Consulten, tarieven E.D.

Reglement AVG- Privacybeleid “Centrum voor Osteopathie” -Privacystatement
Op 25 mei 2018 is de nieuwe Privacywetgeving in werking getreden. Het gaat dan om Privacy
Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische communicatie (2002/58/EG), de
nationale wetten ter uitvoering van deze richtlijnen en/of, in voorkomend geval, de verordening (EU)
2016/679 (de "Algemene Verordening Gegevensbescherming"). Een en ander samengevat als de
AVG. Deze wetgeving zal de wet Bescherming persoonsgegevens vervangen. De AVG verwacht een
meer pro-actieve rol van iedere organisatie die persoonsgegevens verwerkt. De meest relevante
wijzigingen waar rekening mee dienen te worden gehouden zijn:
- versterking en uitbreiding van privacyrechten;
- meer verantwoordelijkheden voor organisaties;
- dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de
bevoegdheid om boetes tot 20 miljoen euro op te leggen.
De Autoriteit Persoonsgegevens (hierna AP) blijft net als voorheen onder de wet Bescherming
persoonsgegevens de autoriteit die controleert of organisaties zich aan de wetgeving houden.
Ter voorbereiding op de nieuwe regelgeving heeft de AP een stappenplan opgesteld:
Het AVG-10 stappenplan:
1 Bewustwording
2 Rechten van betrokkenen
3 Overzicht verwerkingen
4 Data protection impact assessment (DPIA)
5 Privacy by design & privacy by default
6 Functionaris voor de gegevensbescherming
7 Meldplicht datalekken
8 Verwerkersovereenkomsten
9 Leidende toezichthouder
10 Toestemming
Een nadere uitwerking van dit stappenplan en naleving in de praktijk daarvan dient ervoor zorg te
dragen dat “Centrum voor Osteopathie” zich zoveel mogelijk aan de nieuwe wetgeving AVG kan
houden. Hieronder zullen de verschillende stappen worden besproken. Daarbij wordt nagegaan in
hoeverre deze punten binnen “Centrum voor Osteopathie” gelden, waar “Centrum voor
Osteopathie” tegen aan loopt en op welke wijze “Centrum voor Osteopathie” op een verantwoorde
manier aan de ‘nieuwe’ verplichtingen zal voldoen.
1 Bewustwording
1.1 “Centrum voor Osteopathie” is een praktijk waarbinnen Theo van Well osteopaat DO-MRO,
Leon Wijnands osteopaat DO-MRO en Mike Neeskens osteopaat DO-MRO osteopathie als
dienstverlening aanbieden. Om dat doel te kunnen uitvoeren dient “Centrum voor
Osteopathie” persoonsgegevens van patiënten te verwerken en gebruiken binnen de
dagelijkse bedrijfsvoering.
1.2 De gegevens die worden gedocumenteerd zijn privacy gevoelig. Het gaat om
persoonsgegevens, aan de hand waarvan de betrokkene zowel direct als indirect
geïdentificeerd kan worden. Ten einde er zeker van te zijn dat met die gegevens wordt
omgegaan op een wijze die verantwoord is en voldoet aan de privacy wetgeving zoals per 25
mei 2018 van kracht zal worden heeft “Centrum voor Osteopathie” ervoor gekozen met het 
onderhavige protocol in kaart te brengen, aan de hand van het AVG stappenplan (zoals
hiervoor opgesomd), op welke wijze invulling gegeven dient te worden aan de AVG.
1.3 Het betreft hier registratie van persoonsgegevens met een gerechtvaardigd belang. Immers
de patiënten melden zich zelf aan bij “Centrum voor Osteopathie” Zij willen graag geholpen
worden door de osteopaat voor hun klachten.
2 Rechten van betrokkenen
2.1 Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de Verordening
diverse rechten aan de betrokkene. De betrokkene kan deze rechten uitoefenen tegen de
verwerkingsverantwoordelijke. De betrokkene heeft:
• het recht op informatie over de verwerkingen;
• het recht op inzage in zijn gegevens;
• het recht op correctie van de gegevens als deze niet kloppen;
• het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;
• het recht op beperking van de gegevensverwerking;
• het recht op verzet tegen de gegevensverwerking;
• het recht op overdracht van zijn gegevens (dataportabiliteit);
• het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.
