PRIVACYBELEID WOONZORGGROEP GVO


Dit beleid geldt voor alle leden van de woonzorggroep GVO, zijnde de voorzieningen aangesloten bij de kostendelende vereniging GVO vzw.

1. Het beleid voor gegevensbescherming bij Woonzorggroep GVO
Voor Woonzorggroep GVO is het beschermen van de persoonlijke levenssfeer een belangrijk strategisch doel en daarnaast een wettelijke verplichting die Woonzorggroep GVO hoog in het vaandel draagt.

Met deze tekst willen we toelichten op welke manier we de rechten en vrijheden van de zorgvragers, medewerkers en andere personen (‘betrokkenen’) vrijwaren wanneer we persoonsgegevens verwerken, zowel op papier als in de digitale informatieomgeving.

We besteden hierbij bijzondere aandacht aan meer risicovolle verwerkingen van persoonsgegevens, zoals het uitwisselen van deze gegevens met andere actoren, het verwerken van de gegevens buiten het strikte kader van toedienen van of het gebruik van de persoonsgegevens in zorginnovatie. We hebben ook oog voor het verwerken van persoonsgegevens van onze personeelsleden, vrijwilligers en andere actoren binnen het zorgaanbod van Woonzorggroep GVO.

2. De gegevensbescherming

2.1. Materieel toepassingsgebied

Het beleid is van toepassing op alle persoonsgegevens die Woonzorggroep GVO verwerkt. We verstaan hieronder niet alleen de gegevens van onze zorgvragers, maar ook bijvoorbeeld van vrijwilligers, medewerkers en sollicitanten al dan niet in dienstverband.

2.2. Functioneel toepassingsgebied

Het beleid is van toepassing op alle verwerkingsdoelen. Zowel gegevens die worden verwerkt voor (niet limitatief) de zorg van de zorgvrager, wetenschappelijk onderzoek, rapporteringsdoeleinden, gemachtigde extramurale gegevensstromen, administratie van medewerkers, financiële gegevens, persoonsgegevens die verwerkt worden in het kader van kwaliteitscontroles of risicobeoordelingen, alsook persoonsgegevens die in een gerechtelijke of forensische analyse worden verwerkt, behoren tot de scope van het beleid voor gegevensbescherming.

2.3. Organisatorisch toepassingsgebied

Deze beleidstekst is geschreven voor iedereen die in opdracht van Woonzorggroep GVO persoonsgegevens verwerkt. We zorgen ervoor dat deze tekst via verschillende kanalen wordt uitgedragen en wordt gepubliceerd op de website www.gvo.be.  

 

3. Beleidsdoelstellingen voor gegevensbescherming

Woonzorggroep GVO wil top-in-zorg zijn. Een belangrijk aspect hierbij is een kwaliteitsvolle verwerking van persoonsgegevens. De individuele directiecomités en de raad van bestuur van de verschillende voorzieningen streven aan de hand van dit beleid na dat de rechten en vrijheden van eenieder gevrijwaard zijn bij de verwerking van persoonsgegevens. Het uitschrijven van dit beleid heeft als doel om het correct omgaan met persoonsgegevens aan te tonen. Het bespreekt hierbij de beleidsdoelstellingen en formaliseert deze. Het verduidelijkt de cultuur van gegevensverwerking met respect voor eenieders rechten en vrijheden.

Concreet streven we volgende doelstellingen na.

Woonzorggroep GVO :

