Privacy & Algemene voorwaarden

Betalingsvoorwaarden

Afspraken moeten uiterlijk 24 uur voor het tijdstip van de sessie geannuleerd worden. Bij niet-annuleren of bij annulering binnen 24 uur voor de afspraak ben ik gerechtigd de sessie in rekening te brengen.

Facturen dienen binnen 14 dagen na factuurdatum te zijn betaald.
Bij niet-betaling binnen 14 dagen na de factuurdatum stuur ik een betalingsherinnering. Voor het verzenden van deze betalingsherinnering wordt een bedrag van Euro 12,50 in rekening gebracht.

Bij betalingsachterstand kan ik – tenzij de behandeling zich hiertegen verzet – verdere behandeling op te schorten totdat aan de betalingsverplichtingen is voldaan.

Het AVG 10 stappen plan

  1. Bewustwording
  2. Rechten van betrokkenen
  3. Overzicht verwerkingen
  4. Data protection impact assessment (DPIA)
  5. Privacy by design & privacy by default
  6. Functionaris voor de gegevensbescherming
  7. Meldplicht datalekken
  8. Verwerkersovereenkomsten
  9. Leidende toezichthouder
  10. Toestemming

1. Bewustwording

1.1. Chiara Sofia is een praktijk waarbinnen Clarisse Mirandolle Integratieve kinder- en jeugdtherapie als dienstverlening aanbiedt. Om dat doel te kunnen uitvoeren dient Chiara Sofia persoonsgegevens van cliënten te verwerken en gebruiken binnen de dagelijkse bedrijfsvoering.

1.2. De gegevens die worden gedocumenteerd zijn privacy gevoelig. Het gaat om persoonsgegevens, aan de hand waarvan de betrokkene zowel direct als indirect geïdentificeerd kan worden. Ten einde er zeker van te zijn dat met die gegevens wordt omgegaan op een wijze die verantwoord is en voldoet aan de privacy wetgeving zoals per 25 mei 2018 van kracht zal worden heeft Chiara Sofia ervoor gekozen met het onderhavige protocol in kaart te brengen, aan de hand van het AVG stappenplan (zoals hiervoor opgesomd), op welke wijze invulling gegeven dient te worden aan de AVG. Het betreft hier registratie van persoonsgegevens met een gerechtvaardigd belang. Immers de (ouders van) cliënten melden zichzelf aan bij Chiara Sofia. Zij willen graag geholpen worden door de therapeut voor hun klachten.

2. Rechten van betrokkenen

2.1. Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de Verordening diverse rechten aan de betrokkene. De betrokkene kan deze rechten uitoefenen tegen de verwerkings verantwoordelijke. De betrokkene heeft:

  • Het recht op informatie over de verwerkingen;
  • Het recht op inzage in zijn gegevens;
  • Het recht op correctie van de gegevens als deze niet kloppen;
  • Het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;
  • Het recht op beperking van de gegevensverwerking;
  • Het recht op verzet tegen de gegevensverwerking;
  • Het recht op overdracht van zijn gegevens (dataportabiliteit);
  • Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.

2.2. Een Cliënt of voormalig cliënt (de betrokkene) kan om bovenstaande gegevens verzoeken. De betrokkene kan zulks doen per mail naar [email protected]. De betrokkene dient zich daarbij te legitimeren, opdat Clarisse Mirandolle met voldoende zekerheid kan vaststellen dat degene die het verzoek doet daadwerkelijk de betrokkene is.

2.3. Clarisse Mirandolle zal binnen 1 maand na ontvangst van het verzoek betrokkene informeren over de uitvoering van het verzoek. Bij complexe, of een veelvoud aan verzoeken kan deze termijn verlengd worden met maximaal 2 maanden. De betrokkene zal in een dergelijk geval van verlengde termijn van uitvoering van het verzoek daaromtrent geïnformeerd worden. De informatie wordt in principe schriftelijk verstrekt.

