PRIVACY NOTICE

Beleid inzake privacy en bescherming van persoonsgegevens

 

1. Inleiding

De vzw “Kliniek Sint-Jan”, gevestigd te 1000 Brussel, Kruidtuinlaan 32 en geregistreerd onder het ondernemingsnummer BE 0409.890.128 (hierna wij of de vzw genoemd) besteedt bijzondere aandacht aan de bescherming van de privacy van alle personen wiens gegevens zij verzamelt en verwerkt.

De vzw omvat de volgende ziekenhuizen:

  • Campus Kruidtuin (Kruidtuinlaan 32, 1000 Brussel)
  • Campus Leopold I (Leopold I straat 314, 1090 Jette)
  • Campus Middaglijn (Middaglijnstraat 100, 1210 Brussel)
  • Campus Terranova (Blekerijstraat 23-29, 1000 Brussel)

De vzw is verantwoordelijk voor de verwerking van de gegevens van alle instellingen. In sommige gevallen kan een andere persoon samen met ons verantwoordelijk zijn voor de verwerking van uw gegevens in de hoedanigheid van patiënt. In dat geval treden wij op als eerste contactpersoon.

Wij hebben ook een functionaris voor gegevensbescherming (hierna DPO genoemd) aangesteld die kan worden gecontacteerd op het volgende e-mailadres privacy-dpo@clstjean.be

Wij houden onze verwerkingsregisters strikt bij om aan te tonen dat wij alle bepalingen inzake gegevensbescherming naleven die van toepassing zijn op onze sector.

Met deze verklaring willen wij u uitleggen wie wij zijn, welke gegevens wij verwerken, waarom en hoe wij uw persoonsgegevens verwerken, hoe lang wij deze verwerken, aan wie uw gegevens kunnen worden doorgegeven en vooral wat uw rechten zijn met betrekking tot uw gegevens en hoe u deze rechten kunt uitoefenen, evenals alle informatie die verplicht is door de in België geldende bepalingen inzake de persoonlijke levenssfeer, en in het bijzonder de Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en intrekking van Richtlijn 95/46/EG, hierna AVG (Algemene Verordening Gegevensbescherming) genoemd.

2. Definities

Persoonsgegevens: elke informatie of groep van informatie die een natuurlijke persoon identificeert of identificeerbaar maakt. Dit kan een identificatiemiddel zijn zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel, enz. Het kan ook een of meer specifieke elementen omvatten in verband met zijn of haar gezondheid en fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit.

Verwerking: elke bewerking of elk geheel van bewerkingen die al dan niet automatisch worden uitgevoerd en die worden toegepast op gegevens of een geheel van persoonsgegevens, zoals het verzamelen, registreren, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op een andere wijze ter beschikking stellen, samenbrengen, combineren, beperken, wissen of vernietigen van gegevens.

Betrokkene: de identificeerbare of geïdentificeerde natuurlijke persoon wiens persoonsgegevens worden verwerkt.

Verantwoordelijke voor de verwerking: de rechtspersoon (overheidsinstantie, vennootschap, vzw, enz.) of fysieke persoon die het doel en de middelen van een verwerking vaststelt, d.w.z. het doel en de wijze waarop deze wordt uitgevoerd. In de praktijk en in het algemeen is dit de rechtspersoon die wordt belichaamd door zijn wettelijke vertegenwoordiger(s).

Onderaannemer: de natuurlijke of rechtspersoon die gegevens verwerkt namens een andere organisatie (“de verantwoordelijke voor de verwerking”), in het kader van een dienst of prestatie. Bijvoorbeeld de uitbesteding van laboratoriumanalyses, postverzending, enz. 

Ontvanger: persoon die uit hoofde van zijn functie gerechtigd is om gegevens te verkrijgen die geregistreerd zijn in een bestand of verwerking.

Derde: een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan dan de betrokkene, de verantwoordelijke van de verwerking, de onderaannemer en de personen onder rechtstreeks gezag van de verantwoordelijke voor de verwerking of de onderaannemer die gemachtigd zijn de persoonsgegevens te verwerken. Bijvoorbeeld het RIZIV, de ziekenfondsen, de behandelende arts, enz.

3. Wat is de reikwijdte van dit beleid?

Deze verklaring is bedoeld voor personen die minimaal een van de volgende eigenschappen hebben :

  • Patient van de Kliniek-Sint-Jan;
  • Familieleden van een patiënt zijn of een patiënt bijstaan;
  • Wettelijke toegang hebben tot een patiëntendossier.