  1. Is transparant over de persoonsgegevens die het verwerkt en het verwerkingsdoel, zowel naar de betrokkene als naar de toezichthouders. De gevoerde communicatie is eerlijk, eenvoudig toegankelijk en begrijpelijk. Het transparantieprincipe is ook van toepassing wanneer de persoonsgegevens worden uitgewisseld.
  2. Verwerkt enkel de gegevens die relevant zijn voor het uitvoeren van haar taken. Elke taak waarbij persoonsgegevens worden verwerkt, is rechtmatig. Dit betekent onder meer dat de verwerking in overeenstemming is met de wettelijke en statutaire doelen van Woonzorggroep GVO. Dit wordt telkens geëvalueerd bij een nieuw verwerkingsdoel.
  3. Verwerkt enkel de persoonsgegevens die strikt noodzakelijk voor de uitvoering van de activiteiten. Zo worden identificatoren die horen bij de persoonsgegevens tot een minimum herleid.
  4. Kijkt toe op de integriteit van de persoonsgegevens gedurende de ganse verwerkingscyclus.
  5. Bewaart gegevens niet langer dan noodzakelijk. De noodzakelijkheid is afgetoetst tegenover wettelijke verplichtingen, de doelmatigheid en de rechten en vrijheden van de betrokkene.
  6. Doet alle mogelijke inspanningen tot het voorkomen van inbreuken die voortvloeien uit het verwerken van persoonsgegevens. Informatieveiligheid, gegevensbescherming bij ontwerp en privacy-vriendelijke standaardinstellingen zijn hiervoor hulpmiddelen. Wanneer een inbreuk plaatsvindt, wordt hierover gerapporteerd in lijn met de regelgeving ter zake.
  7. Doet alle nodige inspanningen om alle geldende rechten van een betrokkene, zoals het recht op inzage, afschrift en eventueel ook schrapping uit te voeren. Woonzorggroep GVO bewaakt hierbij over de eventuele beperkingen die op deze rechten van toepassing zijn.
  8. Waakt er actief over dat bij het verwerken van de persoonsgegevens voor een welbepaald doel, de rechten en vrijheden (bijvoorbeeld recht op verzekerbaarheid, recht op zorg) van de betrokkene gevrijwaard blijven.
  9. Waakt erover dat de verwerking van gegevens in lijn ligt met de rechten en vrijheden die gelden in de Europese Economische Ruimte en controleert de toepassing hiervan wanneer de gegevens worden uitgewisseld daarbuiten. Woonzorggroep GVO doet bijgevolg alle nodige inspanningen teneinde alle wettelijke en normerende kaders na te leven bij het verwerken van persoonsgegevens en heeft daartoe haar verantwoordelijkheid over de persoonsgegevens en die van andere duidelijk in kaart gebracht. Woonzorggroep GVO monitort daarenboven ook de in de sector geldende gedragscodes teneinde deze toe passen.
  10. Bewaakt haar verantwoordingsplicht door intern toezicht en controle en dit op basis van de wettelijk geldende principes.

 

4. De beleidstaken en bijhorende bedrijfsprocessen

Om de beleidsdoelstellingen te bereiken zijn een aantal taken vastgelegd. Deze taken zijn in lijn met alle wettelijke verplichtingen die men dient na te streven (het aantoonbaarheidsprincipe).

Voor elk bedrijfsproces dienen implementatienormen en -richtlijnen te worden uitgeschreven. Deze vullen het beleid voor gegevensbescherming aan en maken er integraal deel van uit.  De beleidstaken zijn hieronder opgelijst en worden kort besproken.

Woonzorggroep GVO:

1/ Houdt permanent een register bij van de verwerkingsactiviteiten, waarbij persoonsgegevens van de categorieën van betrokkenen (i.e. medewerkers, zorgvragers, …) worden verwerkt. Dit omvat een overzicht van verwerkingsdoelen en de hierbij horende categorieën van persoonsgegevens. Voor elk verwerkingsdoel wordt in dit register onder meer ook opgenomen welke categorieën van, het al dan niet uitwisselen van deze gegevens en de categorieën van ontvangers, met een specifieke vermelding wanneer deze worden uitgewisseld buiten de Europese Economische Ruimte en de passende waarborgen die hierbij vereist zijn. Ook de bewaartermijn en de technische en organisatorische maatregelen zijn hierin opgenomen. Deze wettelijke elementen worden aangevuld met een aanduiding van de verwerkingsgrond. Het verwerkingsregister wordt bijgewerkt voorafgaand aan het inrichten van nieuwe verwerkingsdoelen en bijhorende bedrijfsprocessen. Elke verdere verwerking van de persoonsgegevens, bijvoorbeeld voor onderzoek en kwaliteit, ondergaat eveneens een toets van het doel, de doelbinding en gegevensminimalisatie. We waken hierbij over de verenigbaarheid van het nieuwe doel met het oorspronkelijke doel. Woonzorggroep GVO houdt het verwerkingsregister bij in digitale vorm en is opvraagbaar volgens de wettelijke bepalingen (i.e. door de Gegevensbeschermingsautoriteit).

