1 Begripsbepalingen
- AVG: Algemene Verordening Gegevensbescherming;
- Adviseur: medisch Adviseur (arts) of andersoortig Adviseur die de adviesaanvraag behandelt en die verantwoordelijk is voor het opstellen van een Dossier en die zeggenschap heeft over dit Dossier;
- Identificeerbaar: als een (levende) natuurlijke persoon direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
- Beheerder: een functionaris onder rechtstreeks gezag van de Verantwoordelijke die door de Verantwoordelijke is belast met de dagelijkse zorg voor de verwerking;
- Bestand: elk gestructureerd geheel van Persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
- Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
- COA: Centraal Orgaan opvang asielzoekers
- Derde: ieder ander, niet zijnde de Betrokkene, de Verantwoordelijke of enig persoon onder rechtstreeks gezag van de Verantwoordelijke;
- Dossier: onderdeel van het Bestand waarin gegevens worden bijgehouden omtrent de advisering over de belanghebbende en de in het belang van de advisering uitgevoerde verrichtingen;
10. IND: Immigratie- en Naturalisatiedienst.
11. Secretariaatsmedewerker: de medewerker van MediFirst die verantwoordelijk is voor secretariële en administratieve ondersteuning bij de medische advisering;
12. Ontvanger: degene aan wie de Persoonsgegevens worden verstrekt;
13. Persoonlijke werkaantekeningen: niet geobjectiveerde aantekeningen van de Adviseur, die niet voor anderen dan de Adviseur bereikbaar zijn. De Persoonlijke werkaantekeningen worden niet tot het Dossier gerekend. Er geldt ten aanzien van deze werkaantekeningen geen inzagerecht, recht op afschrift, correctierecht en vernietigingsrecht;
14. Persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene);
15. Stafarts: Leidinggevende hoofdarts die verantwoordelijk is voor de inhoudelijke kwaliteit van de medische advisering en het bewaken van de medisch/ethische waarden van de organisatie;
16. Toezichthouder: de Autoriteit Persoonsgegevens;
17. Verantwoordelijke: de natuurlijke persoon of rechtspersoon die het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt;
18. Verstrekken van Persoonsgegevens: het bekend maken of ter beschikking stellen van Persoonsgegevens aan de Betrokkene of aan Derden;
19. Verzamelen van Persoonsgegevens: het verkrijgen van Persoonsgegevens;
20. Toestemming van de Betrokkene: elke vrijwillige, expliciete en geïnformeerde wilsuiting waarmee de Betrokkene aanvaardt dat de hem betreffende Persoonsgegevens worden verwerkt. Een Toestemming is intrekbaar.
2 Verantwoordelijke en Beheerder verwerking
De directie van MediFirst is de Verantwoordelijke voor de verwerking van Persoonsgegevens en draagt als zodanig de verantwoordelijkheid voor de verwerking van de Persoonsgegevens overeenkomstig dit reglement. De directie kan binnen de organisatie één of meer Beheerders aanwijzen die belast is respectievelijk zijn met de dagelijkse zorg voor de verwerking.
3 Reikwijdte
- Dit reglement is van toepassing op de verwerking van persoonsgegevens door MediFirst. De verwerking van persoonsgegevens omvat:
- Medische beoordelingen en adviezen (opgebouwd uit medische en/of psychologische beoordelingen) in het kader van het horen en beslissen door de IND;
- Sociaal medische advisering in het kader van een (versnelde) uitplaatsing in een specifieke regio, een speciaal soort woning of begeleid wonen door het COA
- Medische advisering in het kader van de samenwerking tussen MediFirst en Bureau Medische Advisering van de IND.