Het is van toepassing op elke verwerking van persoonsgegevens van patiënten die een van onze instellingen bezoeken en die uitgevoerd wordt door haar medewerkers en/of zelfstandige beroepsbeoefenaars.

4. Welke gegevens worden verwerkt en op welke wijze?

Kliniek Sint-Jan verzamelt de relevante gegevens die nodig zijn voor uw behandeling door de zorgdiensten (medische, verpleegkundige, paramedische), voor de samenstelling van uw patiëntendossier en het beheer van uw administratief en sociaal dossier.

Kliniek Sint-Jan verwerkt uw medische gegevens (bv. gezondheidstoestand, onderzoeksresultaten, pathologieën, voorgeschiedenis, enz.) en uw administratieve gegevens (bv. identificatiegegevens zoals naam en voornaam, rijksregisternummer, facturatiegegevens, enz.).

Kliniek Sint-Jan verwerkt ook andere gegevens die noodzakelijk zijn voor de verwezenlijking van de bij wet bepaalde of opgelegde doelen (bijvoorbeeld: gegevens met betrekking tot levensstijl, gezins- en beroepssituatie, contactpersonen of vertrouwenspersonen, levensbeschouwelijke of godsdienstige overtuiging, seksueel gedrag, ras of etnische afkomst, enz.).

Deze gegevens kunnen rechtstreeks bij u worden verzameld of indirect bij uw vertegenwoordiger, uw voorschrijvende arts of huisarts, uw ziekenfonds.

Afhankelijk van het doel van de verwerking kunnen de door Kliniek Sint-Jan verwerkte persoonsgegevens betrekking hebben op de volgende categorieën:

Persoonlijke gegevens:

  • Identificatiegegevens (bijv. naam, voornaam, uniek patiëntennummer, enz.);
  • Contactgegevens (bijv. contact- en/of huisadres, vast en/of mobiel telefoonnummer, enz.);
  • Persoonsgegevens (bijv. leeftijd of geboortedatum, geboorteplaats, geslacht, nationaliteit, gesproken taal, enz.);
  • Persoonlijk leven (bijvoorbeeld burgerlijke staat, gezinssamenstelling, enz.);
  • Levensstijl (bv. afhankelijkheid - alleen, in een instelling, autonoom, bedlegerig, hulp - huishoudelijke hulp, familie, lichaamsbeweging, dieet en eetgedrag, stedelijke, semi-stedelijke, nomadische, sedentaire levensstijl, huisvesting);
  • Gegevens van contactpersonen (bv. vertegenwoordigers, wettelijke vertegenwoordiger, vertrouwenspersoon, zorgverleners, voorschrijvende specialist, huisarts, enz.);
  • 0pleidingsniveau (bv. lager onderwijs, secundair onderwijs, hoger onderwijs);
  • Beroepsleven (bijv. opleiding, ervaring, CV, enz.);  
  • Logingegevens (bv. IP-adressen, logboeken, terminalidentificaties, loginidentificaties, tijdstempelinformatie, enz.);
  • Beelden (bv. identiteitsfoto's, beelden van bewakingscamera's, enz.).

« Gevoelige » gegevens:

  • Gezondheidsgegevens (bijvoorbeeld gewicht, lengte, bloedgroep, diagnose, onderzoeksresultaten, persoonlijke of familiale voorgeschiedenis, gegevens over afspraken, consultaties en ziekenhuisopnames, pathologiegeschiedenis, lijst van allergieën, zorgplan, toediening van medicatie, voedingsgegevens, diëtetiek, neurobeeldvormingsresultaten, enz.);
  • Biometrische gegevens (bijvoorbeeld vingerafdrukken, oogfundus, oogbiometrie, enz.);
  • Genetische gegevens; 
  • Afgenomen stalen;
  • Etnische afkomst;
  • Politieke meningen; 
  • Religieuze of filosofische overtuigingen of lidmaatschap van een vakbond;
  • Gegevens betreffende het seksuele leven of de seksuele geaardheid van een natuurlijke persoon.  

Gegevens die als « gevoelig » worden beschouwd:

  • Financiële en administratieve gegevens in verband met opname en facturering (bv. bankrekeningnummer, gegevens over aansluiting bij ziekenfondsen of verzekeringsmaatschappijen, enz.);
  • Sociale gegevens (bv. identificatie van nazorgstructuren en andere rehabilitatiecentra, tussenkomst OCMW, K&G of elke andere parastatale instantie, enz.);
  • Rijksregisternummer.

