Privacy

Privacy en informatiebeveiligingsbeleid

Het Reinier Haga Medisch Diagnostisch Centrum (hierna: RHMDC) is een zelfstandig bedrijfsonderdeel binnen de Reinier Haga Groep. Het RHMDC verzorgt eerste- en tweedelijns diagnostiek voor onder andere huisartsen, ziekenhuizen, verloskundigen, arbodiensten, (verpleeg)klinieken en zelfstandige behandelcentra in heel Nederland.

Bij de uitvoering van haar werkzaamheden verwerkt het RHMDC persoonsgegevens van onder meer patiënten, klanten, zorgverleners en medewerkers (hierna: betrokkenen). Het RHMDC respecteert de bescherming van de privacy van deze betrokkenen en zorgt ervoor dat hun persoonsgegevens in overeenstemming met de privacywetgeving worden verwerkt. Middels deze privacyverklaring wordt toegelicht op welke wijze het RHMDC omgaat met de persoonsgegevens van de betrokkenen.

Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens door het RHMDC op haar hoofdvestiging en nevenlocaties. De hoofdlocatie is gevestigd aan de Reinier de Graafweg 7 te Delft. De nevenlocaties zijn: Delft, Zoetermeer, Amsterdam, Spijkenisse en Heerlen.

Inleiding

Het RHMDC verwerkt uw persoonsgegevens als patiënt wanneer lichaamsmateriaal of een ander vloeibare substantie (zoals bloed of urine) onderzoekt. Persoonsgegevens zijn gegevens waarmee wij u kunnen identificeren. Dit betreft niet alleen uw naam, geboortedatum en adres, maar omvat meerdere elementen (eventueel in combinatie) waarmee wij u kunnen identificeren. Denk hierbij aan: BSN, ziektes, financiële gegevens, ras of etnische achtergrond, etc. Deze gegevens kunnen wij direct van u verkrijgen of wij verkrijgen het via uw arts of via een andere zorgverlener, waar u in behandeling bent.
Naast dat wij patiëntgegevens verwerken, verwerken wij ook gegevens van huisartsen, contactpersonen van verpleeghuizen/klinieken/ziekenhuizen en leveranciers van producten. Van deze groep verwerken wij minimale gegevens zoals naam, (werk)telefoon, e‑mailadres en financiële gegevens.

Bij de gegevensverwerking werken we volgens de richtlijnen zoals die zijn beschreven in de norm NEN 7510.

De verwerkte (persoons)gegevens

Het RHMDC verzamelt alleen de (persoons)gegevens die nodig zijn om de dienst te kunnen bieden waar om gevraagd wordt. De volgende categorieën (persoons)gegevens worden verzameld en verwerkt:

Personalia en identificatiegegevens

geboortenaam, eventueel uw aangetrouwde achternaam en voorletter(s)
adres
postcode en woonplaats
telefoonnummer(s)
e‑mailadres
geslacht
geboortedatum
burgerservicenummer (BSN)
eventueel meerling

Administratieve (financiële) gegevens

gegevens van de arts of zorgverlener die het onderzoek aanvraagt
aanvraagdatum
bankrekeningnummer
gefactureerd en openstaand bedrag
verzekeringsgegevens

Medische gegevens

klachtenbeeld patiënt
relevante medicatie
soort onderzoek
onderzoeksresultaten en eventuele diagnose
advies aan de behandelaar/aanvrager
reden van aanvraag

Cameratoezicht

Het RHMDC maakt gebruik van cameratoezicht. Het cameratoezicht heeft tot doel om de medewerkers en de bezoekers zo goed mogelijk te beschermen tegen ongewenst gedrag, diefstal, misbruik en vernieling of ander ongewenste gedragingen. De camera’s bevinden zich in en rondom het gebouw, onder andere bij de toegangsdeur en receptieruimte. Tevens hangen camera’s op iedere verdieping van het gebouw. Personen die het pand betreden kunnen op beeld komen. Denk aan medewerkers, bezoekers en leveranciers. De camerabeelden zijn alleen toegankelijk voor de beveiligingsmedewerkers en worden enkel teruggekeken bij een incident (denk aan diefstal of veiligheid van de medewerkers en bezoekers). Middels de camera’s worden identificerende elementen vastgelegd, die de identiteit van een persoon kunnen vastleggen en tevens iets kunnen zeggen over zijn/haar ras, etnisch achtergrond of een gezondheidsgegeven. Het cameratoezicht is geregeld in de beleidsnota cameratoezicht en beeldopnamen Reinier de Graaf Groep.