2.2 Een patiënt of voormalig patiënt (de betrokkene) kan om bovenstaande gegevens verzoeken.
De betrokkene kan zulks doen schriftelijk naar “Centrum voor Osteopathie” De betrokkene
dient zich daarbij te legitimeren, opdat “Centrum voor Osteopathie” met voldoende
zekerheid kan vaststellen dat degene die het verzoek doet daadwerkelijk de betrokkene is.
2.3 “Centrum voor Osteopathie” zal binnen 1 maand na ontvangst van het verzoek betrokken
informeren over de uitvoering van het verzoek. Bij complexe, of een veelvoud aan verzoeken
kan deze termijn verlengd worden met maximaal 2 maanden. De betrokkene zal in een
dergelijk geval van verlengde termijn van uitvoering van het verzoek daaromtrent
geïnformeerd worden. De informatie wordt in principe schriftelijk verstrekt.
2.4 In sommige gevallen mag “Centrum voor Osteopathie” weigeren tot uitvoering van het
verzoek om gegevensverstrekking over te gaan, dan wel daarvoor kosten in rekening
brengen. Het moet dan gaan om de situatie dat de betrokkene buitensporige of ongegronde
verzoeken doet. (Bijvoorbeeld meerdere verzoeken achter elkaar om dezelfde gegevens. Dan
wel wanneer sprake is van een van de beschermende noodzakelijkheidscriteria welke de AVG
kent zoals bijvoorbeeld in het kader van een (strafrechtelijk) onderzoek naar de betrokkene).
Indien “Centrum voor Osteopathie” weigert aan het verzoek te voldoen, zal “Centrum voor
Osteopathie” zulks motiveren en de betrokkene wijzen op het klachtrecht bij de
toezichthouder AVG.
2.5 “Centrum voor Osteopathie” realiseert zich dat indien zij een schriftelijke beslissing neemt in
het kader van de uitoefening van de rechten van de betrokkene, dat dit dan geldt als een
besluit in de zin van de Algemene wet bestuursrecht.
2.6 In sommige gevallen dient “Centrum voor Osteopathie” de betrokken patiënt uit zichzelf te
informeren. Dit is het geval indien:
- gegevens buiten de betrokkene om worden verkregen
- gegevens voor een ander doel gebruikt gaan worden dan waar de gegevens
oorspronkelijk voor waren afgegeven. “Centrum voor Osteopathie” zal in die
gevallen binnen 1 maand betrokkene informeren.
2.7 Indien de behandeling van de patiënt eindigt zal “Centrum voor Osteopathie” de
persoonsgegevens nog enige tijd in haar systeem bewaren. De wet Wgbo bepaalt dat
medische dossiers 15 jaar moeten worden bewaard. Aan die bewaartermijn zal “Centrum
voor Osteopathie” zich houden. De dossiers zullen na 15 jaar vernietigd worden. Binnen het
dossier bevinden zich tevens gegevens van niet medische aard.
2.8 Ten einde er zeker van te zijn dat de betrokkene een volledig beeld heeft van de wijze
waarop met diens persoonsgegevens wordt omgegaan en met welk doel en onder welke
grondslag (gerechtvaardigd belang), zal iedere betrokken bij registratie toegang krijgen tot
deze privacystatement en de hierbij behorende documenten. “Centrum voor Osteopathie”
zal deze gegevens op de website plaatsen en ter inzage in de wachtkamer leggen en iedere
betrokkene op die vindplaats wijzen.
3. Register van verwerkingsactiviteiten
3.1 “Centrum voor Osteopathie” verwerkt persoonsgegevens van patiënten. De volgende
persoonsgegevens worden van deze leden verwerkt. Ten aanzien van al deze vormen van
verwerkingen van persoonsgegevens zal “Centrum voor Osteopathie” een register van
verwerkingsactiviteiten bijhouden. Daarin worden alle soorten persoonsgegevens die verwerkt
zullen worden opgenoemd.
