Privacyreglement Marem


Inleiding
De Wet Bescherming Persoonsgegevens (WBP) vereist dat persoonsgegevens, in
overeenstemming met de wet, op behoorlijke en zorgvuldige wijze worden verwerkt. Dit
reglement is een praktische uitwerking van de bepalingen van de WBP en de van toepassing
zijnde bepalingen van de Wet op de Geneeskundige Behandelovereenkomst (WGBO).
Het reglement is in overeenstemming met het Protocol Bescherming Persoonsgegevens van
Branchebelang Thuiszorg Nederland (BTN).

Reikwijdte:
Dit reglement is van toepassing op de verwerking van (geautomatiseerde)
persoonsgegevens door MAREM
Clienten kunnen kosteloos een exemplaar opvragen.

Begripsbepalingen
In de WBP wordt een aantal begrippen gehanteerd. Ter verduidelijking staat in onderstaande
lijst een uitleg van de begrippen.
Persoonsgegevens
Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke
persoon.
Gezondheidsgegevens
Alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen.
Bestand
Gestructureerd geheel van gegevens dat betrekking heeft op verschillende personen.
Verwerken
Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens,
waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken,
wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiding of enige vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband
brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.
Verantwoordelijke
Degene die (formeel-juridisch) het doel en de middelen van de verwerking vaststelt.
Betrokkene
De persoon wiens persoonsgegevens worden verwerkt.
Vertegenwoordiger
Wettelijke vertegenwoordiger (bijvoorbeeld een ouder) van een betrokkene die jonger is dan
16 jaar of onder curatele is gesteld.

De betrokkene heeft ondubbelzinnig toestemming verleend

De verwerking is noodzakelijk voor de uitvoering van een overeenkomst

De verwerking is noodzakelijk voor de uitvoering van een wettelijke plicht

De verwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene

Bewerker
Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan
zijn rechtstreeks gezag te zijn onderworpen.
Ontvanger
Degene aan wie de persoonsgegevens wordt verstrekt.
Doel van de gegevensverwerking
Persoonsgegevens mogen alleen worden opgenomen, verwerkt en bewaard voor een
bepaald doel. De gegevensverwerking en het doel waarvoor de gegevens zijn verzameld
moeten verenigbaar zijn met elkaar.
De doelen voor de persoonsgegevensverwerking van clienten en medewerkers staan
hieronder omschreven.
Doelstellingen clienten
De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:
Een goede uitvoering van de zorg-, hulp- en dienstverlening die door MAREM wordt
verleend
Het vastleggen en beschikbaar stellen van gegevens ten behoeve van een doelmatig
beleid en beheer van MAREM
Het stimuleren van een permanente vorm van kwaliteitscontrole, evaluatie en onderzoek
van de zorg- hulp- en dienstverlening door MAREM.
Het financieel afhandelen van de geboden zorg aan de cliënt met de cliënt, dan wel met
diens zorgverzekeraar of gemeente in het kader van de uitvoering van de Wmo
Het verantwoorden van MAREM aan de ziektekostenverzekeraars, gemeenten en de
overheid conform dit reglement, de vigerende voorschriften en wettelijke verplichtingen.
Doelstellingen medewerkers
De doelstellingen van de persoonsregistratie waarop dit reglement van toepassing is, zijn:
Een goede uitvoering van personeelsbeleid die door MAREM wordt uitgevoerd
Het vastleggen en beschikbaar stellen van gegevens ten behoeve van een doelmatig
beleid en beheer van MAREM
Het stimuleren van een permanente vorm van kwaliteitscontrole
Het financieel afhandelen van salaris en overige vergoedingen
Het verantwoorden van MAREM aan de ziektekostenverzekeraars,
uitvoeringsinstanties, belastingdienst en aan de overheid conform dit reglement, de
vigerende voorschriften en wettelijke verplichtingen
Het evalueren en onderzoeken van personeelsbeleid en arbeidsmarktontwikkelingen.
Grondslagen voor de gegevensverwerking
Persoonsgegevens mogen slechts worden verwerkt indien aan een van de voorwaarden is
voldaan:

niet bovenmatig

toereikend

ter zake dienend

juist en nauwkeurig zijn.

