Privacyverklaring
In de algemene privacyverklaring leggen wij uit hoe GGD regio Utrecht omgaat met jouw persoonsgegevens: welke we verzamelen en waarvoor we ze gebruiken. Ook leggen we uit hoe je je gegevens kunt inzien, wijzigen of verwijderen. We vinden het belangrijk dat je hier goed van op de hoogte bent en verzoeken je deze verklaring zorgvuldig te lezen.
Privacyverklaring GGD regio Utrecht (GGDrU)
GGDrU registreert persoonsgegevens om aan zijn wettelijke taken te kunnen voldoen en om de juiste zorg te kunnen bieden. Denk hierbij aan naam, adres, Burgerservicenummer (BSN), telefoonnummer en medische gegevens. De GGD zet deze gegevens in een (digitaal) dossier. Soms vragen wij je die informatie zelf aan ons beschikbaar te stellen en in sommige gevallen krijgen we de gegevens van andere instanties. Centraal bij alle gegevensverwerkingen staat dat wij zorgvuldig omgaan met jouw persoonsgegevens. Niet alleen omdat dit een verplichting is onder de Algemene verordening gegevensbescherming (AVG), maar ook omdat wij het erg belangrijk vinden dat jouw persoonsgegevens veilig worden verwerkt en dat niet zomaar iedereen hier toegang tot krijgt.
In de AVG staan verplichtingen die organisaties en instellingen hebben met betrekking tot persoonsgegevens. Dit heeft als doel om jouw privacy te beschermen en jouw persoonsgegevens goed te beveiligen. Zo schrijft de wet voor wanneer een GGD gegevens mag verzamelen, welke informatie gevraagd mag worden en wie ermee mag werken. Bovendien geeft de wet de betrokkene, degene van wie de persoonsgegevens zijn, een aantal rechten. Zo kun je een verzoek indienen tot inzage, correctie, overdragen, aanvullen of verwijderen van jouw persoonsgegevens of die van jouw kind.
GGD regio Utrecht verwerkt persoonsgegevens voor de volgende doelen:
- Ondersteunen bij de uitvoering van de wettelijk opgedragen taken op grond van de Wet Publieke Gezondheid (WPG) en op grond van de Gemeenschappelijke Regeling GGD regio Utrecht;
- Ondersteuning en instandhouding van preventie, zorg en nazorg aan cliënten;
- Het financieel afhandelen van geboden zorg aan de cliënt, met de cliënt dan wel met diens zorgverzekeraar;
- Ondersteuning bij intercollegiale toetsing en evaluatie;
- Het vastleggen en beschikbaar stellen van informatie, (mede) verkregen op grond van de verwerkte persoonsgegevens, ten behoeve van een doelmatig beleid en beheer van GGDrU;
- Het adviseren van o.a. gemeentebesturen in het kader van het door hen te voeren gezondheidsbeleid
Grondslag voor het gebruik van persoonsgegevens
Uw toestemming wordt gevraagd voor het verwerken van uw persoonsgegevens. Toestemming is echter niet voor alle verwerkingen nodig. Bijvoorbeeld als GGDrU uw gegevens verwerkt voor het uitvoeren van een (behandelings)overeenkomst, als het noodzakelijk is om uw vitale belang (gezondheid) of die van een ander te beschermen of omdat er sprake is van een aan de GGDrU opgedragen wettelijke taak. In dat geval kan de GGDrU ook zonder uw toestemming uw persoonsgegevens verwerken.
Van wie verwerken wij persoonsgegevens?
GGDrU verwerkt uw persoonsgegevens als u deze zelf heeft doorgegeven en soms ontvangt GGDrU uw gegevens van andere personen of instanties. Dit kan bijvoorbeeld uw gemeente zijn omdat u onlangs een kind heeft gekregen en dit is ingeschreven op uw huisadres of omdat u voor een beslissing van de gemeente door een GGD-arts gekeurd moet worden voor het aanvragen van een bepaalde vergunning. Uw persoonsgegevens kunnen ook komen van een (huis)arts, buurtgenoot, familielid of van het Meld- en Adviespunt Bezorgd of de politie wanneer zij een melding doen bij Veilig Thuis.
Als GGDrU uw persoonsgegevens van een andere persoon of instantie krijgt, dan informeert GGDrU u hier zo spoedig mogelijk over. GGDrU informeert u:
- Van wie de gegevens afkomstig zijn,
- Voor welk doel uw persoonsgegevens worden verwerkt,
- Aan wie uw gegevens eventueel worden gegeven en
- Hoe lang deze worden bewaard.
Ook ontvangt u informatie over welke rechten u heeft over de verwerking.