5. Wanneer en hoe verzamelen wij uw persoonsgegevens?

Het verzamelen en verwerken van persoonsgegevens geldt voor alle patiënten overeenkomstig de bepalingen inzake medische- en verpleegkundige ziekenhuisdossiers, met name de artikels 20 en 25 van de ziekenhuiswet.

Persoonlijke gezondheidsgegevens worden door onafhankelijke beroepsbeoefenaars en/of ziekenhuismedewerkers bij de patiënt zelf verzameld, tenzij de patiënt niet in staat is zijn gegevens persoonlijk mee te delen.

Wij verzamelen uw persoonsgegevens via verschillende kanalen:

  • Wanneer u zich inschrijft of informatie aanvraagt;
  • Bij het maken van afspraken per telefoon, via de website of arts;
  • Bij elk verzoek om bijstand;
  • Bij tests, evaluaties, diverse onderzoeken;
  • Wanneer u zich aanmeldt voor een zorgprotocol (medische follow-up);
  • Op uw initiatief door elke duidelijke positieve handeling, elke uiting van vrije, specifieke, geïnformeerde en eenduidige wilsverklaring, met name e-mail, sms, mondelinge aanvraag per telefoon, tijdens een bezoek aan onze categorieën, of wanneer u onze aanvraagformulieren voor informatie invult, tijdens een event of een opleiding die wij organiseren, door het overhandigen van uw visitekaartje of op enige andere wijze;
  • Als uw gegevens openbaar worden gemaakt of als u ze zelf toegankelijk hebt gemaakt op openbare/sociale media, met inbegrip van professionele media (zoals LinkedIn, Facebook, ...);
  • Door uw bezoek aan de spoedafdeling.

6. Wettelijke grondslagen

Afhankelijk van de aard van de toegepaste verwerking, de personen wiens gegevens wij verzamelen en de doelen gebruiken en verwerken wij persoonsgegevens met verschillende rechtsgrondslagen:

  • De verwerking is noodzakelijk voor de vrijwaring van de vitale belangen van de betrokkene (bv. verwerking van gegevens van patiënten die op de spoedafdeling zijn opgenomen);
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst (bv. verwerking van gegevens in verband met de facturering van gevraagde en/of verrichte prestaties);
  • De verwerking is noodzakelijk voor de uitvoering van een taak van algemeen belang waarmee Kliniek Sint-Jan is belast (bijvoorbeeld: de verwerking van gegevens voor onderwijs of wetenschappelijk onderzoek);
  • De verwerking komt overeen met de naleving van een wettelijke verplichting (bijvoorbeeld: verwerking van gegevens over risicogroepen of orgaandonoren);
  • De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van Kliniek Sint-Jan (bijvoorbeeld: registratie en beheer van risico's en ongewenste gebeurtenissen, verwerking in verband met het technisch beheer, logistiek, beveiliging van goederen, toegangscontrole, verbetering en optimalisatie van processen, benchmarking, follow-up van rechtsvorderingen, enz.).

Indien de verwerking van persoonsgegevens niet op een van deze gronden kan worden gebaseerd, kan de verwerking alleen plaatsvinden met uw schriftelijke toestemming.

7. Voor welke doeleinden worden uw gegevens gebruikt?

De verwerking van uw gegevens heeft tot doel uw behandeling en zorg te organiseren en uw patiëntendossier samen te stellen, evenals uw administratieve, financiële en sociale opvolging te beheren binnen Kliniek Sint-Jan en het zorgnetwerk waartoe de kliniek behoort.

Uw persoonsgegevens kunnen ook worden gebruikt om Kliniek Sint-Jan in staat te stellen haar andere taken te vervullen, namelijk klinisch onderwijs en wetenschappelijk onderzoek, tenzij u hiertegen bezwaar maakt.

Kliniek Sint-Jan ziet er in het bijzonder op toe dat de persoonsgegevens op passende wijze worden verwerkt, beperkt blijven tot het doel waarvoor deze gegevens worden verwerkt en in overeenstemming zijn met de toepasselijke wetgeving.