3.2 in het geval de patiënt een klacht indient tegen de osteopaat, zullen die gegevens eveneens
worden verwerkt door “Centrum voor Osteopathie”
4 DPIA (Data protection impact assessment)
4.1 DPIA staat voor gegevensbeschermingseffectbeoordeling. Een DPIA is alleen verplicht
wanneer sprake is van gegevensverwerking welke waarschijnlijk een hoog privacyrisico
oplevert. Binnen de AVG worden drie situaties besproken wanneer sprake is van verhoogd
risico.:
- systematisch en uitvoerig persoonlijke aspecten evalueren
- op grote schaal bijzondere persoonsgegevens verwerken
- op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied
4.2 Naast de criteria uit de AVG zelf heeft de werkgroep van Europese privacytoezichthouders
een lijst met 9 criteria opgesteld om nader te bezien of een DPIA nodig is. De criteria die op
osteopaten van toepassing zouden kunnen zijn:
- gevoelige gegevens verwerking
- grootschalige gegevens verwerking
- gegevensverwerking over kwetsbare personen
4.3 De privacytoezichthouders zien verwerkingen van bijzondere persoonsgegevens door
individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen DPIA uit te
voeren. Het ligt voor de hand dat de gegevensverwerking door de individuele osteopaat
aldus evenmin de uitvoering van een DPIA behoeft. “Centrum voor Osteopathie” zal
zodoende geen DPIA uitvoeren.
4.4 Evenwel is “Centrum voor Osteopathie” zich ervan bewust dat sprake is van bijzondere
persoonsgegevens. De inhoud van een medisch dossier is gevoelig voor de betrokkene en
vergt een grote mate van vertrouwelijkheid. “Centrum voor Osteopathie” zal zich zodoende
inzetten die gegevens vertrouwelijk te laten blijven.
4.5 De gegevens zoals “Centrum voor Osteopathie” registreert zijn slechts bedoeld voor intern
gebruik. De persoonsgegevens worden gebruikt om te waarborgen dat de osteopaat de
patiënt zo goed mogelijk van dienst kan zijn. Van dienst zijn in het verhelpen van de klachten
en van dienst zijn door het mogelijk maken dat de ziektekostenverzekering de kosten zoveel
mogelijk vergoedt.
4.6 Op termijn zal de Autoriteit Persoonsgegevens (AP) een lijst van verwerkingen publiceren
waar een DPIA voor verplicht is. Zodra die lijst er is, zal “Centrum voor Osteopathie” haar
verwerking van persoonsgegevens opnieuw tegen het licht houden om te bezien of nog
nadere maatregelen nodig zijn.
5 Privacy by design & privacy by default
5.1 Privacy door ontwerp en door standaardinstellingen voor producenten. “Centrum voor
Osteopathie” is producent van een dienst, welke wordt ondersteund door de verwerking van
persoonsgegevens. Zodoende houdt “Centrum voor Osteopathie” bij de ontwikkeling en
uitwerking van die dienst rekening met het recht op bescherming van persoonsgegevens.
Met inachtneming van de stand van de techniek ziet “Centrum voor Osteopathie” erop toe
dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun
verplichtingen inzake gegevensbescherming.
5.2 “Centrum voor Osteopathie” let daarbij op:
• het minimaliseren van de verwerking van persoonsgegevens;
• slechts het BSN nummer noteren, doch geen kopie maken van de het paspoort/ID
kaart;
• transparantie met betrekking tot de functies en de verwerking van
persoonsgegevens;
• het in staat stellen van de betrokkene om controle uit te oefenen op de
informatieverwerking; en
• beveiligingskenmerken creëren en verbeteren.