In bepaalde gevallen schrijft de wet voor dat er van deze informatieplicht (al dan niet tijdelijk of gedeeltelijk) kan worden afgeweken. Dit is bijvoorbeeld zo als sprake is van een wettelijk beroepsgeheim, u al op de hoogte bent van de informatie of het verkrijgen van uw persoonsgegevens door GGDrU uitdrukkelijk bij wet is voorgeschreven.
Verstrekking aan derden
GGDrU verstrekt uw persoonsgegevens niet aan andere personen of instanties zonder uw toestemming, tenzij GGDrU daar een plicht of bevoegdheid toe heeft op grond van een wettelijke bepaling. U kunt de door u gegeven toestemming altijd weer intrekken.
Indien GGDrU voor het verwerken van persoonsgegevens gebruik maakt van andere personen of instanties (zo genaamde ‘verwerkers’), dan worden met deze andere personen of instanties schriftelijke afspraken gemaakt om een goede en zorgvuldige verwerking van uw persoonsgegevens te garanderen.
Beveiligingsmaatregelen
GGDrU neemt passende technische en organisatorische beveiligingsmaatregelen om uw persoonsgegevens te beschermen en werkt daarvoor met de beveiligingsnormen van de Baseline Informatiebeveiliging Overheid (BIO) en het NEN7510 normenkader voor de Zorgsector. GGDrU heeft onder andere technische beveiligingsmaatregelen genomen, zoals toegangscontroles tot computersystemen. Tevens moeten alle medewerkers van GGDrU zicht houden aan de (wettelijke) geheimhoudingsplicht en alleen medewerkers die daartoe bevoegd zijn hebben toegang tot persoonsgegevens.
GGDrU bewaart uw persoonsgegevens niet langer dan noodzakelijk is voor de goede uitvoering van haar (wettelijke) taken en houdt daarbij rekening met geldende wettelijke verplichtingen.
Uw rechten
U heeft een aantal privacy rechten. De belangrijkste zijn hieronder voor u samengevat:
- Inzage:
U kunt opvragen welke persoonsgegevens over u bekend zijn binnen GGDrU. Dit recht heeft alleen betrekking op uw eigen gegevens en niet op die van een andere persoon. Uitzondering hierop is wanneer u gegevens opvraagt van uw kind, die de leeftijd van 12 jaar nog niet heeft bereikt. Wanneer uw kind 12 jaar of ouder is, kunt u de persoonsgegevens niet inzien zonder toestemming van uw kind. - Afschrift:
U heeft recht op een kopie van de persoonsgegevens die u in het (digitaal) dossier mag inzien. - Correctie:
U kunt vragen om correctie van uw persoonsgegevens in uw (digitaal) dossier wanneer het gaat om feiten die onjuist in het (digitaal) dossier zijn opgeschreven, bijvoorbeeld uw naam, adres of geboortedatum. - Aanvulling:
U heeft het recht om een eigen verklaring in het (digitaal) dossier te laten toevoegen als u het niet eens bent met professionele indrukken, meningen of conclusies van de professional(s). - Verwijdering: u heeft het recht om te vragen om verwijdering van uw persoonsgegevens wanneer deze onrechtmatig zijn gebruikt of geen doel meer dienen.
Contact over privacy
Heb je vragen of een klacht over de wijze waarop wij met jouw persoonsgegevens omgaan? Dan kun je het klachtenformulier op de website invullenn. Je kan je ook wenden tot de Autoriteit Persoonsgegevens met het verzoek te bemiddelen of te adviseren in een geschil. Wanneer je jouw persoonsgegevens wilt inzien, corrigeren, overdragen of aanvullen of verwijderen, dan kan je hiervoor een verzoek indienen bij de Functionaris gegevensbescherming van GGDrU.
Vragen over privacy?
Heb je een klacht over de bescherming van jouw persoonsgegevens? Je kan dan mailen naar privacyloket@ggdru.nl of contact opnemen met de Functionaris Gegevensbescherming (FG). De FG is een interne toezichthouder en adviseur voor de bescherming van persoonsgegevens. Je kan contact met de FG opnemen via fg@ggdru.nl of door te bellen naar 030-608 60 86. De FG voert zijn taken onafhankelijk uit. Dit wil zeggen dat de FG geen inhoudelijke aanwijzingen ontvangt van het bestuur. Kom je er niet uit met de FG? Dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens (AP).
Om zijn taken uit te voeren kan de FG:
- Informatie verzamelen over gegevensverwerkingen binnen de GGD;
- Deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
- Informatie, adviezen en aanbevelingen geven aan de organisatie.
Autoriteit Persoonsgegevens (AP)
Landelijk wordt toezicht gehouden op de omgang met persoonsgegevens door de Autoriteit Persoonsgegevens. De AP controleert of organisaties voldoen aan de privacywetgeving, maar geeft ook uitleg over de privacywetgeving. Op de website van de AP staat veel informatie over privacy in begrijpelijke taal.