Kliniek Sint-Jan verwerkt persoonsgegevens voor de volgende doeleinden:

Zorgactiviteiten

  • Digitaal beheer van het patiëntendossier met het oog op diagnose, therapeutische behandeling en communicatie van informatie over de medische, verpleegkundige en paramedische zorgverlening aan patiënten in optimale veiligheidsomstandigheden;
  • Behandeling van patiënten die via alle ziekenhuisafdelingen zijn opgenomen (met inbegrip van spoedgevallen, ziekenhuisopnames, raadplegingen of externe medische raadplegingen);
  • Sociale zorg;
  • Beheer van de voorschriften en resultaten van medisch-technische onderzoeken;
  • Voorschrijven, verstrekken en toedienen van gezondheidsproducten en uitvoeren van gevraagde handelingen;
  • Registratie van risicogroepen, met als doel personen die een medisch risico vertonen te identificeren en op te volgen;
  • Donorregistratie, met als doel het creëren van dossiers van personen die donor wensen te zijn, het bevorderen van dit doel en het exploiteren van deze dossiers;
  • Beheer van aangiften van geboorte en overlijden;
  • Registratie van screeningstests of opvolging in officiële registers of bij officiële instanties (bv. registratie van kanker bij de Stichting Belgische Kankerregistratie, registratie van doofheid bij K&G, registratie follow up van zeldzame ziekten bij Sciensano, enz.);
  • Bloedbank, stamcelbank, weefselbank, ...

Ondersteunende activiteiten

  • Administratief en financieel beheer van patiënten met het oog op facturering en inning, waarbij informatie wordt doorgegeven aan gemachtigde derden (ziekenfondsen, verzekeringsmaatschappijen, incassobureaus, enz.);
  • Beheer van contacten met betrekking tot de familie, gevolmachtigden, contactpersonen en vertrouwenspersonen die door de patiënt zijn aangewezen om zijn therapeutische, administratieve en sociale zorg te verbeteren;
  • Beheer van contacten en registers betreffende behandelende artsen, voorschrijvers, verstrekkers en ondertekenaars om de therapeutische follow-up te waarborgen;
  • Technisch beheer van het informatiesysteem ter ondersteuning van de infrastructuren en institutionele toepassingen voor de verwerking van persoonsgegevens.
  • Logistiek beheer dat de verzorging van patiënten mogelijk maakt, d.w.z. brancards, onthaal, afspraken, bewaking, diëtetiek;
  • Registratie en beheer van ongewenste voorvallen in verband met patiëntveiligheid;
  • Beheer van verzoeken van patiënten tot uitoefening van hun rechten uit hoofde van de Algemene Verordening Gegevensbescherming en de wet van 22 augustus 2002 inzake de rechten van de patiënt;
  • Beheer van klachten en geschillen;
  • Beheer van spirituele begeleiding en welzijn;
  • Beveiliging van personen en goederen, met inbegrip van videobewakingscamera's en toegangscontrole.

Activiteiten op het gebied van medisch-economisch beheer

  • Registratie van medische en verblijfsgegevens van patiënten voor intern beheer in de Kliniek Sint-Jan of voor doelstellingen opgelegd door de overheid;
  • Evaluatie van de zorgkwaliteit, beheer van de middelen en controle van de ziekenhuisactiviteiten.

Activiteiten op het gebied van research en onderwijs

  • Klinisch onderwijs en opleiding van artsen en andere gezondheidswerkers;
  • Toegepast wetenschappelijk onderzoek (retrospectieve en prospectieve studies en klinische proeven);
  • Ontwikkeling van nieuwe technologieën;
  • Beheer van de Bank voor menselijk lichaamsmateriaal/Weefselbank;
  • Aanleg van registers in één of meerdere centra.

Mededeling van gegevens

  • Mededeling van aanvragen van medische tests en onderzoeken en de resultaten ervan aan de zorgverleners;
  • Mededeling van informatie die nodig is voor het ontslag van patiënten, aan organisaties voor sociale en familiale hulp, de medisch-sociale sector, de psycho-pedagogische sector of upstream opvangstructuren die nodig zijn voor de opvang van de patiënt afkomstig van een downstream structuur;
  • Elektronische uitwisseling van digitale gezondheidsdocumenten; (onderzoeksresultaten, medische verslagen, brieven, planning van afspraken en herinneringen per sms, enz.) van en naar de patiënt en tussen zorgverleners die eenzelfde patiënt behandelen en patiënten die dat wensen;
  • Mededeling van de aanwezigheid en de verblijfplaats van de patiënt aan derden, tenzij de patiënt zich daartegen verzet of deze mededeling het belang van de patiënt schaadt.