6 Functionaris voor de gegevens bescherming
6.1 Net als voor de DPIA geldt dat de individuele praktijk van een osteopaat door de AP niet
wordt gezien als een grootschalige verwerker. Het instellen van een FG is ondanks dat het
gaat om bijzondere persoonsgegevens niet noodzakelijk. Daarbij stipt “Centrum voor
Osteopathie” nogmaals aan dat in deze sprake is van het verwerken van persoonsgegevens
op verzoek van de patiënt, nu deze een zo goed mogelijke behandeling wenst. “Centrum
voor Osteopathie” verwerkt geen persoonsgegevens voor commerciële doeleinden.
Patiënten worden niet gevolgd door “Centrum voor Osteopathie” aan de hand van de
persoonsgegevens. 
6.2 “Centrum voor Osteopathie” benadrukt opnieuw zich te realiseren persoonsgegevens te
verwerken die een hoge mate van vertrouwelijkheid kennen. “Centrum voor Osteopathie”
meent echter alle maatregelen te hebben genomen, ten einde erop toe te zien dat de
persoonsgegevens van patiënten niet voor andere doeleinden gebruikt worden dan bedoeld
is.
7 Meldplicht Datalekken
7.1 Een datalek in de zin van de AVG is een inbreuk in verband met persoonsgegevens. Het is een
inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de
ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of
anderszins verwerkte persoonsgegevens.
7.2 Het is voor de kwalificatie als ‘inbreuk in verband met persoonsgegevens’ niet relevant dat er
boze opzet in het spel is. Naast het ‘hacken’ van persoonsgegevens, kan ook gedacht worden
aan gegevens die op een verloren laptop staan of een afgesloten website met
persoonsgegevens die per ongeluk openstaat. Een inbreuk op de beveiliging houdt in dat zich
daadwerkelijk een beveiligingsincident heeft voorgedaan. Er is niet uitsluitend sprake van
een dreiging, of van een tekortkoming in de beveiliging (ook wel aangeduid als een
beveiligingslek) die zou kunnen leiden tot een beveiligingsincident. Er heeft zich
daadwerkelijk een beveiligingsincident voorgedaan, waarbij de getroffen preventieve
maatregelen niet toereikend waren om dit te voorkomen.
7.3 “Centrum voor Osteopathie” zal ieder datalek aan de AP melden, tenzij onwaarschijnlijk is
dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
“Centrum voor Osteopathie” zal binnen 72 uur na ontdekking de AP in kennis stellen, ook
indien nog niet alle informatie voorhanden is.
7.4 Bovendien zal “Centrum voor Osteopathie” het datalek onverwijld melden aan de
betrokkenen, indien sprake is van een hoog risico door de inbreuk op de persoonsgegevens.
Voor de vraag of sprake is van een hoog risico zal “Centrum voor Osteopathie” eerst nader
onderzoek daar naar mogen doen.
7.5 Het datalek zal door “Centrum voor Osteopathie” gedocumenteerd worden in een overzicht
van datalekken die zich binnen “Centrum voor Osteopathie” hebben voorgedaan. Niet alleen
zullen de feiten omtrent de inbreuk en de gevolgen daarvan in dit overzicht worden
gedocumenteerd, doch eveneens de genomen corrigerende maatregelen.
8 Verwerkersovereenkomsten
8.1 “Centrum voor Osteopathie” maakt géén gebruik van een extern befrijf voor het verwerken
van de persoonsgegevens in een patiëntenbeheerplatform. “Centrum voor Osteopathie”
heeft derhalve géén verwerkersovereenkomst hoeven af te sluiten.
8.2 N.v.t
8.3 Wel maakt “Centrum voor Osteopathie” gebruik van een boekhouders/accountants. Deze
verwerken geen gegevens van patiënten, maar hebben wel inzage in sommige
persoonsgegevens. Vooral de gegevens rondom betalingen zullen ingezien kunnen worden.