4 Doel van de Verwerking
- De verwerking van Persoonsgegevens heeft uitsluitend tot doel relevante gegevens te verwerken en Verstrekken aan Betrokkenen en eventueel Derden voor zover deze gegevens noodzakelijk zijn voor:
- Medische advisering: het kunnen voorbereiden en uitbrengen van adviezen ten behoeve van de uitvoering van Vreemdelingenwet 2000 dan wel van andere regelingen, waarvan de advisering is opgedragen aan MediFirst. Voor dit doel kunnen naam, adres, woonplaats, contactgegevens, V-nummer (indien noodzakelijk voor het opvragen van medische gegevens) en medische gegevens verwerkt worden;
- Adviezen aan de IND of het COA: het Verstrekken van gegevens aan de IND of het COA voor zover die nodig zijn om een verantwoord besluit te nemen op een advies als bedoeld onder a. Voor dit doel kunnen naam, adres, woonplaats en contactgegevens verwerkt worden.
- Klachten: het behandelen van klachten van Betrokkenen. Voor dit doel kunnen naam, adres, woonplaats en contactgegevens verwerkt worden.
5 Grondslagen van de Verwerking
MediFirst verwerkt Persoonsgegevens op onderstaande grondslagen:
- In geval van medische advisering in opdracht van een gemeente:
- De IND of het COA verzoekt cliënt om Toestemming om zijn of haar gegevens naar MediFirst te versturen, onder verwijzing naar het privacyreglement. De gemeente kan op grond van de Algemene wet bestuursrecht een Adviseur inschakelen en deze de benodigde gegevens toesturen.
- MediFirst zal de Betrokkene om Toestemming verzoeken, indien diens uitdrukkelijke en geïnformeerde Toestemming niet voldoende blijkt uit de aangeleverde adviesaanvraag vanuit de de IND of het COA.
- In geval van medische advisering in opdracht van cliënt zelf (particuliere adviesaanvraag): in dit geval is de grondslag gelegen in de noodzakelijkheid voor de uitvoering van de overeenkomst waarbij Betrokkene partij is.
- Voor het opvragen van medische gegevens door een arts van MediFirst bij een behandelend arts is altijd de expliciete Toestemming van de Betrokkene benodigd, in de vorm van een machtiging daartoe.
6 Soorten Verwerkte Persoonsgegevens
- Van de in artikel 7 bedoelde personen kunnen de volgende gegevens worden verwerkt:
- naam, voorletters, adres, woonplaats, geboortedatum, geslacht, burgerlijke staat;
- gegevens die nodig zijn voor het kunnen uitvoeren van een medisch onderzoek:
i. de algemene gezondheidstoestand van de zorgvrager;
ii. de beperkingen die de zorgvrager in zijn lichamelijk, zintuiglijk, psychisch of verstandelijk functioneren ondervindt als gevolg van ziekte of een lichamelijke, zintuiglijke, psychische of verstandelijke beperking;
iii. de woning en woonomgeving van de zorgvrager;
iv. het psychisch en sociaal functioneren van de zorgvrager;
v. de sociale omstandigheden van de zorgvrager;
vi. de aard en de omvang van de aan de zorgvrager geboden professionele en niet-professionele hulp en zorg en de mogelijkheden tot continuering en uitbreiding daarvan;
- de aard en de omvang van de aan de zorgvrager toegekende voorzieningen of verkregen rechten op grond van de Wmo, de Wlz dan wel op enige andere regeling, bedoeld in artikel 4 onder a.
7 Personen van wie Persoonsgegevens worden verwerkt
MediFirst verwerkt uitsluitend gegevens van de volgende personen:
- personen die sociaal-medische voorzieningen aanvragen bij de gemeente en waarover de gemeente een (sociaal-medisch) advies vraagt aan MediFirst;
- partners en inwonende kinderen of anderen die deel uitmaken van de leefeenheid van Betrokkene;
- curatoren, mentoren en bewindvoerders van de onder sub a bedoelde personen;
- contactpersonen van de onder sub a bedoelde personen;
- mantelzorgers en andere niet-professionele zorgverleners;
- overige personen, voor zover noodzakelijk en voor zover zij daarvoor Toestemming hebben gegeven.
8 Verkrijging van Persoonsgegevens
De Persoonsgegevens van de Betrokkene kunnen worden verkregen via:
- de Betrokkene zelf;
- de IND of het COA;
- zorgaanbieders van wie de Betrokkene zorg ontvangt of heeft ontvangen;
- vertegenwoordigers van de Betrokkene;
- partners, inwonende kinderen of anderen die deel uitmaken van de leefeenheid van Betrokkene.
