardige statutaire of contractuele vertrouwelijkheidsverplichting. Deze verplichtingen zijn opgenomen en verduidelijkt in zowel het arbeidsreglement als in het intern beleid inzake gegevensbescherming.

 

Aan wie geven we de gegevens door?

§1. Binnen de grenzen van de artikelen 6 en 9 van de GDPR en voor zover dit noodzakelijk is voor de in artikel 6 van dit Privacyreglement vermelde doeleinden, zijn de volgende categorieën van ontvangers gerechtigd om vanwege het AZ Herentals persoonsgegevens van patiënten te verkrijgen:

  • Verzekeringsinstellingen voor zover opgelegd door of krachtens de wet of met toestemming van de patiënt;-
  • Het Rijksinstituut voor Ziekte en Invaliditeitsverzekering (RIZIV) voor zover opgelegd door of krachtens de wet of met toestemming van de patiënt;
  • Betrokken patiënten of hun vertegenwoordigers binnen de grenzen van wat is bepaald binnen de Wet van 22 augustus 2002 betreffende de rechten van de patiënt;
  • Overheidsinstanties die door een overheidsbeslissing daartoe gemachtigd zijn;
  • Externe behandelende zorgverstrekkers van de patiënt in het kader van de patiëntenzorg bedoeld in artikel 6 van dit Privacyreglement;
  • Andere instanties, voor zover opgelegd door of krachtens de wet of met toestemming van de patiënt;
  • De beroepsaansprakelijkheidsverzekeraar van het ziekenhuis of van de beroepsbeoefenaar aangesteld door het ziekenhuis, zonder toestemming van de patiënt, voor zover deze mededeling noodzakelijk is voor de verdediging van een recht in rechte of voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
  • Externe verwerkers, waarop het AZ Herentals een beroep doet voor de verwerking van persoonsgegevens;

§2. Indien een doorgifte zoals bedoeld in §1 betekent dat de persoonsgegevens van de patiënt worden overgemaakt aan een land buiten de Europese Unie of aan een internationale organisatie, zal de patiënt bijkomende informatie ontvangen over de gevolgen van deze doorgifte voor de veiligheid van zijn persoonsgegevens.

§3. Buiten de gevallen uiteengezet in §1 kunnen enkel anonieme gegevens worden uitgewisseld met andere personen en instanties. De personeelsleden van de diensten ICT en MKG/MVG staat in voor de technische verwerking van de persoonsgegevens tot geanonimiseerde gegevens. Deze anonimisering houdt in dat de persoonsgegevens redelijkerwijze niet meer herleidbaar zijn tot een individuele patiënt. Persoonsgegevens mogen/kunnen slechts geanonimiseerd worden voor zover vaststaat dat het behoud van deze persoonsgegevens niet langer noodzakelijk is voor de beoogde verwerking. Dit is onder meer het geval bij de doorgifte van medische gegevens overeenkomstig artikel 92 van de Ziekenhuiswet aan de Federale Overheidsdienst Volksgezondheid of aan de Vlaamse Gemeenschap en ten behoeve van interne onderzoeks- en/of beleidsdoeleinden, epidemiologisch en/of wetenschappelijk onderzoek, alsook met het oog op door de overheid opgelegde doeleinden.

 

Hoe beveiligen we de gegevens?

Alle nodige voorzieningen worden getroffen ter bevordering van de juistheid en de volledigheid van de gegevens. Ook worden de nodige technische en organisatorische maatregelen getroffen ter beveiliging van de patiëntenbestanden tegen verlies of aantasting van de gegevens en tegen ongeoorloofde kennisneming, wijziging of verstrekking daarvan, zoals onder meer pseudonimisering en procedures voor het testen, beoordelen en evalueren van de doeltreffendheid van de beveiligingsmaatregelen. Geïnformatiseerde programma’s zoals het elektronisch patiëntendossier beschikken over een toegangscontrole (a priori) en kunnen ook een lijst bijhouden van toegangsloggings (a posteriori).

 

Hoe lang houden we de gegevens bij?

§1. Met inachtneming van eventuele wettelijke voorschriften geldt, te rekenen vanaf het laatste ontslag of de laatste behandeling van de patiënt, voor de persoonsgegevens die identificatie toelaten, een bewaartermijn van minstens:

  • 30 jaar voor medische gegevens;
  • 20 jaar voor verpleegkundige gegevens;
  • 7 jaar voor facturatiegegevens uit de patiëntenbestanden die dienen als boekhoudkundig verantwoordingsstuk en voor duplicaten van de getuigschriften voor verstrekte hulp, van de individuele factuur en van de verzamelfactuur;
  • 1 jaar voor de afgehandelde dossiers van de ombudsdienst.