Doeleinden van de verwerking

Het RHMDC heeft specifieke doelen om de persoonsgegevens van de verschillende categorieën betrokkenen te verwerken. De doelstellingen voor het verwerken van de persoonsgegevens zijn:

Het verrichten van diagnostisch onderzoek, het rapporteren van uitslagen aan de aanvrager en het begeleiden van een behandeling.
Het leveren van meetapparatuur (zoals glucose- en urinemeter).
Het uitvoeren van antistollingsbehandeling.
Het ophalen van lichaamsmateriaal (zoals bloed en urine) bij huisartsen/praktijken.
Ten behoeve van communicatiedoeleinden.
Het oproepen van patiënten voor periodiek diagnostisch onderzoek.
Samenwerken met Reinier de Graaf Gasthuis voor het bepalen van alle medicijnspiegels.
De registratie en afhandeling van klachten en incidenten.
Het verrichten van wetenschappelijk onderzoek.
Voor facturatie en declaraties.
Kwaliteitsbewaking en –bevordering van de zorgverlening: interne en externe kwaliteitsmanagement, audits, patiënttevredenheidsonderzoeken.
Op het gebied van volksgezondheid.
Het communiceren met leveranciers en verpleegtehuizen/klinieken/ziekenhuizen.
Cameratoezicht in het kader van veiligheid en bescherming van de medewerkers en bezoekers en eigendommen.

De rechtsgronden voor de verwerking

Voor het verwerken van uw persoonsgegevens en om bovengenoemde doeleinden te behalen, hebben wij een geldige rechtsgrond voor de verwerking nodig. De privacywetgeving, de Algemene Verordening Gegevensbescherming, somt een aantal rechtsgronden op waaronder de verwerking van persoonsgegevens is toegestaan. Wij kunnen uw persoonsgegevens verwerken op grond van:

Een overeenkomst: tussen u en uw behandelaar is er sprake van een behandelingsovereenkomst waar wij een onderdeel van uitmaken.
Wettelijke verplichting: de verplichting om uw persoonsgegevens een aantal jaren te bewaren en aan zorgverzekeraars te verstrekken in verband met declaraties.
Het beschermen van vitale belangen: dit betreft een kwestie van leven of dood.
Taak van algemeen belang/uitvoering van het openbaar gezag: in het kader van volksgezondheid en het voorkomen/tegengaan van een epidemie.
Gerechtvaardigd belang: kwaliteits- en opleidingsdoeleinden of een (interne) audit ter verbetering van de kwaliteit van de zorg en cameratoezicht op onze locaties.
Toestemming: als een verwerking niet onder een van de bovenstaande rechtsgronden geplaatst kan worden, dan vragen wij uw toestemming voor het gebruik van uw persoonsgegevens. Denk in zo’n geval aan medewerking aan een tevredenheidsonderzoek of wetenschappelijk onderzoek.

Wanneer u uw toestemming heeft gegeven voor de verwerking van uw persoonsgegevens, dan heeft u het recht om te allen tijde uw toestemming in te trekken. Dit zal geen gevolgen hebben voor de diagnostische onderzoeken die uitgevoerd dienen te worden met uw lichaamsmateriaal of andere vloeibare substantie. Het enige gevolg is dat wij uw persoonsgegevens niet langer zullen gebruiken voor wetenschappelijk onderzoek of het toesturen van tevredenheidsonderzoeken of enquêtes.

Bron van persoonsgegevens

Wij krijgen persoonsgegevens via verschillende bronnen aangeleverd. U als patiënt kunt zelf informatie aan ons verstrekken of wij verkrijgen bepaalde informatie van de zorgverlener. Een contactpersoon werkzaam bij een zorgverlener/zorgverzekeraar of een leverancier verstrekt in de meeste gevallen zelf bepaalde gegevens aan ons. Zonder deze essentiële persoonsgegevens kunnen wij ons werk niet verrichten en de diensten niet leveren.