2/ Stelt een lijst op van criteria die kunnen worden gebruikt om te identificeren of een verwerking een verhoogd risico inhoudt voor de betrokkene. Wanneer dit noodzakelijk is, wordt een gegevensbeschermingseffectenbeoordeling uitgevoerd voorafgaand aan de verwerking. Op basis van deze analyse worden maatregelen genomen zodat tijdens de verwerking het risico op een inbreuk beperkt wordt. Indien de risico’s die horen bij de verwerking een te hoog risico blijven betekenen, ook nadat de maatregelen zijn toegepast, worden deze voorgelegd aan de Gegevensbeschermingsautoriteit. Woonzorggroep GVO beheert naast de lijst van criteria voor het uitvoeren van deze analyse, ook het bedrijfsproces voor het initiëren, bewaken, bijwerken en uitvoeren ervan.

3/ Beheert de contractuele bepalingen met verwerkers, waarin onder meer de instructies die horen bij de verwerking worden opgelijst, alsook alle verplichtingen waaraan de verwerker moet voldoen in het kader van het naleven van wet- en regelgeving, waaronder de bepalingen rond informatieveiligheid. Woonzorggroep GVO voert actief toezicht uit op deze contractuele bepalingen. Daar waar de verwerking plaatsvindt onder een gemeenschappelijke verantwoordelijkheid, worden duidelijke afspraken gemaakt met het oog op de toepassing van de rechten van de betrokkene en de informatieplicht, tenzij deze verantwoordelijkheid in de wet- en regelgeving is opgenomen. Daarnaast worden ieders verantwoordelijkheden duidelijk gedocumenteerd en gecommuniceerd naar de betrokkene.

4/ Voorziet de nodige bedrijfsprocessen die ervoor zorgen dat de betrokkene wordt geïnformeerd over de verwerking. De verstrekte informatie omvat de wettelijk opgelegde elementen, waaronder volgende: de functionaris voor de gegevensverwerking of de data protection officer (DPO), het verwerkingsdoel en de ontvangers van de gegevens. Daarnaast zijn bedrijfsprocessen gedocumenteerd die de rechten van de betrokkene omvatten (het recht op inzage, afschrift, gegevenswissing, overdraagbaarheid, rectificatie, beperking van de verwerking, kennisgeving, overdraagbaarheid). Deze bedrijfsprocessen houden rekening met de beperkingen die van toepassing zijn uit hoofde van de wet patiëntenrechten en de verordening 2016/679.

5/ Zorgt voor maatregelen ter identificatie van inbreuken (preventief), het melden ervan door de personen die deelnemen aan het verwerkingsproces en de afhandeling ervan. Onder de maatregelen die te maken hebben met de afhandeling worden begrepen: het incident afhandelingsproces, de interne communicatie, de registratie van inbreuken in een intern register, de communicatie naar de Gegevensbeschermingsautoriteit en de betrokkene, inclusief de criteria die bepalen wanneer deze communicatie moet plaatsvinden.

6/ Zorgt voor duidelijke instructies en richtlijnen, in overeenstemming met de verantwoordelijkheden die medewerkers van Woonzorggroep GVO ten aanzien van persoonsgegevens hebben, alsook (in beperkte mate) verantwoordelijkheden van verwerkers. Deze instructies worden via procedures, bewustwordingssessies, functiebeschrijvingen en opleidingen gecommuniceerd. De naleving van de verplichtingen worden afgedwongen aan de hand van het arbeidsreglement of ander handvest en valt onder het toezicht op de medewerker. Overtredingen worden behandeld in lijn met de bepalingen inzake sancties die van toepassing zijn.

