Privacy-reglement Schoterpoort
Doel en reikwijdte van het privacyreglement
Doel van het reglement is een vastlegging van de maatregelen die huisartsenpraktijkpraktijk Schoterpoort heeft genomen om zeker te stellen dat zorgvuldig met patiëntgegevens wordt omgegaan. Dit reglement is van toepassing op elke verwerking (geautomatiseerd en niet-geautomatiseerd) van patiëntgegevens, die in een bestand zijn of worden opgenomen.
1) Doel van het verzamelen en verwerken van patiëntgegevens
a) Patiëntgegevens worden op een behoorlijke en zorgvuldige wijze verwerkt, en alleen voor de doeleinden waarvoor ze zijn of worden verzameld;
b) Gegevens kunnen worden verzameld tijdens consulten, behandelingen of anderszins;
c) Doeleinden zijn:
- gebruik in het kader van de te verlenen zorg (met name behandeling, consult, medicatie, doorverwijzing, overdracht);
- gebruik ten behoeve van de bewaking van de eigen kwaliteit en de praktijkaccreditering
- ten behoeve van (wetenschappelijk) onderzoek, mits anoniem;.
- andere doeleinden, mits vooraf met de patiënt overeengekomen.
2) Verwerking van algemene patiëntgegevens, gezondheidsgegevens, erfelijke gegevens
a) Algemene patiëntgegevens worden alleen verwerkt indien aan een van onderstaande voorwaarden is voldaan:
- de patiënt heeft voor de verwerking toestemming (mondeling of schriftelijk) verleend;
- verwerking is noodzakelijk voor de verlening van huisartsgeneeskundige zorg aan de patiënt;
- verwerking is noodzakelijk is om een wettelijke verplichting na te komen;
- verwerking is noodzakelijk ter bestrijding van ernstig gevaar voor de gezondheid van patiënt.
b) Gezondheidsgegevens van de patiënt worden alleen verwerkt indien aan een van volgende voorwaarden is voldaan:
- verwerking geschiedt door hulpverleners, instellingen of voorzieningen in de gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de patiënt noodzakelijk is;
- verwerking geschiedt op verzoek van de verzekeraar zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico, dan wel voor zover dat noodzakelijk is voor de uitvoering van een verzekeringsovereenkomst;
c) Erfelijkheidsgegevens van de patiënt worden alleen verwerkt in relatie tot de betreffende patiënt zelf, tenzij:
- een zwaarwegend geneeskundig belang prevaleert of
- de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek en statistiek.
3) Organisatie van de informatiebeveiliging
Huisartsenpraktijk Schoterpoort heeft de volgende maatregelen genomen en werkafspraken gemaakt om zeker te stellen dat patiëntgegevens zorgvuldig worden behandeld.
a) Alle medewerkers die patiëntgegevens verwerken of anderszins kennis nemen van patiëntgegevens zijn gehouden aan geheimhouding;
b) Patiëntgegevens worden niet langer bewaard dan nodig; medische gegevens worden in beginsel vijftien jaren bewaard, of zoveel langer als redelijkerwijs nodig om verantwoorde zorg te kunnen leveren. Medische dossiers van overleden patiënten worden nog vijftien jaar bewaard na de laatste wijziging in het dossier;
c) De ruimten waarin gegevens worden opgeslagen zijn niet vrij toegankelijk;
d) Patiënten worden bij de inschrijving bij de praktijk geïnformeerd over de gang van zaken betreffende de overdracht van het medisch dossier van de vorige huisarts; in de meeste gevallen wordt het dossier digitaal verzonden;
e) Er is een grote afvalbak voor privacygevoelig materiaal, de inhoud wordt veilig vernietigd door firma Brantjes;
f) Er is een papierversnipperaar voor klein privacygevoelig materiaal;
g) Er zijn opbergvakken voor spoedzaken per huisarts en per assistente, zodat er geen gegevens ‘s avonds op de bureaus blijven liggen;
h) Alleen bevoegden hebben toegang tot de (digitale) gegevensbestanden van de praktijk; Jaarlijks wijzigen alle digitale wachtwoorden van alle medewerkers in de HOED omgeving, voor de inlog Zorgring en voor de Inlog Zorgdossier. Deze wachtwoorden voldoen aan de moderne eisen ((minimaal 1 hoofdletter, minimaal 1 kleine letter, minimaal 1 cijfer, minimaal 1 bijzonder teken);
