Deze handleiding beschrijft op hoofdlijnen de uitgangspunten voor Freeway Zorg BV
(hierna te noemen FWZ) te Almere van de nieuwe privacywet de Algemene Verordening
Gegevensbescherming (AVG), voorheen Wet Bescherming Persoonsgegevens (WBP).
De AVG koppelt privacy-eisen aan de persoon of personen die verantwoordelijk is c.q. zijn
voor de gegevensverwerking. De AVG betitelt hen als ‘verantwoordelijke’. FWZ is als
entiteit ‘(eind)verantwoordelijke’. Medewerkers van FWZ, door FWZ uitbestede /
ingehuurde diensten (incl. de Free Joy Kadoshop) en eventuele licentiehouders worden
beschouwd als (mede)verantwoordelijken en hierna ook dienst/hulpverleners genoemd.

Persoonsgegevens zijn gegevens die informatie bevatten over een persoon die
identificeerbaar is. In het algemeen vallen ‘cliëntgegevens’ onder deze definitie, althans
als ze zijn te herleiden tot de betreffende cliënt of medewerker (hierna: cliënt geldt tevens
voor medewerker).
Geanonimiseerde gegevens, waarmee wordt bedoeld dat met deze gegevens een persoon
niet kan worden geïdentificeerd, zijn geen persoonsgegevens. Niet alleen (gecombineerde)
gegevens als naam, adres, woonplaats en geboortedatum maar ook foto’s, geluidsbanden,
chipcard, vingerafdrukken en DNA- profielen zijn persoonsgegevens. Gemakshalve spreken
we verder over ‘cliëntgegevens’.
Het ‘verwerken’ van cliëntgegevens omvat alle handelingen met cliëntgegevens vanaf het
moment dat deze worden verzameld totdat ze worden vernietigd. Dus: ordenen,
bijwerken, raadplegen, gebruiken, verstrekken, koppelen etc. Als een of meer van deze
handelingen is verricht, is dat ‘verwerking’ cliëntgegevens. Het verwerken van
cliëntgegevens is – voor een beperkt aantal doelen – toegestaan aan onder meer
hulpverleners, verzekeraars, instellingen voor maatschappelijke dienstverlening en
speciale scholen. In de zorgpraktijk is de AVG van toepassing op vrijwel alle
gegevensverzamelingen die zijn te herleiden tot cliënten. Dat geldt zowel voor
elektronische als voor handmatige verwerkingen. Uitgezonderd zijn handmatige
verwerkingen die niet in een systematisch toegankelijk dossier of systeem worden
opgeslagen. Dat is doorgaans echter niet het geval omdat (systeem)geborgde
toegankelijkheid een van de vereisten is die aan cliëntdossiers wordt gesteld.

De persoon van wie gegevens worden verwerkt (‘de betrokkene’) moet worden ingelicht
over: wie de ‘verantwoordelijke’ is, over het doel of de doelen van de
gegevensverwerking, de wijze waarop de verwerking plaatsvindt en eventuele
medegebruikers of ontvangers van de gegevens.

De plicht van de ‘verantwoordelijke’, in dit geval personen die direct of indirect betrokken
zijn bij de dienstverlening namens FWZ richting cliënt, geldt voor gehele proces van
gegevensverwerking. Daarbij dienen cliënten actief en aantoonbaar te worden gewezen
op de rechten waarop die zich kan beroepen. Dit kan middels een korte brief nu voor
aanwezige cliënten en via opname in een introductie mapje dat cliënt overhandigd krijgt
bij instroom. Daarin staat ook aangegeven dat jongeren bij klachten over de naleving van
het privacyreglement zich moeten wenden tot de “eindverantwoordelijke”.

Informatie over de gegevensverwerking van wilsonbekwame cliënten moet worden
verstrekt aan de (wettelijk) vertegenwoordiger, zoals verwante, voogd, curator, mentor.
Heeft de cliënt toen hij nog wel wilsbekwaam was, een ander schriftelijk gemachtigd
namens hem op te treden, dan moet de informatie aan die persoon worden gegeven.