9 Verkrijgen Persoonsgegevens betreffende de gezondheid
De benodigde bijzondere Persoonsgegevens over de gezondheid (medische gegevens) worden conform wettelijke regels aangeleverd door Betrokkene zelf of, pas na schriftelijke Toestemming (machtiging) van de Betrokkene, opgevraagd bij de huisarts, behandelend specialist of andere behandelaar.
10 Toegang tot de Persoonsgegevens
Onverminderd eventuele wettelijke voorschriften hebben slechts toegang tot de Persoonsgegevens:
- de Verantwoordelijke, voor zover noodzakelijk voor de uitoefening van toezicht;
- de Beheerder, voor zover noodzakelijk in het kader van de verwerking;
- de Adviseur, voor zover noodzakelijk voor de uitoefening van zijn taak;
- de Stafarts die in het kader van kwaliteitscontrole Dossiers beoordeelt en indien nodig inhoudelijke ondersteuning biedt;
- de Secretariaatsmedewerker: voor zover dit noodzakelijk is voor de ondersteuning van de Adviseur.
- Medewerker, indien en voor zover dit strikt noodzakelijk is voor de uitoefening van zijn/haar werkzaamheden.
11 Ontvangers van Persoonsgegevens buiten MediFirst
- Buiten MediFirst kunnen Persoonsgegevens worden verstrekt aan de volgende personen of instanties, voor zover dit op grond van wettelijke regels verplicht of geoorloofd is en voor zover die gegevens noodzakelijk zijn voor de uitvoering van hun taak en de privacy van de Betrokkene daardoor niet onevenredig wordt aangetast:
- de IND of het COA, voor zover dat noodzakelijk is tot het nemen van een verantwoord besluit op een uitgebracht advies. De Adviseur stelt Betrokkene in de gelegenheid verzending van de adviesrapportage, indien gewenst in conceptversie ingezien, aan de gemeente te blokkeren;
- Derden, indien dit op grond van wettelijke verplichtingen noodzakelijk is.
- In alle andere gevallen is voor verstrekking van Persoonsgegevens vooraf expliciete Toestemming van de Betrokkene vereist.
- De verstrekking van Persoonsgegevens blijft achterwege voor zover uit hoofde van ambt, beroep of wettelijke voorschriften geheimhouding verplicht is.
12 Recht op inzage
- Betrokkene van wie gegevens zijn verwerkt, dan wel degene die vermoedt dat zijn gegevens zijn verwerkt, heeft recht op inzage in de hem betreffende Persoonsgegevens en het gebruik daarvan.
- De Verantwoordelijke deelt een ieder op diens verzoek schriftelijk zo spoedig mogelijk, doch uiterlijk binnen vier weken, mede of hem betreffende Persoonsgegevens zijn of worden verwerkt en op welke wijze.
- De termijn genoemd in lid 2 kan met twee maanden worden verlengd indien niet aan de termijn van vier weken kan worden voldaan.
- Indien de verzoeker dit eist, voldoet de Verantwoordelijke aan het verzoek in een andere dan een schriftelijke vorm.
- Indien inzage niet kan worden verleend zonder dat daarbij inzage wordt gegeven in de gegevens van andere personen, dienen die andere personen eerst schriftelijk Toestemming te verlenen.
- Inzage wordt slechts geweigerd wanneer dit de privacy van anderen onevenredig zou aantasten.
- De Adviseur is niet verplicht Persoonlijke werkaantekeningen inzichtelijk te maken wanneer de Betrokkene beroep doet op zijn recht op inzage.
13 Recht op correctie, aanvulling, verwijdering of afscherming van gegevens
- De Betrokkene kan verzoeken de op hem betrekking hebbende Persoonsgegevens te corrigeren, aan te vullen, te verwijderen of af te schermen.
- De Betrokkene kan niet via een correctieverzoek medische beoordelingen, uitkomsten of adviezen inhoudelijk laten aanpassen.