 

Opgenomen gegevens
De persoonsregistratie(s) kan/kunnen ten hoogste de volgende gegevenscategorieën
bevatten:
Personalia/identificatiegegevens

Financiële/administratieve gegevens

Gezondheidsgegevens

 

Bijzondere gegevens over ras, godsdienst of levensovertuiging mogen alleen worden
geregistreerd wanneer de betrokkene uitdrukkelijk toestemming heeft gegeven.
Informatieverstrekking
De betrokkene dient geinformeerd te worden over de verwerking van persoonsgegevens.
Client
MAREM informeert de client tijdens het intakegesprek en door middel van de
Leveringsvoorwaarden dat er persoonsgegevens worden geregistreerd. Tevens wordt de
client geinformeerd over het bestaan van het Privacyreglement.
De client kan een exemplaar opvragen van het Privacyreglement.
Medewerker
MAREM informeert de medewerker tijdens het introductiegesprek en door middel van de
Infomap dat er persoonsgegevens worden geregistreerd.
De medewerker kan een exemplaar opvragen van het Privacyreglement.
Het verstrekken van persoonsgegevens op basis van de Wet bescherming
persoonsgegevens (WBP)
Binnen MAREM kunnen, zonder toestemming van de betrokkene, persoonsgegevens van
clienten of medewerkers worden verstrekt aan medewerkers, voor zover voor hun
taakuitoefening noodzakelijk.
Buiten MAREM
In het algemeen geldt dat het verstrekken van persoonsgegevens verenigbaar moet zijn met
het doel van het verzamelen daarvan. Of dit het geval is, hangt af van de concrete
omstandigheden. Bij de vraag of een verstrekking verenigbaar is, spelen de volgende
factoren een rol: de verwantschap met het doel van verzamelen, de aard van de gegevens,

De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.
Kwaliteit van de gegevensverwerking
De gegevens moeten, gelet op het doel waarvoor ze worden verwerkt:

De gevolgen van een verstrekking, de waarborgen die zijn getroffen en de verwachtingen
van de betrokkene. In artikel 8 WBP staan zes gronden waarop een gegevensverstrekking
gebaseerd kan zijn. Dat zijn de toestemming, de overeenkomst, de wettelijke verplichting,
een vitaal belang van de betrokkene, de uitvoering van een publiekrechtelijke taak en het
gerechtvaardigd belang. Een verstrekking moet terug te voeren te zijn op één van de zes
gronden.
Toestemming
Met toestemming van de betrokkene kunnen persoonsgegevens verstrekt worden aan een
bedrijf of instelling (hierna organisatie). De toestemming is alleen dan rechtsgeldig, als
duidelijk is waar de toestemming voor is en wat de gevolgen zijn van het geven van
toestemming. De toestemming kan op elk moment worden ingetrokken, waarmee de grond
voor de verstrekking vervalt. Het is dus aan te raden om, indien mogelijk, een
gegevensverstrekking te baseren op één van de andere grondslagen.
Uitvoeren van een overeenkomst
U kunt persoonsgegevens verstrekken aan een organisatie als dit noodzakelijk is voor de
uitvoering van een overeenkomst die u hebt of gaat sluiten met een betrokkene.
Wettelijke verplichting
Soms is het noodzakelijk om bepaalde persoonsgegevens te verstrekken die noodzakelijk
zijn voor de uitvoering van een wettelijke plicht. Een voorbeeld van een dergelijke
verplichting is artikel 56 van de Algemene Wet Bijzondere Ziektekosten. Op grond van dit
artikel is een ieder verplicht aan onder meer de zorgverzekeraars alle inlichtingen te geven
die benodigd zijn voor de uitvoering van deze wet. De informatieplicht betreft alleen
informatie die nodig is voor de vaststelling van de eigen bijdrage.
Een ander voorbeeld is het vorderen van persoonsgegevens op grond van artikel 47 van de
Algemene Wet Inzake Rijksbelastingen door de Belastingdienst.
Vitaal belang van betrokkene
Bij een vitaal belang van de betrokkene kan gedacht worden aan een dringende medische
noodzaak. Het verdient overigens altijd de voorkeur om toestemming van de betrokkene te
vragen. Alleen als dat niet meer mogelijk is, bijvoorbeeld omdat de betrokkene buiten
bewustzijn is, mogen zonder diens toestemming de persoonsgegevens verstrekt worden.
Noodzakelijk voor de goede vervulling van een publiekrechtelijke taak
Een overheidsorgaan mag op deze basis persoonsgegevens verstrekken als dat
noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak.
Gerechtvaardigd belang
Een gerechtvaardigd belang is in de regel aanwezig bij handelingen in het kader van de
normale bedrijfsvoering of het dagelijks beheer van de organisatie. Het verstrekken van
gegevens moet noodzakelijk zijn voor een gerechtvaardigd belang. Dat betekent dat er
afgewogen moet worden of met minder gegevens of via een minder ingrijpende weg
hetzelfde resultaat bereikt zou kunnen worden. Ook moet er een privacytoets uitgevoerd
worden. Dit betekent dat het belang en de rechten van de betrokkene afgewogen dienen te
worden tegen het belang bij het verstrekken van de gegevens.