Wat de doelen van gegevensverwerking betreft, de ‘verantwoordelijke’ moet aangeven
voor welk(e) doel(en) persoonsgegevens worden verzameld, nagaan of die doelen
‘gerechtvaardigd’ zijn en of niet meer gegevens worden verwerkt dan voor het doel
noodzakelijk is. Worden er gegevens voor andere doelen verwerkt, dan moet zijn voldaan
aan extra voorwaarden, zoals uitdrukkelijke toestemming van de betrokkene. Voorts moet
de verantwoordelijke ervoor zorgen, dat de gegevens juist en objectief meetbaar zijn. Dat
geldt ook voor gegevens die aan anderen worden verstrekt. Van derden ontvangen
gegevens moeten rechtmatig zijn verkregen, dat wil zeggen met kennis en
(veronderstelde) toestemming van de cliënt. Verantwoordelijke moet er dus op toezien
dat alle cliëntgegevens die hij ‘verwerkt’, aan deze eisen voldoen; dit let nauw.

Het – ook aan de jongere mee te delen – doel van verwerking van cliëntgegevens zal veelal
zijn het bieden van passende zorg en hulpverlening. Het aanleggen en bijhouden van een
dossier door de verantwoordelijke (dienstverlener) is daartoe noodzakelijk; dit wordt
‘dossierplicht’ genoemd.
Ook de waarnemer en andere personen die rechtstreeks bij de cliënten zijn betrokken,
hebben een dossierplicht. In het dossier mogen ook ‘bijzondere’ persoonsgegevens, zoals
AVG ze noemt, worden opgenomen, mits deze relevant zijn voor passende hulpverlening.
Voorbeelden daarvan zijn gegevens over iemands ras, levensovertuiging of seksuele leven.
Het verwerken van iemands gegevens met het oog op een passende behandeling,
verzorging of begeleiding is dus rechtmatig. Ook het verwerken van (uitsluitend de
noodzakelijke) gegevens voor de financiële ondersteuning van de behandeling vormt een
onderdeel van dit doel.
Voor het verwerken van gegevens ten behoeve van een derde of een doel anders dan zorg
en dienst/hulpverlening dient apart toestemming door de cliënt te worden gegeven.

De wet biedt de cliënt (de persoon op wie een gegeven betrekking heeft) ook rechten.
Namens de cliënt kan ook diens wettelijk vertegenwoordiger, verwante, voogd, mentor,
curator of gemachtigde, een beroep doen op de cliëntenrechten, tenzij nakoming
tegenover deze personen strijdig is met de zorg en hulpverlening.

Toestemming voor verwerking van van persoonlijke gegevens

Hoofdregel is dat gegevens alleen aan ‘anderen’ mogen worden verstrekt als de cliënt
daarvoor uitdrukkelijk toestemming heeft gegeven. Met ‘anderen’ worden niet bedoeld de
dienst/hulpverlener, verwante, vertegenwoordiger etc. Voor informatieverstrekking aan
deze personen hoeft de dienstverlener dus niet eerst toestemming aan de cliënt te vragen.
Wél voor verstrekking aan personen die hierboven niet zijn aangegeven. In een situatie dat
zich een ‘conflict van plichten’ voordoet, kunnen relevante gegevens door een
dienstverlener worden verstrekt zonder dat daarvoor toestemming aan de cliënt is
gevraagd. Voorbeelden zijn gevallen of ernstige vermoedens van mishandeling of incest.

De hoofdregel bij het verstrekken van informatie uit het dossier van een overledene is dat
de privacy van een cliënt ook na diens dood wordt gerespecteerd en dat anderen dus geen
inzage in zijn gegevens krijgen. Er zijn echter uitzonderingen.

– Er is een wettelijke die bepaling die verplicht om inzage te geven, bijvoorbeeld
aan de Inspecteur voor de Gezondheidszorg.

– In geval van ‘veronderstelde toestemming’ van de overleden cliënt: als de hulpverlener
tot de overtuiging komt, na ‘reconstructie van de wil van de overledene’, dat in een
concreet geval de overledene toestemming tot inzage zou hebben gegeven aan bijv.
verwanten.

– Als er sprake is van een ‘conflict van plichten’ kan de dienstverlener tot
gegevensverstrekking overgaan. Het moet daarbij gaan om zeer zwaarwegende belangen
van derden. Bijvoorbeeld wanneer zwijgen ernstige schade aan een derde oplevert.
De belangenafweging en zijn motieven daarbij dienen te worden vastgelegd.