 

5. De organisatie van gegevensbescherming

In dit veiligheidsbeleid concretiseren we bovenstaande beleidstaken in een organisatiestructuur. Hiertoe wordt een matrix opgesteld waarin de beleidstaken worden uitgezet tegenover de verschillende verantwoordelijkheden. De matrix wordt opgesteld en onderhouden onder verantwoordelijkheid van de directie, op advies van de stuurgroep gegevensbescherming. De directie ziet toe op de uitvoering van de verantwoordelijkheden. Hieronder worden de belangrijkste taken beschreven.

Verantwoordelijkheid over persoonsgegevens

De verantwoordelijkheid voor het uitvoeren van de beleidstaken in het kader van gegevensbescherming ligt bij het directiecomité. Het directiecomité is verantwoordelijk voor het bekrachtigen van de beleidsdoelen en de hierbij horende taken. In de uitvoering van deze verantwoordelijkheden kan het directiecomité een beroep doen op de adviezen van de functionaris voor gegevensbescherming of Data Protection Officer (DPO). Elke beoordeling van risico’s vindt plaats onder de verantwoordelijkheid van het directiecomité, alsook de uitvoering van de bijhorende maatregelen. Het directiecomité is daarnaast ook eindverantwoordelijk voor alle verplichtingen uit hoofde van de wet- en regelgeving, waaronder de bepalingen in Verordening 2016/679. Hiervoor delegeert het directiecomité een aantal taken, zoals hieronder opgesomd.

 

Toezicht sociale gegevens bewoners

De sociale dienst, onder verantwoordelijkheid van de directeur, krijgt de taak toegewezen om de gegevensbescherming te bewaken van persoonsgegevens van alle zorgvragers.  Het is de taak van deze dienst om bij de implementatie van (nieuwe) verwerkingsprocessen, waarbij persoonsgegevens van zorgvragers worden verwerkt, het beschreven beleid te vertalen en toe te passen.  Speciale aandacht gaat voor deze dienst naar de uitwisseling van persoonsgegevens met andere actoren (ziekenhuizen, andere zorginstellingen,…) in de zorgverlening en de betrokken families en mantelzorgers.

Toezicht financiële gegevens bewoners

Het departement financiën, onder verantwoordelijkheid van de financieel manager van Woonzorggroep GVO volgt het register van verwerkingsactiviteiten op binnen het departement financiën. De financieel manager is verantwoordelijk voor het beoordelen van de rechten en vrijheden van de patiënt bij de verwerking van gegevens op de dienst (toegang tot zorg, het recht op zorg, verzekerbaarheid). Het departement financiën kijkt toe op de uitwisseling van persoonsgegevens met de overheid, de mutualiteiten …

Toezicht administratieve gegevens bewoners

De administratie, onder verantwoordelijkheid van de directeur, krijgt de taak om de gegevensbescherming te bewaken van persoonsgegevens van alle zorgvragers, vrijwilligers en personeelsleden.  Het is de taak van de administratie om bij de implementatie van verwerkingsprocessen, waarbij persoonsgegevens van zorgvragers worden verwerkt, het beschreven beleid te vertalen en toe te passen.  De beoordeling van de risico’s met betrekking tot de identificatie van de zorgvrager behoort tot de aandachtsgebieden. Specifieke aandacht gaat uit naar de identificatie van de zorgvrager, zorgverlener, vrijwilliger of personeelslid, alsook de daaraan gelinkte financiële transacties (facturatie, loon,…).