Verstrekking persoonsgegevens aan derden

Naast dat wij bepaalde gegevens van u aangeleverd krijgen, is het noodzakelijk uw persoonsgegevens met anderen te delen. In het geval van patiëntgegevens, delen wij deze met de aanvrager van het laboratoriumonderzoek. Dit kan uw huisarts of een andere behandelaar zijn. Wij werken namelijk in opdracht van hen; wij voeren diagnostisch onderzoek uit, waarvan de uitslag wordt teruggekoppeld aan de aanvrager van uw laboratoriumonderzoek.

Het Reinier de Graaf Gasthuis verzorgt de declaraties voor de diensten die wij uitvoeren. Om correct te kunnen declareren heeft het Reinier de Graaf Gasthuis bepaalde gegevens van u nodig welke wij verstrekken.

In sommige gevallen moeten wij bepaalde persoonsgegevens delen met derden voor het uitvoeren van bepaalde (technische) diensten (bijvoorbeeld hostingproviders en technische ondersteuning). In andere gevallen kunnen wij wettelijk verplicht zijn om gegevens te delen met toezichthouders (zoals bijvoorbeeld de inspectie voor de Gezondheidszorg en Jeugd of de GGD).

Wanneer wij gegevens met anderen delen, zorgen wij ervoor dat een rechtsgeldige rechtsgrondslag aanwezig is. Daarnaast zorgen wij ervoor, indien dit nodig is, dat schriftelijke afspraken worden vastgelegd in de vorm van een verwerkersovereenkomst.

Locaties van uw persoonsgegevens

Het RHMDC en de ingeschakelde derden verwerken uw persoonsgegevens in eerste instantie binnen de landen van de Europese Unie. Bij sommige verwerkingen kunnen uw (persoons)gegevens buiten de landen van de Europese Unie worden verwerkt. Indien dat gebeurt, worden passende beveiligingsmaatregelen bij de verwerking van de (persoons)gegevens getroffen.

Verwerking voor andere doeleinden

Naast dat wij eerste- en tweedelijns diagnostische onderzoeken uitvoeren, kunnen wij, in specifieke gevallen, persoonsgegevens ook voor andere doeleinden gebruiken. Wij kunnen uw persoonsgegevens gebruiken voor (anonieme) kwaliteits- of wetenschappelijke onderzoeken of statistische of logistieke doeleinden. Ook voor de verdere verwerking dienen wij een geldige rechtsgrondslag te hebben. In sommige gevallen kan het noodzakelijk zijn om redenen van algemeen belang op het gebied van de volksgezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen voorop te stellen. Tevens kan dit noodzakelijk zijn met het oog op wetenschappelijk onderzoek. Voor bepaalde doeleinden kunnen wij uw (uitdrukkelijke) toestemming vragen wanneer wij uw persoonsgegevens willen gebruiken. In andere gevallen bemiddelen wij bij de uitvoering van een wetenschappelijk onderzoek. Dit houdt in dat uw toestemming of geen bezwaar registratie bij uw zorgverlener (zoals huisarts of ziekenhuis) doorgegeven dient te worden.

Bewaartermijnen

Wij dienen ons in de uitvoering van onze werkzaamheden te houden aan (wettelijke) bewaartermijnen. De privacywetgeving, de Algemene Verordening Gegevensbescherming, geeft aan dat gegevens niet langer bewaard mogen worden dan noodzakelijk is. Bij bijvoorbeeld patiëntgegevens die in een medisch dossier van een zorgverlener zijn opgenomen en daarvoor relevant zijn, dienen wij de wettelijke bewaartermijn op te volgen. Voor medische dossiervoering is de wettelijke bewaartermijn 20 jaar. De bewaartermijn kan langer zijn, bijvoorbeeld bij kinderen of bij erfelijke of chronische aandoeningen. Ook kan het nodig zijn dat uw gegevens langer bewaard worden vanwege een (juridisch) geschil.

Camerabeelden worden 14 dagen bewaard en worden automatisch gewist na verloop van deze termijn. Slechts indien op de camerabeelden een incident staat, kunnen de camerabeelden langer dan 14 dagen worden bewaard. In geval van een incident, worden de camerabeelden bewaard tot het incident is afgehandeld. De camerabeelden worden nooit langer bewaard dan nodig is voor verwerkelijking van de doelen waarvoor zij worden verzameld.