Deze belangenafweging moet inzichtelijk gemaakt kunnen worden voor de betrokkene en
zonodig voor het CBP of de rechter. Ook kan na het uitvoeren van de privacytoets op goede
gronden geconcludeerd worden dat het belang en de rechten van de betrokkene zwaarder
wegen dan het belang van informatie verstrekking. Toestemming is dan de enige grond
waarop de persoonsgegevens verstrekt mogen worden.
Verstrekken bij ambts- of beroepsgeheim
Verstrekking van gegevens aan een andere organisatie is niet toegelaten als een ambts- of
beroepsgeheim zich daartegen verzet. Uitsluitend met toestemming van de betrokkene kunt
u dergelijke informatie verstrekken. Er zijn echter gevallen waarin de wet uitzondering maakt.
Zo volgt uit de Wet op de Geneeskundige BehandelingsOvereenkomst dat medische
gegevens, zonder toestemming, verstrekt kunnen worden aan personen die
noodzakelijkerwijze bij de behandeling van een patiënt betrokken zijn, de zogenaamde
‘functionele eenheid’.
Voorwaarden voor het verstrekken van gegevens aan de politie
Persoonsgegevens zijn in vertrouwen gekregen. Daarom is een organisatie in
beginsel niet verplicht tot verstrekken van gegevens als de politie erom vraagt.
Als de politie vraagt bepaalde persoonsgegevens te verstrekken omdat de gegevens
noodzakelijk zijn ter voorkoming, opsporing of vervolging van strafbare feiten, vervalt een
aantal eisen uit de WBP. Zo hoeft men in deze situatie niet te oordelen of de verstrekking
onverenigbaar is met de doeleinden waarvoor men ze heeft verzameld. Men dient in deze
situatie mee te werken, mits de politie daar uitdrukkelijk en gericht om vraagt en wanneer zij
kan uitleggen op grond van welke wettelijke regeling gegevens verstrekt moeten worden. In
de WBP zijn namelijk een aantal regelingen opgenomen op grond waarvan de werkgever
verplicht is gegevens te verstrekken.
Gevallen waarin u niet verplicht bent gegevens te verstrekken
Als de politie niet aangeeft op grond van welke wettelijke regeling u verplicht bent gegevens
te verstrekken, hoeft u niet mee te werken. In veel gevallen mag u zelfs niet meewerken,
omdat u gegevens over uw klanten, werknemers, leerlingen, patiënten of clienten niet
bewaart om de politie van dienst te zijn. Een betrokkene (dat is degene van wie u
persoonsgegevens gebruikt) mag er vanuit gaan dat u zijn gegevens niet zonder goede
reden aan de politie geeft. Vraag de politie dus altijd om schriftelijk aan te geven waarom u
de gevraagde informatie zou moeten verstrekken.
De politie kan u om vrijwillige medewerking verzoeken. In dat geval moet u zelf een afweging
maken tussen het opsporingsbelang en het privacybelang van de betrokkene. Indien u tot
het oordeel komt dat de verstrekking noodzakelijk is voor de goede vervulling van de
publiekrechtelijke taak van de politie, dan mag u de gegevens verstrekken. Bij
publiekrechtelijke taak moet u denken aan de handhaving van de rechtsorde en het verlenen
van hulp aan hen die deze nodig hebben. Als u de door de politie gevraagde gegevens gaat
verstrekken, moet u daarover de betrokkene informeren.