In geval van toekomstige verwerkingen verbindt Kliniek Sint-Jan zich ertoe deze verklaring te wijzigen om deze nieuwe verwerkingen in te voeren. In ieder geval zullen de toekomstige verwerkingen alleen plaatsvinden als daarmee specifieke, uitdrukkelijke en legitieme doeleinden worden nagestreefd.

In geval van secundair gebruik van gegevens verbindt Kliniek Sint-Jan zich ertoe te waarborgen dat het doel van de secundaire verwerking verenigbaar is met het oorspronkelijke doel van de verwerking.

8. Met wie delen wij uw gegevens?

De hierboven vermelde gegevens zijn alleen toegankelijk voor personen die deel uitmaken van onze diensten voor zover dat nodig is voor de uitvoering van hun taken. Alle personeelsleden zijn ook verplicht de vertrouwelijkheid van alle door ons beheerde persoonsgegevens te respecteren.

Persoonsgegevens betreffende gezondheid worden, overeenkomstig artikel 9, lid 3 van de AVG, verwerkt onder de uitsluitende controle en verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg die gebonden is door een wettelijke geheimhoudingsplicht.

De hoofdarts, bijgestaan door de verpleegkundig directeur, staat borg voor en controleert het patiëntendossier met persoonlijke gezondheidsgegevens (medische, paramedische en verpleegkundige gegevens). Voor niet-medische persoonsgegevens wordt hij in zijn taak bijgestaan door de financieel directeur en de administratief directeur.

Bovendien zijn wij verplicht om de verzamelde persoonsgegevens door te geven aan de autoriteiten of instanties die door de wet, het decreet of een wettelijke bepaling zijn bepaald.

Zo mogen, binnen de grenzen van de bepalingen van de artikels 6 en 9 van de AVG en voor zover nodig, de volgende categorieën ontvangers de persoonsgegevens van patiënten raadplegen:

  • Verzekeringsmaatschappijen, voor zover dit bij of krachtens de wet is vereist of door de patiënt is toegestaan;
  • Het Rijksinstituut voor ziekte- en invaliditeitsverzekering krachtens de wet of met toestemming van de patiënt;
  • De betrokken patiënten of hun vertegenwoordigers overeenkomstig de bepalingen van de wet van 22 augustus 2002 betreffende de rechten van de patiënt;
  • Op verzoek van de patiënt nadat hij/zij is geïnformeerd en uitdrukkelijk toestemming heeft gegeven, elke gemachtigde persoon;
  • Overheidsinstanties die daartoe die daartoe gemachtigd zijn door een besluit van de autoriteiten;
  • Externe zorgverleners in het kader van de nazorg voor de patiënt;
  • Alle instanties voor zover dit bij of krachtens de wet is vereist of door de patiënt is toegestaan;
  • De verzekeraar van de beroepsaansprakelijkheid van het ziekenhuis of de door het ziekenhuis aangewezen beroepsbeoefenaar, voor zover deze communicatie noodzakelijk is voor de verdediging van een recht in een gerechtelijke procedure of om een rechtsvordering in te stellen, uit te oefenen of te ondersteunen.
  • Wij kunnen sommige van uw persoonsgegevens ook verstrekken in antwoord op legitieme verzoeken van academische onderzoekers of onderzoeksdiensten voor wetenschappelijke, historische of statistische doeleinden, op voorwaarde dat de gegevens anoniem of gepseudonimiseerd zijn.

Ten slotte kunnen wij sommige van uw gegevens ook delen met onze medecontractanten, die worden gekwalificeerd als onderaannemers in de zin van de AVG, voor zover dit strikt noodzakelijk is voor de werking van al dan niet gecomputeriseerde toepassingen of beheerssystemen waarbij wij zijn aangesloten.

De lijst van onderaannemers aan wie uw gegevens worden meegedeeld, hun werkterrein, het doel en, indien van toepassing, het land waar de gegevens worden opgeslagen, is beschikbaar bij de “Privacydienst” via het e-mailadres privacy-dpo@clstjean.be of bij onze DPO.

In geen geval zullen wij zonder uw toestemming persoonsgegevens aan derden doorgeven, behalve in de hierboven vermelde gevallen. Voor elke andere overdracht van gegevens is uw voorafgaande toestemming vereist.