Toezicht latere verwerking gegevens bewoners

De directeur houdt toezicht op de verantwoordelijkheid bij de latere verwerking van de gezondheidsgegevens en voert op basis van het oordeel over verantwoordelijkheden de verplichtingen uit met het oog op gegevensbescherming, waaronder het toezicht op de volledigheid van het verwerkingsregister, de overeenkomsten met verwerkers en de analyse van de risico’s. Ook de rechten van de betrokkene, evenals eventuele toestemmingen, vallen onder hun beheer. Hij oordeelt over de verantwoordelijkheid inzake de gegevensbescherming en stelt hiervoor een reglement op. Hij kijkt toe op de toepassing daarvan.
De directeur houdt daarenboven het toezicht op de latere verwerking van gezondheidsgegevens die gestoeld is op de wettelijke basis. Informatieveiligheid is hierbij een expliciet onderdeel van het toezicht. In geval van een latere verwerking van gezondheidsgegevens waarvoor het advies van een ethisch comité wordt gevraagd, worden de modaliteiten voor gegevensbescherming afgetoetst.  Voor de latere verwerking van niet-medische persoonsgegevens is het diensthoofd van de dienst die de verwerking uitvoert, verantwoordelijk voor het toezicht. Wanneer deze latere verwerking plaatsvindt uit hoofde van een overheidsverplichting, dan gebeurt het toezicht eveneens door de dienst die hiermee belast is, in coördinatie met de stuurgroep gegevensbescherming en op advies van de functionaris of DPO.
De latere verwerking voor kwaliteitsdoeleinden en beleidsrapporteringen vallen onder verantwoordelijkheid van de dienst aan wie de rapportering plaatsvindt in samenspraak met de datamanager. Het toezicht op de verwerker wordt georganiseerd door de datamanager, de veiligheidsconsulent en de functionaris voor gegevensbescherming.

De latere verwerking van gezondheidsgegevens uit het patiëntendossiers voor kwaliteitsdoeleinden ten behoeve van inspectiediensten of accrediteringscommissies, valt onder de verantwoordelijkheid van de hoofdgeneesheer.

Toezicht persoonsgegevens medewerkers

Het departement HRM (incl. personeelsdienst), onder verantwoordelijkheid van de manager mens en organisatie, krijgt in het beleid voor gegevensbescherming de taak om de gegevensbescherming te bewaken van persoonsgegevens van alle medewerkers (al dan niet in dienst). Het is de taak van de personeelsdienst om bij de implementatie van (nieuwe) verwerkingsprocessen waarbij de persoonsgegevens van medewerkers worden verwerkt, het beschreven beleid te vertalen en toe te passen. Daar waar nieuwe bedrijfsprocessen worden ingevoerd of bestaande bedrijfsprocessen worden gedigitaliseerd, zorgt de manager mens en organisatie voor de analyse van de verwerkingsgrond, de eventuele bijhorende besprekingen met de personeelsvertegenwoordiging (bv. in het kader van transparantie en de evaluatie van gerechtvaardigde belangen) en de bijhorende gegevensbeschermingseffectbeoordeling. De manager mens en organisatie levert daarenboven een actieve bijdrage bij het onderhouden van het register van verwerkingsactiviteiten voor personeelsgegevens.

Toezicht toepassing gegevens-bescherming door medewerkers

De manager mens en organisatie heeft de verantwoordelijkheid om de verplichtingen inzake het toepassen van dit beleid te vertalen naar het arbeidsreglement, de toepasselijke handvesten en functieprofielen, het sanctiebeleid en de controles en evaluaties

Algemeen toezicht gegevens-bescherming bij verwerkers

Het algemeen toezicht op verwerkers van persoonsgegevens die in opdracht van Woonzorggroep GVO persoonsgegevens verwerken, wordt uitgevoerd door de functionaris voor gegevensbescherming of DPO.

Gegevens-bescherming bij zorginnovatie

Elk bedrijfsproces dat gedigitaliseerd wordt of voor elk (al dan niet nieuw) bedrijfsproces waarbij innoverende technologieën worden gebruikt, wordt de functionaris voor gegevensbescherming of DPO geconsulteerd. De verantwoordelijkheid hiervoor ligt bij de initiatiefnemer ( het diensthoofd, de coördinator kwaliteit en innovatie, operationeel manager… ).