- De Verantwoordelijke draagt de zorg dat de verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk, binnen drie maanden nadat het verzoek is ontvangen, plaatsvindt, waarna hij Betrokkene dit schriftelijk meedeelt.
- Dit artikel geldt niet voor zover het verzoek Persoonsgegevens betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de Betrokkene, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen vernietiging verzet.
- Indien de Verantwoordelijke van mening is dat het verzoek niet kan worden uitgevoerd, deelt hij dit binnen vier weken en met redenen omkleed schriftelijk mee aan verzoeker, waarbij deze tevens geïnformeerd wordt over de mogelijkheid hiertegen bezwaar te maken.
- De termijn genoemd in lid 6 kan met twee maanden worden verlengd indien niet aan de termijn van vier weken kan worden voldaan.
- De Adviseur informeert de Betrokkene over de mogelijke gevolgen van de correctie, aanvulling, verwijdering of afscherming van de op hem betrekking hebbende Persoonsgegevens.
- Een verzoek tot verwijdering van persoonsgegevens dient schriftelijk en ondertekend verstuurd te worden naar Postbus 446, 3760 AK Soest of per email naar secretariaat@medi-first.nl.
14 Recht op dataportabiliteit
- Wanneer Persoonsgegevens zijn verstrekt door de Betrokkene of direct afkomstig van zijn apparatuur worden verwerkt langs geautomatiseerde weg op grond van Toestemming van de Betrokkene of ter uitvoering van een overeenkomst, heeft de Betrokkene het recht om de Persoonsgegevens in een digitaal leesbaar standaardformaat te ontvangen.
- De Verantwoordelijke draagt de zorg dat verzending van de Persoonsgegevens conform lid 1 van dit artikel zo spoedig mogelijk, binnen drie maanden nadat het verzoek is ontvangen, plaatsvindt, waarna hij Betrokkene dit schriftelijk meedeelt.
- Het recht op dataportabiliteit wordt slechts geweigerd wanneer dit de privacy van anderen onevenredig zou aantasten.
15 Recht op beperking van de Verwerking
- De Betrokkene heeft het recht van de Verantwoordelijke beperking van de verwerking te Verkrijgen indien een van de volgende elementen van toepassing is:
- de juistheid van de Persoonsgegevens wordt betwist door de Betrokkene, gedurende een periode die de Verantwoordelijke in staat stelt de juistheid van de Persoonsgegevens te controleren;
- de verwerking is onrechtmatig en de Betrokkene verzet zich tegen het wissen van de Persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
- de Verantwoordelijke heeft de Persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de Betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- de Betrokkene heeft bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de Verantwoordelijke zwaarder wegen dan die van de Betrokkene.
- Wanneer de verwerking op grond van lid 1 is beperkt, worden Persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt met Toestemming van de Betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon.
- De Verantwoordelijke draagt de zorg dat beperking zo spoedig mogelijk, binnen drie maanden nadat het verzoek is ontvangen, plaatsvindt, waarna hij Betrokkene dit schriftelijk meedeelt.
- Een Betrokkene die overeenkomstig lid 1 een beperking van de verwerking heeft verkregen, wordt door de Verantwoordelijke op de hoogte gebracht voordat de beperking van de verwerking wordt opgeheven.
16 Recht op bezwaar
- De Betrokkene kan op grond van bijzondere omstandigheden bij de Verantwoordelijke bezwaar maken tegen verwerking van zijn Persoonsgegevens als de Persoonsgegevens worden verwerkt op grond van een gerechtvaardigd belang van MediFirst. Dit bezwaar kan worden gemaakt wegens met zijn specifieke situatie verband houdende redenen.
- De Verantwoordelijke beoordeelt binnen vier weken na ontvangst van het bezwaar of het bezwaar gegrond is. Indien het bezwaar gegrond is, wordt de betreffende verwerking van de Persoonsgegevens gestaakt of beëindigd.
- De termijn genoemd in lid 2 kan met twee maanden worden verlengd indien niet aan de termijn van vier weken voldaan kan worden.