§2. Indien de bewaartermijn verstreken is, worden de betreffende persoonsgegevens uit de bestanden verwijderd en vernietigd, binnen een termijn van 1 jaar. Voor de medische module sensu stricto kan dit enkel gebeuren mits akkoord van de behandelende ziekenhuisarts(en) of, bij ontstentenis, door de hoofdarts.

§3. Vernietiging kan evenwel achterwege blijven wanneer:

  • de bewaring is vereist op grond van een wettelijk voorschrift;
  • de bewaring redelijkerwijze belangrijk wordt geacht vanuit medisch oogpunt of vanuit de levensverwachting van de patiënt, of vanuit de verdediging van zijn rechtmatige belangen of die van zijn rechtverkrijgenden;
  • over de bewaring overeenstemming bestaat tussen de patiënt en de behandelend ziekenhuisarts of bij ontstentenis, de hoofdarts.

§4. Indien de betreffende gegevens zodanig verwerking zijn dat herleiding tot individuele personen redelijkerwijze onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.

 

Welke rechten heb je bij het gebruik van je gegevens?

§1. Uiterlijk op het moment van de verzameling van persoonsgegevens die op de patiënt betrekking hebben, wordt de patiënt overeenkomstig de bepalingen van de GDPR geïnformeerd over de verwerking van deze gegevens en de rechtsgrond voor deze gegevensverwerking, via een clausule in het opnameformulier en de onthaalbrochure, die verwijzen naar dit Privacyreglement op de website van het AZ Herentals. Verder ligt een exemplaar van dit Privacyreglement aan het onthaal ter inzage. Hiervan kan desgewenst een afschrift verkregen worden.

§2 De patiënt die hierom verzoekt, heeft het recht om vanwege de verwerkingsverantwoordelijke kosteloos kennis te krijgen en éénmalig kosteloos kopie te krijgen van alle gegevens en verwerkingen die hem aanbelangen. Dit recht heeft aldus betrekking op:

  • het al dan niet bestaan van verwerkingen van op hem betrekking hebbende persoonsgegevens;
  • de gegevens zelf die worden verwerkt en alle beschikbare informatie over de oorsprong van die gegevens, tenzij de inzage van deze gegevens via de wet van het recht op inzage worden uitgesloten;
  • de doeleinden van deze verwerkingen;
  • de categorieën gegevens waarop deze verwerkingen betrekking hebben en de bewaartijd van deze gegevens;
  • de categorieën ontvangers aan wie de gegevens worden verstrekt;
  • de rechten van de patiënt met betrekking tot de verwerkte persoonsgegevens;
  • de bron van deze persoonsgegevens, indien ze niet bij de patiënt zelf werden ingezameld;
  • het bestaan van geautomatiseerde besluitvorming op basis van deze persoonsgegevens, alsook de onderliggende logica en de gevolgen van die besluitvorming.

§3. De patiënt die hierom verzoekt, heeft bovendien het recht om door de verwerkingsverantwoordelijke kosteloos alle onjuist of onvolledige persoonsgegevens te laten verbeteren of aanvullen. Daarbij kan de patiënt tevens vragen dat zijn persoonsgegevens tijdelijk niet verder verwerkt worden (behalve in een aantal wettelijk bepaalde gevallen) totdat de juistheid van zijn persoonsgegevens werd gecontroleerd. Slechts indien de verwerkingsverantwoordelijke vaststelt dat de persoonsgegevens inderdaad onjuist of onvolledig zijn, moeten zij worden verbeterd of aangevuld.

§4. De patiënt heeft voorts het recht om te vragen dat de verwerkingsverantwoordelijke een kopie van zijn persoonsgegevens overmaakt aan die patiënt en/of rechtstreeks aan een andere instelling of persoon naar keuze van de patiënt, en dit in een formaat dat toelaat om deze persoonsgegevens gemakkelijk over te dragen. Dit recht geldt evenwel enkel voor persoonsgegevens verstrekt door de patiënt die via geautomatiseerde procedés verwerkt worden louter op grond van een uitdrukkelijke toestemming van de patiënt én voor zover de overdracht van privacy van anderen niet nadelig beïnvloedt.

§5. Indien de patiënt meent dat zijn persoonsgegevens niet meer mogen worden verwerkt (bv. omdat deze gegevens niet langer nodig zijn voor het verwerkingsdoel of onrechtmatig worden verwerkt), kan hij verzoeken dat zijn persoonsgegevens definitief worden gewist. In plaats van de wissing kan de patiënt als alternatief ook vragen dat zijn persoonsgegevens wel opgeslagen blijven, maar niet verder worden verwerkt (behalve in bepaalde wettelijk omschreven gevallen).

De verwerkingsverantwoordelijke is echter niet verplicht om de persoonsgegevens te wissen indien ze nog wel rechtmatig verwerkt mogen of moeten worden overeenkomstig de GDPR.