Kliniek Sint-Jan neemt deel aan zorgnetwerken. Binnen deze netwerken stellen de partnerinstellingen de informatie die zij over u bezitten via het gedeelde zorgdossier ter beschikking van de zorgprofessionals. Deze instellingen verlenen gezondheids- en zorgdiensten en nemen deel aan de volgende zorgnetwerken:

  • Cliniques Universitaires Saint-Luc
  • Europa Ziekenhuizen
  • Clinique Saint-Pierre Ottignies

Deze netwerken vallen onder de wet tot wijziging van de gecoördineerde wet van 10 juli 2008 op de ziekenhuizen en andere zorginstellingen, wat de klinische netwerken tussen ziekenhuizen betreft.

9. Veiligheidsmaatregelen

Kliniek Sint-Jan als verantwoordelijke voor de verwerking en haar eventuele onderaannemers treffen en handhaven passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen elke verboden of onwettige toegang, mededeling, wijziging, verlies of onopzettelijke vernietiging.

De bewaring, hosting, opslag, raadpleging en mededeling van uw gegevens worden uitgevoerd in overeenstemming met de goede praktijken en minimumnormen die door de bevoegde autoriteiten zijn opgelegd aan de sector gezondheidszorg.

Kliniek Sint-Jan heeft passende procedures ingesteld om elk vermoeden van inbreuk op persoonsgegevens te beheren. Wanneer zij daartoe wettelijk verplicht is, zal Kliniek Sint-Jan u in kennis stellen van een inbreuk die gevolgen heeft voor uw gegevens. Ook de Gegevensbeschermingsautoriteit en elke bevoegde instantie worden op de hoogte gebracht.

De belangrijkste veiligheidsmaatregelen die Kliniek Sint-Jan neemt zijn de volgende:

  • Bescherming door fysieke beveiligingsmaatregelen op de plaatsen waar de gegevens bewaard worden (geïdentificeerde en beschermde lokalen, beperkte toegang, beschermingsmiddelen tegen fysieke gevaren zoals brand, waterschade, enz.);
  • Bescherming van de beveiligde zones om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt (fysieke toegangscontrole);
  • Beperking van de toegang tot de informatie en de verwerkingsmiddelen van de informatie.  Er worden beperkingen en controles uitgevoerd op de beperkte en toegelaten logische toegang van de medewerkers van Kliniek Sint-Jan. Elke gebruiker beschikt over een persoonlijke en vertrouwelijke gebruikersnaam en wachtwoord (logische toegangscontrole);
  • Implementatie van een wachtwoordbeleid met een unieke authenticatie en de verplichting om wachtwoorden periodiek te wijzigen;
  • Invoering van traceerbaarheidsmechanismen voor de identificatie, verzameling, verwerking, opslag en verwijdering van informatie die als bewijsmateriaal kan dienen;
  • Beperking of verwijdering van de identificerende aard van de persoonsgegevens wanneer de verwerking dit toelaat (pseudonimisering of anonimisering). Pseudonimisering wordt met name versterkt in ontwikkelings- of testomgevingen;
  • Bescherming van informatie en informatieverwerkingsmiddelen tegen malware (bescherming tegen kwaadaardige codes);
  • Beheer van veiligheidsincidenten volgens een specifieke procedure;
  • Implementatie van een data back-up en gegevensherstelbeleid;
  • Implementatie van maatregelen ter bescherming van informatie op communicatie-netwerken (netwerkbeveiliging);
  • Implementatie van maatregelen ter bescherming van informatie wanneer deze wordt overgedragen aan een externe entiteit (overdracht van informatie);
  • Bewustmaking van de personeelsleden in verband met gegevensbescherming;
  • Beperking van de toegang van externe ontvangers die een beveiligde toegang hebben, waardoor zij alleen toegang hebben tot de gegevens en omgevingen die voor hen noodzakelijk zijn als onderdeel van hun opdracht.

10. Overdrachten buiten Europa

Overdrachten van gegevens naar een land buiten de Europese Unie zijn alleen toegestaan in de volgende gevallen:

  • De Europese Commissie heeft een besluit genomen dat een passend beschermingsniveau biedt dat gelijkwaardig is aan het beschermingsniveau dat door de Europese wetgeving wordt geboden, persoonsgegevens worden op deze basis doorgegeven.
  • De overdracht valt onder een passende maatregel die een beschermingsniveau biedt dat gelijkwaardig is aan het beschermingsniveau voorzien in de Europese wetgeving, zoals met name de standaardclausules van de Commissie of uw toestemming.