Recht op inzage en afschrift
De cliënt heeft recht op inzage en afschrift van zijn gegevens. De wet maakt hierop één
uitzondering: inzage of afschrift mag niet worden gegeven als daardoor de privacy van een
ander wordt geschonden. Het kan bijvoorbeeld gaan om gegevens die door een partner,
vertegenwoordiger of familielid zijn verstrekt in het vertrouwen dat de cliënt daarvan niet
op de hoogte wordt gebracht. De gegevens kunnen betrekking hebben op henzelf of op de
cliënt. De hulpverlener zal die informatie alleen vastleggen als dit voor de behandeling
relevant is. Om een beroep te doen op de uitzondering moet de dienstverlener aantonen
dat het privacybelang van de ander wordt geschaad door inzage te geven én dat dit belang
zwaarder weegt dan het belang van de cliënt. De dienstverlener moet dus een
belangenafweging maken. Daarom is ook van belang dat de diverse gegevens zijn te
scheiden. Het gebruik onder dienstverleners om per (gezins)lid een afzonderlijk dossier te
gebruiken, voorziet daarin.

Aan een verzoek tot inzage of afschrift moet de dienstverlener of de
‘eindverantwoordelijke’ zo spoedig mogelijk, maar in elk geval binnen vier weken voldoen.
Als FWZ het inzage- of afschriftverzoek afhandelt, is het van belang dat het verzoek wordt
afgestemd met de betrokken dienstverlener en dat conform een daartoe geldende
procedure wordt gehandeld.

De betrokken dienstverlener moet beoordelen of alle gegevens kunnen worden ingezien of
opgevraagd. De cliënt heeft in beginsel geen recht op afgifte van de originele gegevens.
De originelen komen alleen toe aan degene die ze heeft opgesteld of degene die ze
bewaart en beheert (bijv. beleidsmedewerker of gedragsdeskundige bij FWZ). Het is wel
gebruikelijk dat bij overdracht naar een andere dienst/hulpverlener de originele gegevens
aan de cliënt worden meegegeven voor de opvolger. Voor het maken van afschriften (niet
voor het geven van inzage) mag FWZ een vergoeding aan cliënt vragen.

Daarnaast hebben personen – uit hoofde van hun functie / rol bij FWZ, door FWZ
uitbestede / ingehuurde diensten (incl. de Free Joy Kadoshop) en eventuele
licentiehouders krachtens overeenkomst tot geheimhouding – inzage in
persoonsgegevens; bij aanname van personeel e/o freelancers onderdeel arbeids- of
dienstverleningsovereenkomst. Bestuur van FWZ dient bovenstaande actief en
aantoonbaar over te dragen en te borgen.

Recht op aanvulling, correctie en afscherming

De cliënt heeft het recht om het dossier aan te vullen. Hiermee kan de cliënt bereiken dat
– naar zijn mening – een vollediger of juister beeld van zijn persoon of zijn situatie kan
worden geschetst. Het gaat dan om aanvullende zienswijzen van de cliënt zelf c.q. zijn
vertegenwoordiger óf – op verzoek van de cliënt – van een andere dienst/hulpverlener
bijvoorbeeld in het kader van een second opinion. Ook als de dienstverlener het met de
inhoud van de verklaring niet eens is, moet hij de verklaring in het dossier opnemen. De
cliënt mag de hulpverlener ook verzoeken om feitelijke onjuistheden in de gegevens te
corrigeren.

De cliënt mag de dienstverlener ook verzoeken zijn gegevens voor anderen af te schermen
als hij van mening is dat deze feitelijk onjuist zijn of niet ter zake doen. Dat zal hij alleen
vragen als hij het bewaren van deze gegevens van belang vindt, anders zal hij wel om
correctie of vernietiging vragen. Binnen vier weken moet de dienstverlener of instelling
laten weten of, en zo ja, in hoeverre aan deze verzoeken kan worden voldaan.