2.4. In sommige gevallen mag Chiara Sofia weigeren tot uitvoering van het verzoek om gegevensverstrekking over te gaan, dan wel daarvoor kosten in rekening brengen. Het moet dan gaan om de situatie dat de betrokkene buitensporige of ongegronde verzoeken doet. Indien Chiara Sofia weigert aan het verzoek te voldoen, zal Chiara Sofia zulks motiveren en de betrokkene wijzen op het klachtrecht bij de toezichthouder AVG.

2.5. Chiara Sofia realiseert zich dat indien zij een schriftelijke beslissing neemt in het kader van de uitoefening van de rechten van de betrokkene, dat dit dan geldt als een besluit in de zin van de Algemene wet bestuursrecht.

2.6. In sommige gevallen dient Chiara Sofia de betrokken cliënt uit zichzelf te informeren. Dit is het geval indien:

  • gegevens buiten de betrokkene om worden verkregen

2.7. Indien de behandeling van de cliënt eindigt zal Chiara Sofia de persoonsgegevens nog enige tijd in haar systeem bewaren. De wet Wgbo bepaalt dat dossiers 20 jaar, na het bereiken van de 18jarige leeftijd van de cliënt moeten worden bewaard. Aan die bewaartermijn zal Chiara Sofia zich houden. De dossiers zullen daarna vernietigd worden.

2.8. Ten einde er zeker van te zijn dat de betrokkene een volledig beeld heeft van de wijze waarop met diens persoonsgegevens wordt omgegaan en met welk doel en onder welke grondslag (gerechtvaardigd belang), zal iedere betrokken bij registratie toegang krijgen tot deze privacystatement en de hierbij behorende documenten. Chiara Sofia zal deze gegevens op de website plaatsen en iedere betrokkene op die vindplaats wijzen.

3. Overzicht van verwerking

3.1. Chiara Sofia verwerkt persoonsgegevens van cliënten. De volgende persoonsgegevens worden van deze leden verwerkt:

  • Voor- en achternaam
  • Geslacht
  • Geboortedatum
  • Adresgegevens
  • Telefoonnummer
  • E-mailadres

Gevoelige -en/of bijzondere persoonsgegevens die Chiara Sofia verwerkt:

  • BSN
  • Verzekeringsgegevens
  • Gezondheidsgegevens
  • Gegevens van personen jonger dan 16 jaar

3.2. Ten aanzien van al deze vormen van verwerkingen van persoonsgegevens zal Chiara Sofia een register van verwerkingsactiviteiten bijhouden. Daarin worden alle soorten persoonsgegevens die verwerkt zullen worden opgenoemd.

In het geval de cliënt een klacht indient tegen de therapeut, zullen die gegevens eveneens worden verwerkt door Chiara Sofia.

4. Data protection impact assessment (DPIA)

4.1. DPIA staat voor gegevensbescherming effect beoordeling. Een DPIA is alleen verplicht wanneer sprake is van gegevensverwerking welke waarschijnlijk een hoog privacy risico oplevert. Binnen de AVG worden situaties besproken wanneer sprake is van verhoogd risico:

  • Systematisch en uitvoerig persoonlijke aspecten evalueren
  • Op grote schaal bijzondere persoonsgegevens verwerken

4.2. Naast de criteria uit de AVG zelf heeft de werkgroep van Europese privacy toezichthouders een lijst met 9 criteria opgesteld om nader te bezien of een DPIA nodig is. De criteria die op therapeuten van toepassing zouden kunnen zijn:

  • Gevoelige gegevensverwerking
  • Grootschalige gegevensverwerking
  • Gegevensverwerking over kwetsbare personen

4.3. De privacy toezichthouders zien verwerkingen van bijzondere persoonsgegevens door individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen DPIA uit te voeren. Het ligt voor de hand dat de gegevensverwerking door de individuele therapeut aldus evenmin de uitvoering van een DPIA behoeft. Chiara Sofia zal zodoende geen DPIA uitvoeren.