 

11. Hoelang worden uw gegevens verwerkt?

Wij bewaren uw persoonsgegevens slechts gedurende de periode die strikt noodzakelijk is om te voldoen aan de wettelijke of contractuele verplichtingen, in de context van de verwerking van uw dossier.

Rekening houdend met eventuele wettelijke bepalingen zijn de minimale bewaartermijnen vastgesteld als volgt:

  • Minstens 30 jaar tot maximaal 50 jaar voor medische gegevens;
  • 7 jaar voor factureringsgegevens die gebruikt worden als boekhoudkundige verantwoordingsdocumenten; voor duplicaten van certificaten van verstrekte hulp, individuele factuur en overzichtsfactuur;
  • 1 jaar voor de afgesloten dossiers van de bemiddelingsdienst;
  • 1 maand voor camerabeelden (behalve in geval van bewijs van inbreuk).

De termijnen vangen aan vanaf het laatste ontslag of de laatste behandeling van de patiënt in het ziekenhuis.

Aan het einde van de looptijd worden de betrokken persoonsgegevens uit de bestanden verwijderd en binnen het jaar vernietigd.

De vernietiging wordt uitgesteld als:

  • De bewaring wettelijk verplicht is;
  • De opslag noodzakelijk wordt geacht vanuit medisch oogpunt of voor de verdediging van onze belangen of van een andere betrokkene;
  • De opslag het voorwerp is van een overeenkomst tussen de patiënt en de behandelende ziekenhuisarts of, bij gebrek daaraan, de hoofdgeneesheer.

Geanonimiseerde gegevens zijn niet betrokken bij vernietiging.

12. Uw rechten

Wij besteden bijzondere aandacht aan de rechten die u als betrokkene hebt. Wij staan tot uw beschikking en nodigen u uit om contact op te nemen met onze DPO op het volgende e-mailadres: privacy-dpo@clstjean.be

U kan de volgende rechten laten gelden:

Recht op toegang, informatie en wijziging

U kan te allen tijde informatie opvragen over onze verwerking, de nagestreefde doelen, de categorieën van persoonsgegevens die wij over u bewaren, de categorieën van ontvangers van deze gegevens (derde landen of internationale organisaties), de bewaartermijnen of criteria die worden gebruikt om deze te bepalen, uw andere rechten, de andere bronnen van herkomst van uw gegevens en het bestaan van een geautomatiseerd besluitvormingsproces.

U kan ook vragen dat uw gegevens worden verbeterd of aangevuld als ze onjuist of onvolledig zijn. Bij de uitoefening van dit recht moet u aangeven welke precieze gegevens u wil doen verbeteren of aanvullen (bijvoorbeeld uw leeftijd, uw adres, enz.). Opgelet, alle gegevens in her medisch dossier kunnen niet gewijzigd worden. De gegevens die waarschijnlijk zijn, zijn alleen de feitelijke gegevens waarop een fout is opgetreden.

Wij zullen niet nalaten om zo snel mogelijk gevolg te geven aan uw verzoek, maar bij het verstrekken van deze informatie zijn wij altijd verplicht om rekening te houden met de rechten en vrijheden van andere personen.

Recht op beperking van de verwerking

U hebt het recht om de beperking van de verwerking van uw persoonsgegevens te vragen als:

  • U de juistheid van deze gegevens betwist;
  • U zich binnen de wachttijd bevindt die nodig is voor de evaluatie van de betrokken belangen voordat u het recht uitoefent om bezwaar te maken tegen de verwerking van sommige van uw persoonsgegevens;
  • De verwerking van uw persoonsgegevens onwettig zou zijn, maar u toch uw recht op verwijdering van de gegevens niet wenst uit te oefenen.

Wij hebben uw persoonsgegevens niet langer nodig voor de doeleinden die in deze gegevensbeschermingsverklaring worden vermeld, maar u hebt ze nodig in het kader van een rechtsvordering.

Het is een soort ‘bevriezing’ van het gebruik van uw gegevens die worden bewaard maar niet worden gebruikt.