Zodoende hebben deze geheimhoudingsverklaringen ondertekend. In die verklaring wordt
niet alleen weergegeven dat deze personen zelf geheimhouding zullen betrachten over alle
persoonsgegevens die deze te zien krijgen van patiënten van “Centrum voor Osteopathie”,
ook de medewerkers en derden waar deze gebruik van maken hebben diezelfde
geheimhoudingsplicht. Bovendien is in de verklaring opgenomen dat deze geen
persoonsgegevens van patiënten zullen verwerken.
9 Leidende Toezichthouder
9.1 “Centrum voor Osteopathie” dient te bepalen onder welke toezichthouder zij valt. “Centrum
voor Osteopathie” heeft 1 vestiging te Sittard. Dit is op Nederlandse bodem. De
werkzaamheden van “Centrum voor Osteopathie” rusten op Nederlands grondgebied. De
Leidende toezichthouder voor “Centrum voor Osteopathie” is dus de Autoriteit
Persoonsgegevens te Nederland.
10 Toestemming
10.1 Voor de verwerking van bepaalde gegevens is toestemming nodig van de betrokkene. Dat is
het geval indien het gaat om bijzondere categorieën van persoonsgegevens en
persoonsgegevens van strafrechtelijke aard. Ook het nationaal identificatienummer (BSN) is
een zaak waarbij expliciete toestemming van de betrokkene nodig is, indien dat nummer
wordt verwerkt. “Centrum voor Osteopathie” verwerkt het BSN nummer van haar patiënten
nu osteopaten verplicht zijn dit nummer te gebruiken in correspondentie met andere
zorgverleners. Het verwerken van gegevens over de gezondheid betreft eveneens een
bijzondere categorie gegevens waarvan voor de verwerking toestemming nodig is van de
patiënt. Het heeft echter de sterke voorkeur het verwerken van alle persoonsgegevens op
voorhand met patiënten te bespreken en bij die verwerking expliciet te vermelden of de
patiënt toestemming heeft gegeven voor die verwerking.
10.2 “Centrum voor Osteopathie” zal op de volgende wijze invulling geven aan deze benodigde
toestemming. Naast het opstellen van een behandelplan zal bij de intake van een patiënt een
overzicht worden gegeven van de afspraken. Deze zullen met de patiënt worden
doorgenomen en vervolgens aan de patiënt ter hand worden, waarbij aangetekend wordt
dat het hier een bevestiging van de gemaakte afspraken betreft. Er zal om een
ontvangstbevestiging worden verzocht bij de patiënt. Op deze ‘opdrachtbevestiging’ zullen
de belangrijkste gegevens worden benoemd over wat de patiënt kan verwachten van de
osteopaat. Het gaat om het volgende:
- dat patiënt is gewezen op het feit dat persoonsgegevens verwerkt zullen worden
en om welke persoonsgegevens het gaat;
- dat patiënt voor die verwerking expliciet toestemming heeft verleend;
- dat patiënt rechten heeft ten aanzien van het verwerken van persoonsgegevens en dat
patiënt deze en de verdere werkwijze van “Centrum voor Osteopathie” met
betrekking tot die persoonsgegevens kan nalezen in het onderhavige reglement
zoals op de website van “Centrum voor Osteopathie” staat vermeld;
- dat patiënt gewezen wordt op de bewaartermijn(en) van de persoonsgegevens;
- dat patiënt de mogelijkheid heeft een klacht tegen “Centrum voor Osteopathie” in te
dienen bij het NRO of NOF;
- wat het consulttarief is van “Centrum voor Osteopathie”
- gewezen is op het “no-show”- en annuleer
11 Slotwoord
11.1 “Centrum voor Osteopathie” gaat ervan uit met dit privacybeleid aan alle vereisten van de
nieuwe AVG regels te voldoen. “Centrum voor Osteopathie” is zich ervan bewust dat sprake
is van nieuwe regelgeving en dat zulks inhoudt dat nog niet alle facetten zich even makkelijk
laten uiteenzetten. “Centrum voor Osteopathie” zal de aanpassingen, beslissingen en verder
nieuws vanuit de AP volgen, opdat tijdige maatregelen genomen kunnen worden deze
beleidsregels alsnog verder aan te scherpen, of bij te snijden.