4.4. Evenwel is Chiara Sofia zich ervan bewust dat sprake is van bijzondere persoonsgegevens. De inhoud van een dossier is gevoelig voor de betrokkene en vergt een grote mate van vertrouwelijkheid. Chiara Sofia zal zich zodoende inzetten die gegevens vertrouwelijk te laten blijven.

4.5. De gegevens zoals Chiara Sofia registreert zijn slechts bedoeld voor intern gebruik. De persoonsgegevens worden gebruikt om te waarborgen dat de therapeut de cliënt zo goed mogelijk van dienst kan zijn. Van dienst zijn in het verhelpen van de klachten en van dienst zijn door het mogelijk maken dat de ziektekostenverzekering de kosten zoveel mogelijk vergoedt.

4.6. Op termijn zal de Autoriteit Persoonsgegevens (AP) een lijst van verwerkingen publiceren waar een DPIA voor verplicht is. Zodra die lijst er is, zal Chiara Sofia haar verwerking van persoonsgegevens opnieuw tegen het licht houden om te bezien of nog nadere maatregelen nodig zijn.

5. Privacy by design & privacy by default

5.1. Privacy door ontwerp en door standaardinstellingen voor producenten. Chiara Sofia is producent van een dienst, welke wordt ondersteund door de verwerking van persoonsgegevens. Zodoende houdt Chiara Sofia bij de ontwikkeling en uitwerking van die dienst rekening met het recht op bescherming van persoonsgegevens. Met inachtneming van de stand van de techniek ziet Chiara Sofia erop toe dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.

5.2. Chiara Sofia let daarbij op:

  • Het minimaliseren van de verwerking van persoonsgegevens;
  • Slechts het BSN-nummer noteren, doch geen kopie maken van de het paspoort/ID kaart;
  • Transparantie met betrekking tot de functies en de verwerking van persoonsgegevens;
  • Het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking;
  • Beveiligingskenmerken creëren en verbeteren.

6. Functionaris voor de gegevensbescherming

6.1. Net als voor de DPIA geldt dat de individuele praktijk van een therapeut door de AP niet wordt gezien als een grootschalige verwerker. Het instellen van een FG is ondanks dat het gaat om bijzondere persoonsgegevens niet noodzakelijk. Daarbij stipt Chiara Sofia nogmaals aan dat in deze sprake is van het verwerken van persoonsgegevens op verzoek van de cliënt, nu deze een zo goed mogelijke behandeling wenst. Chiara Sofia verwerkt geen persoonsgegevens voor commerciële doeleinden. Cliënten worden niet gevolgd door Chiara Sofia aan de hand van de persoonsgegevens.

6.2. Chiara Sofia benadrukt opnieuw zich te realiseren persoonsgegevens te verwerken die een hoge mate van vertrouwelijkheid kennen. Chiara Sofia meent echter alle maatregelen te hebben genomen, ten einde erop toe te zien dat de persoonsgegevens van cliënten niet voor andere doeleinden gebruikt worden dan bedoeld is.

7. Meldplicht datalekken

7.1. Een data lek in de zin van de AVG is een inbreuk in verband met persoonsgegevens. Het is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

7.2. Het is voor de kwalificatie als ‘inbreuk in verband met persoonsgegevens’ niet relevant dat er boze opzet in het spel is. Naast het ‘hacken’ van persoonsgegevens, kan ook gedacht worden aan gegevens die op een verloren laptop staan of een afgesloten website met persoonsgegevens die per ongeluk open staat. Een inbreuk op de beveiliging houdt in dat zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Er is niet uitsluitend sprake van een dreiging, of van een tekortkoming in de beveiliging (ook wel aangeduid als een beveiligingslek) die zou kunnen leiden tot een beveiligingsincident. Er heeft zich daadwerkelijk een beveiligingsincident voorgedaan, waarbij de getroffen preventieve maatregelen niet toereikend waren om dit te voorkomen.