Bescherming van uw persoonsgegevens

Zoals u ziet verwerken wij veel (medische) persoonsgegevens. Deze dienen wij uiteraard te beveiligen en te beschermen. Dit doen wij door technische en organisatorische maatregelen te treffen om ongeoorloofd of onwettig gebruik, wijzigingen, ongeoorloofde toegang of openbaarmaking, onbedoelde of onrechtmatige vernietiging of verlies, te voorkomen.

Zo hebben wij medewerkers in dienst die de (computer)systemen beheren en adequaat beveiligd houden. Ook voldoen wij aan de gestelde normen met betrekking tot het beveiligingsniveau binnen de gezondheidszorg . Onze medewerkers hebben een geheimhoudingsverklaring ondertekend en dienen zich te houden aan de gedragscode computergebruik. Wanneer wij een datalek constateren zorgen wij ervoor dat deze tijdig wordt gemeld. Tevens treffen wij maatregelen om een dergelijk datalek in de toekomst te voorkomen.

Uw rechten

Op grond van de privacywetgeving, de Algemene Verordening Gegevensbescherming, heeft u verschillende rechten met betrekking tot de verwerking van uw persoonsgegevens. Voor de uitoefening van deze rechten is het van belang of wij uw persoonsgegevens zelfstandig verwerken of dat wij dit in opdracht van een externe partij doen. Wanneer u bent doorverwezen en wij in opdracht van bijvoorbeeld een huisarts of ziekenhuis een onderzoek verrichten, dan kunt u zich tot uitoefening van uw rechten wenden tot uw behandelaar. In het geval wij uw gegevens voor bijvoorbeeld de Unit Antistolling of afhandeling van een voorval verwerken, dan kunt u uw rechten rechtstreeks bij ons inroepen. Deze rechten zijn als volgt:

Inzagerecht

U heeft het recht de persoonsgegevens die wij verwerken in te zien en eventueel een kopie te verkrijgen. Een eerste kopie van deze gegevens is gratis. Indien u meer kopieën wenst, kunnen er kosten in rekening worden gebracht.

Correctierecht

U heeft het recht uw persoonsgegevens te laten wijzigen in geval deze gegevens niet (langer) juist zijn.

Verwijderingsrecht

U heeft het recht uw persoonsgegevens te laten verwijderen indien de verwerking niet (langer) gerechtvaardigd is en in de volgende gevallen:

de gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld;
de gegevens niet langer nodig zijn voor de financiële afhandeling;
u een gegeven toestemming intrekt en deze toestemming de enige grondslag is waarop de verwerking is gebaseerd;
wanneer de persoonsgegevens onrechtmatig zijn verzameld.

Recht van bezwaar

U heeft het recht bezwaar te maken tegen bepaalde verwerkingen van uw persoonsgegevens. Dit recht geldt voor alle verwerkingen die zijn gebaseerd op een gerechtvaardigd belang van het RHMDC. Voor de andere grondslagen van verwerking is dit niet mogelijk.

Recht op beperking

U heeft onder bepaalde omstandigheden het recht op beperking van de verwerking van uw persoonsgegevens. Dit houdt in dat wij de verwerking van uw gegevens tijdelijk stopzetten. U kunt zich in vier situaties op dit recht beroepen, namelijk:

In afwachting van de beoordeling van een verzoek tot correctie;
Indien uw persoonsgegevens verwijderd dienen te worden maar u deze verwijdering niet wenst;
Indien het RHMDC uw persoonsgegevens niet langer nodig heeft maar u de gegevens wel nodig heeft voor (de voorbereiding op) een rechtszaak;
In afwachting van de beoordeling van een bezwaar.

Recht op gegevensoverdraagbaarheid

U heeft het recht om de door u verstrekte persoonsgegevens op te vragen en te ontvangen in een gangbaar digitaal bestandsformaat. Dit recht geldt voor persoonsgegevens die wij verwerken op grond van uw toestemming of van een met u gesloten overeenkomst. Daarnaast betreft het uw persoonsgegevens die door u aan het RHMDC zijn verstrekt.

Uitoefening van uw rechten

Wanneer u gebruik wenst te maken van de bovengenoemde rechten, kunt u een e‑mail sturen naar privacy@reinier-mdc.nl. In de e‑mail geeft u aan van welk recht u gebruik wenst te maken. Wij zullen vervolgens het juiste aanvraagformulier opsturen. Hierna dient u het desbetreffende aanvraagformulier in te vullen en weer te retourneren naar ons.