- Indien de Verantwoordelijke het bezwaar niet gegrond acht, bericht hij dit schriftelijk aan Betrokkene, waarbij deze tevens geïnformeerd wordt over de mogelijkheid hiertegen bezwaar te maken.
17 Bewaartermijnen
- Persoonsgegevens worden bewaard zolang dit voor het doel noodzakelijk is.
- Voor alle Persoonsgegevens die in een Dossier worden bewaard, geldt een minimale bewaartermijn overeenkomstig de WGBO (15 jaar), tenzij langer bewaren uit de zorg van een goed hulpverlener voortvloeit.
- Voor alle financiële Persoonsgegevens geldt een minimale bewaartermijn overeenkomstig de Algemene Wet inzake Rijksbelastingen (7 jaar), tenzij een andere wettelijke bewaartermijn van toepassing is.
- Indien de bewaartermijn is verstreken worden de Persoonsgegevens binnen een termijn van één jaar geanonimiseerd of vernietigd, tenzij rekening moet worden gehouden met een lopende, of te verwachten tuchtrechtelijke procedure.
18 Overdracht en overgang van de Verwerking
In geval van overdracht of overgang van de verwerking naar een andere Verantwoordelijke dienen de Betrokkenen conform geldende wet- en regelgeving van dit feit in kennis te worden gesteld, opdat tegen de overdracht of overgang van op hun persoon betrekking hebbende gegevens bezwaar kan worden gemaakt.
19 Kennisgeving
- Aan de personen van wie Persoonsgegevens worden verwerkt wordt voorafgaand aan de verwerking medegedeeld met welk doel en op welke wijze de gegevens worden verwerkt, tenzij de gemeente hiervan reeds melding heeft gedaan aan Betrokkene.
- De Verantwoordelijke maakt dit reglement via de website openbaar en maakt, bij het eerste contact met de Betrokkene, in de uitnodigingsbrieven (voor het medisch onderzoek), bekend op welke wijze dit reglement kan worden verkregen.
20 Openbaarmaking
Dit reglement kan worden opgevraagd bij MediFirst en is beschikbaar via de website: www.medi-first.nl.
21 Geheimhoudingsplicht
De personen die toegang krijgen tot Persoonsgegevens, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de Persoonsgegevens waarvan zij kennis nemen, tenzij enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. De Verantwoordelijke legt de in te zetten medewerkers een geheimhoudingsverplichting op.
22 Beveiliging van de Persoonsgegevens
- De Verantwoordelijke draagt zorg voor passende technische en organisatorische voorzieningen ter voorkoming van verlies of aantasting van Persoonsgegevens of tegen enige vorm van onrechtmatige verwerking van Persoonsgegevens.
- Voor de verwerking van de bijzondere Persoonsgegevens maakt Verantwoordelijke gebruik van een streng beveiligd cliëntregistratiesysteem, Regas, naar de geldende kwaliteitseisen ingericht.
- Voor de verwerking van andere Persoonsgegevens voor secretariële/administratieve/financiële doeleinden maakt Verantwoordelijke gebruik van een ‘beveiligde kantooromgeving’ waardoor gegevens altijd binnen de beveiligde serveromgeving blijven.
- Communicatie verloopt via een extra beveiligde e-maildienst. Het is medewerkers niet toegestaan buiten de beveiligde ict-voorzieningen van Verantwoordelijke te werken met Persoonsgegevens.
23 Klachtrecht Toezichthouder
De Betrokkene heeft het recht een klacht in te dienen bij de Toezichthouder via www.autoriteitpersoonsgegevens.nl
24 Looptijd en wijziging van het reglement
- Dit reglement is van kracht voor onbepaalde tijd.
- Wijzigingen in dit reglement kunnen worden aangebracht door de directie van MediFirst.
25 Citeertitel en inwerkingtreding
- Dit reglement kan worden aangehaald als “Privacyreglement MediFirst B.V.”.
- Dit reglement treedt in werking op 1 januari 2007.
- Dit reglement is aangepast op 1 januari 2014.
- Dit reglement is aangepast op 18 mei 2018.