ZED Documenten
Verwerking Persoonsgegevens
Dit document is in werking getreden per 1 januari 2023.
In dit document vind je informatie over de persoonsgegevens die ZED B.V. – vanaf nu te noemen ZED, gevestigd te Amsterdam en ingeschreven bij de KvK (Kamer van Koophandel) onder nummer 86228420 – verwerkt. ZED hecht belang aan de bescherming van persoonsgegevens. Met behulp van dit document willen we kenbaar maken dat en hoe we voldoen aan de eisen zoals opgesteld in de AVG (Algemene Verordening gegevensbescherming).
Verantwoordelijke
ZED is verantwoordelijk voor de verwerking van persoonsgegevens. Dit is een wettelijke verplichting.
Type gegevens en het doel
ZED verwerkt persoonsgegevens van (potentiële) cliënten, zoals naam, adresgegevens, geboortedatum, e-mailadres, telefoonnummer en BSN van de (potentiële) cliënt. Voor de uitvoering van de behandelovereenkomst gaat het om andere (bijzondere) persoonsgegevens, waaronder de hulpvraag, voortgang zorg/onderzoek, uitkomsten/resultaten, alle overige gegevens noodzakelijk voor goede zorg/goed onderzoek zoals gezondheidsgegevens en gegevens betreffende leefomstandigheden, opleiding, werk.
In het kader van de behandeling kan ZED ook gebruikmaken van gegevens afkomstig van andere hulpverleners mits daarvoor toestemming is gegeven door een cliënt. Informatie van een andere hulpverlener, bijvoorbeeld van een eerdere behandeling, dient dan wel relevant te zijn voor de behandeling bij ZED. De opgenomen gegevens van cliënten bij ZED worden in het EPD (elektronisch patiënten dossier) van ZED opgeslagen.
Tot slot worden persoonsgegevens gegenereerd als iemand op de website het aanmeldformulier invult. Die gegevens worden gebruikt voor het doel waarvoor het formulier dient.
ZED verstrekt persoonsgegevens van betrokkenen aan derden wanneer dat noodzakelijk is in het kader van de uitvoering van de behandelovereenkomst of in geval van een wettelijke verplichting. Daarbuiten worden geen persoonsgegevens aan derden verstrekt zonder voorafgaande uitdrukkelijke toestemming van de betrokkene.
Informatie wordt (met toestemming van de cliënt) verstrekt aan: huisartsen/POH-GGZ (werkend bij huisarts), andere verwijzers; overige hulpverleners (om informatie op te vragen of bij een doorverwijzing informatie door te geven); zorgverzekeraars: voor zover nodig voor toegang en financiering.
Verwerkers
ZED kan bij het verwerken van persoonsgegevens gebruikmaken van externe dienstverleners. De meest voorkomende dienstverlener waar ZED gebruik van maakt is CRS, de software van het EPD.
Deze en andere dienstverleners verwerken uitsluitend persoonsgegevens op instructie van ZED. Met deze partijen heeft ZED verwerkersovereenkomsten gesloten. In deze overeenkomsten zijn afspraken vastgelegd over onder meer de aard en doeleinden van de verwerking, het soort persoonsgegevens dat wordt verwerkt, geheimhoudingsplicht, instructies over de verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van sub verwerkers, privacy rechten van betrokkenen, audits en controle alsook het retourneren en/of verwijderen van persoonsgegevens door de verwerker.
Beveiliging
Alle persoonsgegevens die via de website worden verwerkt worden over een beveiligde SSL verbinding verzonden en verwerkt. Alle gegevens die in het dossier zijn opgeslagen zijn alleen toegankelijk voor de hulpverleners van ZED, en tevens beveiligd opgeslagen.
Uitwisselingen via e-mail, WhatsApp en sms verlopen niet via een beveiligde verbinding. Deze manier van communiceren wordt door ZED alleen gebruikt voor het maken of verzetten van een afspraak. Inhoudelijke documenten kunnen – in overleg – versleuteld gemaild worden of via het gewenste cliënten portaal van het EPD.
Beveiliging
De wettelijke bewaartermijn voor persoonsgegevens is 15 jaar na vastlegging van de gegevens. De wettelijke bewaartermijn voor (financieel) administratieve gegevens is 7 jaar na vastlegging van de gegevens. ZED vernietigt persoons-/administratieve gegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden.
Beveiligingsincidenten
ZED heeft passende maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Bijvoorbeeld: er worden geen papieren documenten bewaard op locatie. Mocht een dergelijk document ontvangen worden, dan wordt het ingescand en geüpload naar de Cloud of EPD.
Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beëindigen en de schade zo veel mogelijk te beperken, dient als volgt te worden gehandeld:
Bij elk incident met betrekking tot persoonsgegevens zal ZED beoordelen:
- of sprake is van een incident dat betrekking heeft op (bijzondere) persoonsgegevens
- welke maatregelen genomen moeten worden om het incident te beëindigen en de gevolgen te beperken
- of inschakeling van een externe partij is benodigd om bij de oplossing van het incident te assisteren
- of het incident aan de AP (Autoriteit Persoonsgegevens) dient te worden gemeld
- of degenen op wie de persoonsgegevens betrekking hebben, over het incident dienen te worden ingelicht
- welke maatregelen er genomen moeten worden om herhaling van het incident te voorkomen.
Voor het geval dat een (potentieel) incident waarvan een door ZED ingeschakelde verwerker eerder op de hoogte is geraakt, is in de verwerkersovereenkomst bepaald dat de verwerker ZED zo snel mogelijk bericht. Ook zijn er afspraken gemaakt over het oplossen van het incident en het verstrekken van nadere gegevens.
Wijzigingen in deze privacyverklaring
ZED behoudt zich het recht voor om wijzigingen aan te brengen in deze privacyverklaring. Het verdient aanbeveling om deze privacyverklaring geregeld te raadplegen, zodat u van deze wijzigingen op de hoogte bent.