Als u een vraag/verzoek indient, zullen wij deze in beginsel binnen vier weken beantwoorden. Mocht de beantwoording van uw vraag/verzoek meer tijd kosten vanwege de complexiteit en/of het aantal verzoeken, dan kan de termijn voor het beantwoorden daarvan oplopen tot drie maanden. Wij zullen u binnen een maand na ontvangst van het verzoek op de hoogte stellen van een dergelijke verlenging.

Om uw identiteit vast te stellen en te controleren dat wij de gegevens aan de juiste persoon verstrekken, vragen wij om een kopie identiteitsbewijs. Deze vernietigen wij direct nadat wij u identiteit hebben vastgelegd.

De hierboven beschreven rechten zijn geen absolute rechten. Er kunnen zich omstandigheden voordoen waardoor wij aan een bepaald verzoek geen gehoor kunnen geven. Alleen als gegevens worden verwerkt op basis van uw toestemming en u besluit deze toestemming in te trekken, dan zal dit worden nageleefd. Voor andere verzoeken zal er een afweging van belangen worden gemaakt. Mochten wij aan een verzoek geen gehoor kunnen geven, dan zullen wij u hiervoor onze motivering geven. Indien u het niet eens bent met de keuze, kunt u contact opnemen met de Autoriteit Persoonsgegevens. Indien de beslissing van de Autoriteit Persoonsgegevens naar uw mening niet juist is, kunt u besluiten naar de rechter te gaan.

Geautomatiseerde besluitvorming en profiling

Wij maken geen gebruik van geautomatiseerde besluitvorming en/of profiling. Dit betekent dat wij uw gegevens niet gebruiken om een bepaald profiel over u op te stellen of dat besluiten worden genomen zonder menselijke tussenkomst.

Cookies

Het RHMDC maakt op de website (inclusief subdomeinen) gebruik van Analytics cookies. De Analytics cookies leveren belangrijke statistieken over aantal bezoekers, de bezochte pagina, de verkeersbronnen waarmee wij deze websites voortdurend kunnen verbeteren voor gebruikers. Deze statistieken zijn anoniem en niet te herleiden tot een bepaalde persoon of gebruiker. Daarnaast worden gegevens uit (contact)formulieren niet verwerkt of opgeslagen door de Analytics cookies.
Als u het script van Analytics cookies liever wilt blokkeren, dan kunt u hier een opt-out plugin voor Google Analytics downloaden: https://tools.google.com/dlpage/gaoptout. Met deze plugin telt uw bezoek niet meer mee in de statistieken.

Functionaris Gegevensbescherming

Het RHMDC heeft een Functionaris Gegevensbescherming (FG) aangesteld. De FG houdt toezicht op de naleving van de privacywetgeving en adviseert het RHMDC over de privacywetgeving. De FG is tevens de contactpersoon voor alle vragen die over privacy gaan, zowel voor u als betrokkene als voor de toezichthouder. U kunt contact opnemen met de FG door een mail te sturen naar fg@rdgg.nl.

Slotopmerking

Door snelle technische ontwikkelingen, gewijzigde interne processen of wet- en regelgeving moet deze privacyverklaring soms worden gewijzigd. Deze wijzigingen worden bekend gemaakt op de website van het RHMDC en treden vanaf dan in werking.

Versie 4, publicatie datum 31-01-2022.

Privacy

Privacy en informatiebeveiligingsbeleid

Inlei­ding

De ver­werk­te (persoons)gegevens

Per­so­na­lia en identificatiegegevens

Admi­ni­stra­tie­ve (finan­ci­ë­le) gegevens

Medi­sche gegevens

Came­ra­toe­zicht

Doel­ein­den van de verwerking

De rechts­gron­den voor de verwerking

Bron van persoonsgegevens

Ver­strek­king per­soons­ge­ge­vens aan derden

Loca­ties van uw persoonsgegevens

Ver­wer­king voor ande­re doeleinden

Bewaar­ter­mij­nen

Bescher­ming van uw persoonsgegevens

Uw rech­ten

Inza­ge­recht

Cor­rec­tie­recht

Ver­wij­de­rings­recht