Recht op verwijdering en vernietiging

De cliënt heeft het recht om informatie die niet relevant is voor de behandeling, te laten
verwijderen. Ook kan de cliënt verzoeken (een deel van) zijn dossier te laten vernietigen.
De verantwoordelijke moet binnen vier weken op een vernietigingsverzoek reageren en
het binnen drie maanden uitvoeren.
Een eventuele weigering moet worden gemotiveerd. Op het recht op verwijderen of
vernietigen van gegevens bestaan twee uitzonderingen:
a. Een voorschrift of een andere wet bepaalt dat de gegevens moet worden bewaard.
b. Vanwege een ‘aanmerkelijke belang’ van een ander dan de cliënt, moeten (bepaalde)
gegevens worden bewaard.

ad a.
Een voorbeeld van de eerste uitzondering is de bepaling in het Besluit dossier Bijzondere
Opneming in Psychiatrische Ziekenhuizen (BOPZ) dat een verzoek tot vernietiging van
gegevens door de cliënt pas vijf jaar ná beëindiging van de BOPZ -behandeling kan worden

ingediend. Gegevens die relevante informatie bevatten voor gerechtelijke procedures,
moeten worden bewaard totdat de procedure definitief is afgerond. Voor overige
cliëntgegevens moet de bewaartermijn van minimaal tien jaar worden aangehouden.

ad b.
De tweede uitzondering op het recht van de cliënt om gegevens uit zijn dossier te
verwijderen, heeft betrekking op een ‘aanmerkelijk’ belang van een ander dan de ‘cliënt’.
De dienstverlener moet dit (schriftelijk) aannemelijk maken. Het kan bijvoorbeeld gaan om
een situatie waarin de cliënt een procedure tegen de dienst/hulpverlener wil aanspannen
of dit heeft gedaan. De dienstverlener heeft er dan een ‘aanmerkelijk’ belang bij dat hij de
gegevens voor zijn verweer kan gebruiken. Een andere situatie waarop deze tweede
uitzondering betrekking kan hebben, is dat een verwante, vertegenwoordiger etc. van de
cliënt met het oog op een erfelijke ziekte binnen de familie, goede redenen heeft om aan
te dringen op bewaring van de gegevens. De dienstverlener moet beoordelen of er sprake
is van ‘een aanmerkelijk belang van een ander’.

In het voorgaande heeft FWZ het wettelijk kader onderschreven waar het zich in het kader
van de AVG aan houdt. Binnen dit kader legt FWZ – voor zover noodzakelijk of voorgeschreven – de volgende gegevens vast van haar cliënten:

• achternaam
• voornaam
• geboortedatum
• adres
• huidige / meest recente school
• telefoon & mailadres ouder(s) / verwante / vertegenwoordiger
• burgerservicenummer (optioneel)
• polisnummer verzekering (optioneel)
• huisartsgegevens (optioneel)
• gezondheidsgegevens (optioneel)
• financiële gegevens (optioneel)
• Cookies

Daarnaast kunnen bijzondere persoonsgegevens vastgelegd worden (gezondheid, seksueel
leven, strafrechtelijke gegevens).
Daarvoor hanteert FWZ – ter bescherming van de cliënt – randvoorwaarden vanuit
onderstaand kader:

• de verwerking van bijzondere persoonsgegevens geschiedt door FWZ enkel voor
  zover dat met het oog op een passende dienstverlening van de betrokkene,
  noodzakelijk is.
• De verwerking geschiedt door FWZ op verzoek van belanghebbende enkel voor
  zover dat vereist is voor de dienstverlening e/o een door verzekeringsinstelling te
  verzekeren risico, dan wel uitvoering van een verzekeringsovereenkomst.

Freeway Zorg is verplicht tot geheimhouding van de persoonsgegevens van de betrokkene
en de gegevens worden niet verstrekt aan derden, tenzij:

• de cliënt hiervoor uitdrukkelijke toestemming heeft gegeven en het beroepsgeheim
  de verstrekking niet in de weg staat
• het gaat om andere beroepskrachten die de gegevens nodig hebben in het belang
  van de uitvoering van de dienstverlening
• er sprake is van nadeel voor de cliënt wanneer de persoonsgegevens niet worden
  verstrekt
• er sprake is van een wettelijke verplichting, waaronder de verstrekking aan een
  verzekeraar in het kader van materiële controles
• het gaat aantoonbaar om verbetering van de kwaliteit dienstverlening

Op 1 januari 2016 is al de meldplicht voor datalekken ingegaan. Deze meldplicht houdt in
dat organisaties een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij
een datalek hebben gesignaleerd. In voorkomende gevallen moeten zij het datalek ook
melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Deze meldplicht geldt als de inbreuk leidt tot nadelige gevolgen voor de bescherming van
persoonsgegevens (of een aannemelijke kans daarop).

Freeway Zorg houdt zich aan de voorschriften en meldt voorkomende datalekken uiterlijk
binnen 72 uur aan de Autoriteit Persoonsgegevens.