i) In Remote werken in praktijk omgeving gebeurt via VPN verbinding;
j) Virusscan NOD32 ESET endpoint antivirusscan is aanwezig;
k) Medische dossiers worden opgeslagen in ASDP omgeving bij Zorgring;
l) Back-ups: de HOED bezit 2 mobiele harde schijven die per week verwisseld worden en afwisselend een week bij een praktijkmedewerker thuis worden bewaard. Daarnaast wordt een identieke server als back- up ingericht;
m) De automatisering verloopt via Fersys . Fersys heeft geen toegang tot het patiëntendossier, wel tot de rest van de soft- en hardware. Fersys kan niet zelf inloggen in medische dossiers, dit is afgegrendeld;
n) Verbinding van het medisch dossier met de spoedpost: patiënten wordt om toestemming gevraagd middels een formulier, dit wordt hierna vernietigd;
o) Communicatie met de spoedpost wordt door de spoedpost beveiligd. Overdrachtgegevens van zorgpatiënten aan de spoedpost gebeurt via de website van de spoedpost via een beveiligde omgeving middels eigen inloggegevens en een eenmalig wachtwoord. Via dit netwerk is er ook een feedbackmodule voor patiënten die in de waarneming gezien zijn;
p) In mei 2016 is gestart met verwijzen en aanvragen van laboratorium en functie-onderzoek via de beveiligde applicatie Zorgdomein. In een minderheid van de gevallen zal de verwijsbrief nog meegegeven worden aan patiënt, opgestuurd worden per post of per e-mail worden verzonden aan de patiënt. In dit laatste geval wordt aangekaart dat 100% veiligheid per e-mail niet gegarandeerd is;
q) Specialistenbrieven en eerstelijnsberichten worden ontvangen via Edifact in zorgdossier en een kleiner deel wordt ontvangen via de post. Waarneemberichten van de HAP komen binnen via zorgdossier. Bij overlijden ontvangt de praktijk tevens een fax.
r) Sinds 2016 is er de mogelijkheid om via Doc-2-doc gegevens van de specialist in het Spaarne Gasthuis in te zien (lab, röntgen, medicatie, voorgeschiedenis, afspraken). Hiervoor moet een huisarts met een persoonsgebonden UZI-pas inloggen in een beveiligde omgeving. Het inzien van deze gegevens kan alleen nadat de patiënt specifiek voor het gebruik van Doc-2-doc schriftelijke toestemming heeft verleend.
4) Rechten van de patiënt
a) De patiënt heeft recht op inzage in alle gegevens die over hem zijn verzameld en verwerkt;
b) De patiënt heeft recht op een afschrift van de over hem of haar verzamelde en verwerkte gegevens; de praktijk verstrekt een afschrift na een verzoek van de patiënt en de praktijk kan hiervoor eventueel een redelijke vergoeding vragen;
c) De patiënt kan verzoeken om aanvulling en/of correctie van de verzamelde en verwerkte gegevens, voor zover deze onvolledig en/of feitelijk onjuist zijn;
d) De patiënt kan verzoeken om verwijdering of beperkt gebruik van de verzamelde en verwerkte gegevens;
e) Recht op inzage of afschrift en verzoeken om aanvulling, correctie, beperkt gebruik of verwijdering kunnen door de praktijk worden geweigerd voor zover dit noodzakelijk is ter bescherming van een aanmerkelijk belang van een ander (waaronder de bescherming van de persoonlijke levenssfeer van die ander) en/of in geval bewaring op grond van een (wettelijk) voorschrift vereist is;
f) Indien de patiënt van mening is dat dit reglement door de praktijk niet of onvoldoende wordt nageleefd, dan kan hij of zij een klacht indienen bij de praktijk;
g) Daar waar de patiënt zichzelf niet kan vertegenwoordigen, treedt de wettelijke vertegenwoordiger in zijn of haar plaats.
Publicatie privacyreglement
Dit privacyreglement van huisartsenpraktijk Schoterpoort treedt in werking op 1 januari 2010 en wordt gepubliceerd op de website van de praktijk. Revisie heeft plaatsgevonden in juni 2017.
Op de website staan ook bijzonderheden vermeld inzake het medisch dossier.