Voor vragen kun je de AP bellen tijdens het telefonisch spreekuur. Valt je iets op over hoe organisaties omgaan met privacy? Dan kun je ook een tip doorgeven aan de AP.
Datalek en jouw gegevens
Veel inwoners in Nederland hebben tijdens de coronacrisis contact gehad met de GGD. Misschien heb je je wel eens laten testen, heb je vaccinatieafspraken gemaakt of heb je vanwege een besmetting contact gehad met de afdeling Bron- en Contactonderzoek (BCO). In al deze situaties vraagt de GGD je om persoonsgegevens. We kunnen ons goed voorstellen dat je je afvraagt of deze gegevens in veilige handen zijn en wat ermee gebeurt. Zeker na het datalek van begin 2021.
Privacy en procedure anonimiseren
Veel inwoners in Nederland hebben deze coronacrisis contact gehad met de GGD. Misschien heb je je wel eens laten testen, heb je vaccinatieafspraken gemaakt of heb je vanwege een besmetting contact gehad met de afdeling Bron- en Contactonderzoek (BCO). In al deze situaties vraagt de GGD om persoonsgegevens. We kunnen ons goed voorstellen dat je je afvraagt of deze gegevens in veilige handen zijn en wat ermee gebeurt. Zeker na de datalek van begin 2021. Daarom vind je hieronder een uitleg van hoe de GGD omgaat met persoonsgegevens en wat wij eraan doen om deze veiligheid te waarborgen.
Welke systemen gebruikt de GGD voor het Coronabedrijf?
Tijdens deze coronapandemie werkt de GGD met drie systemen: CoronIT, en HPZone Lite.
De GGD gebruikt CoronIT om test- en vaccinatieafspraken in te plannen.
HPZone Lite wordt gebruikt voor de registratie van het aantal coronabesmettingen en contacten. Dit is het systeem waaruit het RIVM hun data haalt voor analyses en bijvoorbeeld een berekening van het R-getal.
Voor het Bron- en Contactonderzoek wordt gebruikt gemaakt van CoronaCare. De gegevens in CoronaCare worden overgezet naar HPZone Lite.
Zijn deze systemen wel goed beveiligd?
Ja, alle systemen zijn goed beveiligd. De programma’s zijn NEN-gecertificeerd. De programma’s hebben licenties om data veilig op te slaan. Het systeem van CoronaCare wordt bijvoorbeeld ook veel gebruikt in ziekenhuizen. Daarnaast regelt de GGD GHOR de veiligheid van bijvoorbeeld CoronIT.
Hoe weet ik dat mijn gegevens veilig zijn onder medewerkers van de GGD?
De GGD werkt met patiëntnummers in de systemen. Zo worden geen persoonsgegevens gebruikt voor interne communicatie. Daarnaast hebben medewerkers iemands BSN nodig voordat zij iemand kunnen opzoeken in een systeem. Binnenkort verdwijnt de toegang tot HP Zone Lite voor BCO-medewerkers. Op deze manier waarborgt de GGD zo maximaal mogelijk uw privacy.
Wat kan ik doen als ik niet wil dat de GGD bezit over mijn persoonsgegevens?
Mocht je je zorgen maken over de veiligheid van jouw persoonsgegevens, dan kun je ervoor kiezen om deze te anonimiseren. Als je inwoner bent van GGD Regio Utrecht kun je bellen naar 030–630 5400 om dit te regelen. Jouw dossiernummer blijft dan bestaan, alleen staan er geen persoonsgegevens meer. Jouw dossier is dan geanonimiseerd. Het dossiernummer blijft bestaan, omdat corona een A-ziekte is. Dit betekent dat registratie van besmettingen verplicht is.
Heeft het gevolgen als ik mijn dossier laat anonimiseren?
Ja, dat heeft gevolgen. Als je jouw gegevens laat anonimiseren en je wilt vervolgens iets bij de GGD inplannen, heeft de GGD opnieuw jouw gegevens nodig, aangezien die niet meer bekend zijn. Indien gewenst moet je ze ook opnieuw laten anonimiseren.
Houd er ook rekening mee dat de anonimisering ook gevolgen kan hebben voor jouw registratie in bijvoorbeeld de CoronaCheck App. De systemen zijn namelijk aan elkaar gekoppeld en werken allemaal op basis van persoonsgegevens zoals BSN. Wanneer je van plan bent je gegevens te laten anonimiseren, kun je je vaccinatiebewijs printen via CoronaCheck Print Portaal. Dan weet je zeker dat je deze nog hebt.
Heb je meer vragen?
Heb je nog andere vragen over privacy en/of datadiefstal? Via de volgende link vind je de antwoorden op veelgestelde vragen. Ook staat hierin een e-mailadres waar je je vragen kwijt kan: Veelgestelde vragen en antwoorden over datadiefstal – GGD GHOR Nederland.