Aansprakelijkheid
Als u persoonsgegevens aan de politie verstrekt zonder dat u dat mag of dat u daartoe
verplicht bent, kunt u daarvoor door een betrokkene aansprakelijk gesteld worden. Dus als
de politie u vraagt gegevens te verstrekken, vraag dan zoveel mogelijk informatie en, indien
nodig, bedenktijd om het verzoek van de politie te kunnen overwegen. Win zonodig juridisch
advies in.
Inzagerecht
Een betrokkene heeft onder meer recht op inzage in zijn persoonsgegevens. Als de
betrokkene u om inzage verzoekt, moet u de betrokkene op een duidelijke manier informeren
welke gegevens u van hem gebruikt, wat het doel is van het gebruik en aan wie u de
gegevens eventueel hebt verstrekt. Als u besluit gegevens aan de politie te gaan verstrekken
of als u verplicht bent dat te doen, is het daarom verstandig de informatie schriftelijk te
verstrekken en in uw eigen administratie vast te leggen welke gegevens u aan de politie
heeft doorgegeven.
Anonieme gegevens
Indien de persoonsgegevens zodanig zijn geanonimiseerd, dat zij redelijkerwijs niet tot de
individuele persoon herleidbaar zijn, kan de verantwoordelijke beslissen deze te verstrekken
ten behoeve van doeleinden die verenigbaar zijn met het doel van de registratie.
Inzage en afschrift van opgenomen persoonsgegevens
De betrokkene, of zijn vertegenwoordiger, heeft het recht kennis te nemen van de op zijn
persoon betrekking hebbende gegevens. Een verzoek tot inzage wordt door de betrokkene
schriftelijk ingediend bij het bestuur.
De verzoeker krijgt schriftelijk antwoord, tenzij een gewichtig belang van de betrokkene een
andere vorm vergt. De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig
mogelijk, doch uiterlijk binnen vier weken, plaatsvinden.
Voor inzage plaats kan hebben dient de verzoeker zich te legitimeren.
Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening gebracht
worden, met een maximum van € 4,50.
Correctie van opgenomen persoonsgegevens
De betrokkene kan de verantwoordelijke schriftelijk verzoeken de opgenomen
persoonsgegevens te verbeteren, aan te vullen, te verwijderen, af te schermen of op een
andere manier er voor te zorgen dat de onjuiste gegevens niet langer worden gebruikt,
indien deze feitelijk onjuist zijn, voor het doel van de verwerking onvolledig of niet ter zake
dienend zijn dan wel aan de andere kant in strijd met een wettelijk voorschrift worden
verwerkt. Het verzoek bevat de aan te brengen wijzigingen.
De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek
schriftelijk of en in hoeverre hij daaraan voldoet. Een gehele of gedeeltelijke weigering is
steeds met redenen omkleed.
De verantwoordelijke draagt zorg dat een beslissing tot correctie zo spoedig mogelijk wordt
uitgevoerd.