Recht van bezwaar 

U kan bezwaar maken tegen de verwerking van uw persoonsgegevens als uw gegevens worden verwerkt op basis van ons legitiem belang of op basis van toestemming. Om dit recht uit te oefenen, moet u in een e-mail aangeven tegen welke specifieke behandeling u bezwaar maakt en om welke specifieke redenen. Deze informatie is noodzakelijk om de juiste belangenafweging te waarborgen. Kliniek Sint-Jan zal de verwerking van uw gegevens stopzetten, tenzij zij kan aantonen dat er legitieme en dwingende gronden zijn die primeren op uw belangen.

U kan ook klikken op het tabblad "Afmelden" dat u terugvindt in elke e-mail die u van ons ontvangt.

Recht op overdraagbaarheid van uw gegevens

Als uw gegevens worden verwerkt in het kader van onze contractuele verplichtingen of met toestemming, hebt u het recht om te vragen dat uw persoonlijke gegevens aan u worden overgedragen in de vorm waarin wij ze opslaan of dat ze worden overgedragen aan een andere door u aangewezen verwerkingsverantwoordelijke.

Om dit recht uit te oefenen, moet u dit aangeven op het formulier dat wij u op onze website ter beschikking stellen. U kan ons ook een e-mail sturen op het volgende adres: privacy-dpo@clstjean.be

Recht op wissing van gegevens (recht om vergeten te worden)

In de gevallen waarin de AVG of de wet voorzien, gaan we op uw eenvoudig verzoek over tot het verwijderen van uw persoonlijke gegevens.

In principe kan u uw rechten kosteloos uitoefenen. Hiervoor kan u ons een e-mail sturen op het volgende adres: privacy-dpo@clstjean

Uiterlijk één maand na ontvangst van uw verzoek zullen wij u schriftelijk op de hoogte brengen van het gevolg op uw verzoek. Afhankelijk van de moeilijkheidsgraad van uw verzoek of het aantal verzoeken dat we van andere personen ontvangen, kan deze periode worden verlengd met twee maanden. In dat geval zullen we u binnen de maand na ontvangst van uw verzoek informeren over deze verlenging. 

In bepaalde gevallen (bv. wettelijke verplichtingen, rechten van andere personen, verjaringstermijnen, ...) kan u uw rechten niet volledig of gedeeltelijk uitoefenen. U wordt hiervan dan op de hoogte gebracht met vermelding van de redenen waarom wij niet aan uw verzoek kunnen voldoen.

Recht om uw toestemming in te trekken

U hebt het recht om uw toestemming in te trekken:

  • op elk moment;
  • zonder specifieke reden(en);
  • zonder afbreuk te doen aan de geldigheid van de verwerking die uitgevoerd is vóór de intrekking.

Om dit recht uit te oefenen, kan u contact opnemen met: privacy-dpo@clstjean.be

13. Vragen, opmerkingen of klachten

Wij blijven tot uw beschikking voor eventuele vragen, opmerkingen of klachten met betrekking tot de bescherming van uw persoonsgegevens. Wanneer u een datalek opmerkt of vermoedt, vragen wij u dit onmiddellijk aan ons te melden via het e-mailadres privacy-dpo@clstjean.be.

Daarnaast hebben wij, in overeenstemming met artikel 37 van de AVG, een DPO aangesteld. U kan haar contacteren op het e-mailadres privacy-dpo@clstjean.be of per brief op het volgende adres: Kliniek Sint-Jan, Kruidtuinlaan 32, 1000 Brussel.

Tot slot hebt u ook het recht om een klacht in te dienen bij de Gegevensbeschermingsautoriteit (GBA)

Drukpersstraat 35 - 1000 Brussel - telefoon 02/274.48.00

of via hun website : https://www.autoriteprotectiondonnees.be

14. Datalekken

Elke persoon die een inbreuk, lek of verlies van persoonsgegevens opmerkt, dient Kliniek Sint-Jan zo snel mogelijk via haar functionaris voor gegevensbescherming (DPO) op de hoogte te brengen en zoveel mogelijk informatie te verstrekken over de inbreuk.

Vervolgens zal Kliniek Sint-Jan de nodige maatregelen nemen, namelijk:

  • Onderzoek, evaluatie en opvolging van het incident;
  • Maatregelen voorzien om de gevolgen van het incident te verhelpen, te voorkomen of te verminderen;
  • De Gegevensbeschermingsautoriteit op de hoogte brengen, indien van toepassing;
  • Communiceren naar de betrokkenen toe, indien van toepassing.

 

 

PDF-pictogramPROCEDURE EN KLOKKENLUIDERSREGELING