Het recht op wissing geldt niet voor medische gegevens, aangezien het een wettelijke plicht is voor het ziekenhuis om een patiëntendossier bij te houden.

§6. Eventuele verwerkingen met het oog op direct marketing-doeleinden kan de patiënt doen staken door een bezwaar in te dienen.

§7. Buiten de gevallen bedoeld in de paragrafen 3, 5 en 6 van dit artikel kan de patiënt eveneens verzoeken dat zijn persoonsgegevens nog wel worden bewaard, maar niet verder worden verwerkt (behoudens in een aantal wettelijk bepaalde gevallen) indien de verwerkingsverantwoordelijke ze niet meer nodig heeft, maar de patiënt ze nog wel nodig heeft in het kader van een rechtsvordering.

De wettelijk bepaalde gevallen waarin de verwerking alsnog kan plaatsvinden, ondanks het verzoek van patiënt om zijn persoonsgegevens voorlopig niet verder te verwerken, zoals bedoel in de paragrafen 3, 5, 6 en 7 van dit artikel, zijn de volgende:

  • indien de patiënt zijn specifieke toestemming geeft;
  • indien de verwerkingsverantwoordelijke de persoonsgegevens nodig heeft in het kader van een rechtsvordering;
  • ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon; of
  • om gewichtige redenen van algemeen belang

§8. De patiënt die hierom verzoekt, heeft bovendien steeds de mogelijkheid om zich te verzetten tegen geautomatiseerde verwerkingen van zijn persoonsgegevens met het oog op een individuele besluitvorming die voor de patiënt rechtsgevolgen of gevolgen met een soortgelijke impact meebrengen.

De verwerkingsverantwoordelijke is niet verplicht om op dit verzoek in te gaan indien hij zich kan beroepen op een wettelijke bepaling of een uitdrukkelijke toestemming van de patiënt.

§9. Voor de uitoefening van zijn rechten bedoeld in de paragrafen 2 tot en met 8 van dit artikel kan de patiënt een verzoek indienen bij de stafmedewerker informatieveiligheid en gegevensbescherming, per post of per mail (AZ Herentals, t.a.v. de stafmedewerker informatieveiligheid en gegevensbescherming, Nederrij 133, 2200 Herentals, of gegevensbescherming@azherentals.be), die op diens beurt de nodige diensten zal contacteren en adviseren omtrent de effectieve uitoefening.

Na indiening van het verzoek van de patiënt zal de patiënt een ontvangstbevestiging ontvangen en zal de verwerkingsverantwoordelijke zo snel mogelijk en uiterlijk binnen één maand laten weten welk gevolg aan het verzoek zal worden gegeven. Bij complexe of veelvuldige aanvragen kan deze termijn verlengd worden tot 3 maanden na de indiening van het verzoek. In dat geval zal de verwerkingsverantwoordelijke dit meedelen aan de patiënt.

Indien het verzoek van de patiënt onduidelijk is of indien er twijfel bestaat over de identiteit van de verzoeker, kan de verwerkingsverantwoordelijke bijkomende informatie opvragen. Indien de verzoeker weigert om de nodige informatie te verstrekken, kan de verwerkingsverantwoordelijke het verzoek weigeren.

De verzoekprocedure is kosteloos voor de patiënt.

Indien het verzoek van de patiënt echter kennelijk ongegrond is of indien de patiënt buitensporig gebruik maakt van zijn rechten, met name indien hetzelfde verzoek overmatig repetitief wordt ingediend, kan de verwerkingsverantwoordelijke het verzoek weigeren ofwel een redelijke vergoeding aanrekenen naargelang de administratieve kosten die gepaard gaan met deze verzoeken.

§10. Indien de patiënt van mening is dat de bepalingen van dit Privacyreglement of van de GDPR niet worden nageleefd of andere redenen tot klagen heeft omtrent de bescherming van de persoonlijke levenssfeer, kan de patiënt zich rechtstreeks richten tot de stafmedewerker informatieveiligheid en gegevensbescherming (contactgegevens: zie artikel 7, §2). Daarnaast heeft de patiënt ook het recht om rechtstreeks een klacht in te dienen bij de Gegevensbeschermingsautoriteit.

 

Inwerkingtreding en wijzigingen

Dit Privacyreglement treedt in werking op 25 mei 2018.

Het AZ Herentals behoudt zich het recht voor om zijn Privacyreglement te allen tijde te wijzigen. Wijzigingen worden aangebracht door de Raad van Bestuur van het AZ Herentals en voor zover het gegevens zijn dit de gezondheid betreffen, na het advies van de medische raad.

 

Namens de Raad van Bestuur van het AZ Herentals

 

De bescherming van de privacy maakt ook deel uit van de patiëntenrechten. Meer informatie hierover vind je hier.