In geval van correctie van de gegevens zal de verantwoordelijke derden aan wie de
(onjuiste) gegevens zijn verstrekt van de wijziging op de hoogte stellen, voor zover dit
redelijkerwijs mogelijk is.
Beveiliging van gegevensverwerking
De verantwoordelijke neemt passende technische en organisatorische maatregelen om het
verlies van gegevens of onrechtmatige verwerking tegen te gaan.
Autorisaties
Er zijn per medewerker gebruikersrechten toegekend voor het gebruik van software van de
organisatie door middel van een wachtwoord.
Het wachtwoord is persoonsgebonden en mag niet worden doorgegeven.
Medewerkers mogen alleen die persoonsgegevens inzien die voor hun taakuitoefening
noodzakelijk zijn.
Back-up regeling
Er wordt dagelijks een back-up gemaakt van het automatiseringsprogramma zodat gegevens
niet verloren gaan.
Dossierbeveiliging
De in de instelling aanwezige dossiers worden achter slot en grendel bewaard.
Bewaartermijnen gegevens
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het doel
waarvoor de gegevens zijn verzameld of (verder) verwerkt. Met inachtneming van de
wettelijke voorschriften heeft MAREM de bewaartermijn van de in de registratie(s)
opgenomen persoonsgegevens van clienten vastgesteld op 10 jaar vanaf het moment dat ze
zijn vervaardigd. Persoonsgegevens van medewerkers worden 7 jaar bewaard nadat de
medewerker uit dienst is getreden.
Verantwoordelijkheid van de bewerker
De verantwoordelijke verplicht de bewerker dit reglement na te leven. De bewerker is
verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij
treft de noodzakelijke maatregelen met betrekking tot de beveiliging van de gegevens.
Gegevens van sollicitanten
Een werkgever mag alleen vragen stellen aan een sollicitant over aspecten die voor de
functie en/of voor de functievervulling relevant zijn, zoals vakbekwaamheid (opleiding, kennis
en ervaring). De van de sollicitanten verkregen informatie dienen vertrouwelijk en zorgvuldig
te worden behandeld. Als een werkgever inlichtingen of strafrechtelijke gegevens over de
sollicitant wil inwinnen bij derden, moet hiertoe vooraf zijn toestemming worden gevraagd.
De beoogde informatie moet direct verband houden met de te vervullen vacature en mag
geen onevenredige inbreuk maken op de persoonlijke levenssfeer van de sollicitant.
Resultaten van een psychologische test of de uitslag van een medische keuring mogen
alleen na toestemming van de sollicitant aan de werkgever, de opdrachtgever, verstrekt
worden.

De werkgever moet de persoonsgegevens verwijderen op een daartoe strekkend verzoek
van de sollicitant en in ieder geval uiterlijk vier weken nadat de sollicitatieprocedure is
geëindigd, tenzij de sollicitant toestemming geeft om de gegevens gedurende een bepaalde
tijd na beëindiging van de sollicitatieprocedure te bewaren.
Overdracht personeelsdossiers
Bij een faillissement, fusie of overname mogen personeelsdossiers worden overgedragen
aan een ander bedrijf mits wordt voldaan aan de volgende waarborgen om de
privacybelangen van de werknemers te beschermen:
de overdracht wordt aangekondigd in een daarvoor geschikt medium,
zoals een personeelsblad
de werknemers krijgen de mogelijkheid bepaalde gegevens te laten
verwijderen en bezwaar aan te tekenen tegen de overdracht. Indien
geen bezwaar is aangetekend, kan worden uitgegaan van
veronderstelde toestemming van de werknemer voor de overdracht
alleen de gegevens die noodzakelijk zijn voor de uitvoering van de
arbeidsovereenkomst mogen worden overgedragen. In een dergelijk
geval zullen personeelsdossiers moeten worden opgeschoond en niet
meer relevante gegevens moeten worden verwijderd. Zo is een
verslag van een functioneringsgesprek van tien jaar geleden niet meer
relevant.
Klachten
Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden
nageleefd dan kan hij/ zij een klacht indienen volgens het klachtenreglement.
Indien u er samen niet uitkomt, kan de betrokkene zijn vragen of klachten voorleggen aan
het College Bescherming Persoonsgegevens (CBP).