7.3. Chiara Sofia zal ieder datalek aan de AP melden, tenzij onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Chiara Sofia zal binnen 72 uur na ontdekking de AP in kennis stellen, ook indien nog niet alle informatie voorhanden is.

7.4. Bovendien zal Chiara Sofia het data lek onverwijld melden aan de betrokkenen, indien sprake is van een hoog risico door de inbreuk op de persoonsgegevens. Voor de vraag of sprake is van een hoog risico zal Chiara Sofia eerst nader onderzoek mogen doen.

7.5. Het datalek zal door Chiara Sofia gedocumenteerd worden in een overzicht van datalekken die zich binnen Chiara Sofia hebben voorgedaan. Niet alleen zullen de feiten omtrent de inbreuk en de gevolgen daarvan in dit overzicht worden gedocumenteerd, doch eveneens de genomen corrigerende maatregelen.

8. Verwerkersovereenkomsten

Leveranciers waar Chiara Sofia een verwerkingsovereenkomst mee heeft afgesloten:

Euregio accountant, Zilliz, Zivver

9. Leidende toezichthouder

Chiara Sofia dient te bepalen onder welke toezichthouder zij valt. Chiara Sofia heeft 1 vestiging te Zeist. Dit is op Nederlandse bodem. De werkzaamheden van Chiara Sofia rusten op Nederlands grondgebied. De Leidende toezichthouder voor Chiara Sofia is dus de Autoriteit Persoonsgegevens te Nederland.

10. Toestemming

10.1. Voor de verwerking van bepaalde gegevens is toestemming nodig van de betrokkene. Dat is het geval indien het gaat om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Ook het nationaal identificatienummer (BSN) is een zaak waarbij expliciete toestemming van de betrokkene nodig is, indien dat nummer wordt verwerkt. Chiara Sofia verwerkt het BSN nummer van haar cliënten i.v.m. de aanvraag van beschikkingen via Vecozo/Zilliz.

10.2. Chiara Sofia zal op de volgende wijze invulling geven aan deze benodigde toestemming. Naast het opstellen van een behandelplan zal bij de intake van een cliënt een overzicht worden gegeven van de afspraken. Deze zullen met de cliënt worden doorgenomen en vervolgens aan de cliënt ter hand worden gesteld dan wel aan de cliënt worden verzonden per mail, waarbij aangetekend wordt dat het hier een bevestiging van de gemaakte afspraken betreft. Er zal om een ontvangstbevestiging worden verzocht bij de cliënt. Op deze ‘opdrachtbevestiging’ zullen de belangrijkste gegevens worden benoemd over wat de cliënt kan verwachten van de therapeut.
Het gaat om het volgende:

  • De cliënt is gewezen op het feit dat persoonsgegevens verwerkt zullen worden en om welke persoonsgegevens het gaat;
  • Cliënt heeft voor die verwerking expliciet toestemming heeft verleend;
  • De cliënt rechten heeft ten aanzien van het verwerken van persoonsgegevens en dat cliënt deze en de verdere werkwijze van Chiara Sofia met betrekking tot die persoonsgegevens kan nalezen in het onderhavige reglement zoals op de website van Chiara Sofia staat vermeld;
  • De cliënt gewezen wordt op de bewaartermijn(en) van de persoonsgegevens;
  • De cliënt de mogelijkheid heeft een klacht tegen Chiara Sofia in te dienen bij de VIT;
  • Wat het consulttarief is van Chiara Sofia.

11. Slotwoord

Chiara Sofia gaat ervan uit met dit privacy beleid aan alle vereisten van de nieuwe AVG regels te voldoen. Chiara Sofia is zich ervan bewust dat sprake is van nieuwe regelgeving en dat zulks inhoudt dat nog niet alle facetten zich even makkelijk laten uiteenzetten. Chiara Sofia zal de aanpassingen, beslissingen en verder nieuws vanuit de AP volgen, opdat tijdige maatregelen genomen kunnen worden deze beleidsregels alsnog verder aan te scherpen.