Doctena AVG-privacycentrum

Overzicht

Overzicht

Inleiding

Dit document is bedoeld voor toekomstige en bestaande klanten ( artsen ) en voor gateway-partners. Het beschrijft waar, waarom en hoe Doctena S.A. en haar dochterondernemingen beveiliging en conformiteit implementeren voor de diensten die zij aanbieden.

Het document begint met het conformiteit-gedeelte, door te beschrijven welke verschillende rollen en verantwoordelijkheden de patiënten, behandelaars, gateway-partners en Doctena nemen in de context van AVG. Dit deel belicht ook enkele belangrijke elementen over de manier waarop we compliance afdwingen met behulp van gegevensverwerkingsovereenkomsten.

Klik hier om uw Gegevensverwerkingsovereenkomst te ondertekenen met Doctena

GDPR-Roles-Flow-NL-v2

Conformiteit

AVG

De algemene verordening inzake gegevensbescherming legt de lat hoog voor de bescherming van de integriteit van het individu in de EU. De AVG is de Europese verordening voor de bescherming van persoonsgegevens, die van toepassing is op alle organisaties (inclusief medische praktijken) die binnen de EU actief zijn, maar ook op alle niet-EU organisaties die gegevens van mensen in de EU verwerken. De definitie van persoonsgegevens in het kader van de GDPR is teruggebracht tot “alle informatie die het mogelijk maakt om een persoon te identificeren”. Het doel van de GDPR is het harmoniseren van de wetgeving inzake gegevensbescherming in alle lidstaten van de EU om de integriteit van het individu te versterken. De wet is van kracht sinds 25 mei 2018.

De GDPR is van toepassing op zowel de verwerking verantwoordelijken als de gegevensverwerkers. De verantwoordelijke voor de verwerking is de partij die de doeleinden en de manier waarop de verzamelde persoonsgegevens worden verwerkt, bepaalt. Terwijl de gegevensverwerker een derde partij is die namens de verantwoordelijke de persoonsgegevens verwerkt. Doctena is hierin zeer duidelijk en transparant: De behandelaar is de verantwoordelijke voor de verwerking en de eigenaar van de patiënt/afspraakgegevens.


Rollen en verantwoordelijkheden

Doctena is zowel een verantwoordelijke voor de gegevensverwerking als een gegevensverwerker, maar dan voor verschillende delen van de gegevens.

1. Als een cloud-kalenderbedrijf dat een dienst verleent aan artsen, treedt Doctena vooral op als een gegevensverwerker. We verwerken gegevens in opdracht van de arts die bepaalt wat er met deze gegevens gebeurt (wijziging, verwijdering, overdracht, GDPR-rechten …) en de arts blijft eigenaar van de gegevens. Deze gegevens omvatten het profiel van de patiënt, de afspraakgegevens en de optionele dokter/patiënt notities gekoppeld aan de afspraken. Dit geldt ook wanneer de arts een synchronisatie met onze diensten uitvoert via een gateway-provider.
2. Voor patiënten met een Doctena-account speelt Doctena alleen de rol van verantwoordelijke voor de accountgegevens (voorkeuren, naam, adres, telefoon, e-mail, adres, beoordelingen, etc.) die er alleen zijn om het beheer van de afspraken van de patiënt met behulp van onze online diensten te vergemakkelijken. Bij elke reservering kopiëren wij in principe de gegevens van de Doctena-account naar het patiëntenprofiel en de afspraak van de arts, van waaruit deze kopie door de arts wordt gecontroleerd. Als onderdeel van het Doctena-account beheren we ook een logische link naar de doktersafspraken, zodat we de artsen en afspraken van de patiënt kunnen laten zien.


Verschillende informatiestromen

In het onderstaande diagram ziet u de drie manieren waarop persoonlijke informatie van de patiënt naar onze systemen kan stromen.

Patient

De patiënt is de persoon die direct of indirect via de arts gebruik maakt van de Doctena diensten om zijn medische afspraak te vinden en te beheren. In AVG-termen is de patiënt altijd de betrokkene (de uiteindelijke eigenaar van de persoonsgegevens) en heeft altijd het recht om te bepalen wat er met zijn gegevens gebeurt, tenzij er wettelijke verplichtingen op het verzoek rusten (bv. bewaarplicht, gerechtelijk bevel, strafrechtelijk onderzoek, …).


Arts

De arts is de persoon of rechtspersoon die Doctena in onderaanneming neemt om hen te voorzien van een online agenda en om de gerelateerde patiëntgegevens te verzamelen. De behandelaar is de uiteindelijke ontvanger van de gegevens van de patiënt (ARTS-PATIËNT) en bepaalt het doel van de verwerking en het verzamelen van de gegevens. Het is hun verantwoordelijkheid om ervoor te zorgen dat de patiëntgegevens veilig en volgens de voorschriften worden behandeld bij het selecteren van onderaannemers zoals Doctena of een met Doctena verbonden gateway-partner. Deze veiligheidshandhaving gebeurt in goed vertrouwen en door het gebruik van door Doctena verstrekte gegevensverwerkingsovereenkomsten waarin duidelijk is vastgelegd wat Doctena met de gegevens mag doen in naam van de behandelaar, en wat het beveiligingsniveau is dat Doctena implementeert om deze gegevens te beschermen.

In AVG-termen is de behandelaar altijd de verantwoordelijke (Verwerkingsverantwoordelijke) voor de patiëntgegevens en de bijbehorende afspraakgegevens (ARTS-PATIENT).


Gateway partner

Er bestaan veel verschillende medische softwares en deze worden intern gebruikt door praktijken/kabinetten. Gateway-partners zijn rechtspersonen (soms dezelfde als de medische softwareleverancier) die gespecialiseerd zijn in het koppelen van gegevens uit de medische software aan de Doctena diensten. Bij integraties met Doctena gaat het alleen om de gegevens van de behandelaar (ARTS-PATIËNT). Dit kan zijn van de medische software naar Doctena, van Doctena naar de medische software, of in beide richtingen afhankelijk van de behoeften van de behandelaar. Doctena levert ook externe plugins zoals agenda synchronisaties (bijv. Cronofy) die Doctena agenda’s synchroniseren met Exchange, gsuite, outlook, … die ook worden beschouwd als gateway partners.


In AVG termen zijn Gateway partners altijd verwerkers (onderaannemer) van de arts. De arts moet een gegevensverwerkingsovereenkomst hebben met de gateway-partner waarin de arts definieert wat er met zijn gegevens kan worden gedaan en met welk doel en hoe deze worden beveiligd. Gateway-partners worden door Doctena gezien als een onderaannemer van de arts die de inloggegevens/bevoegdheden heeft gekregen om namens de arts op te treden. Daarom is er geen speciale gegevensverwerkingsovereenkomst nodig tussen Doctena en de Gateway-partner, tenzij er sprake is van een speciale aanvullende verwerking van persoonsgegevens waarvoor een aanvullende regeling nodig is.


Doctena

De Doctena-groep verwijst naar Doctena S.A. en haar dochterondernemingen in de verschillende landen:

Doctena SA – 6 Rue Adolphe, L-1116 Luxembourg (Luxembourg)
Doctena Austria (formally a3L e-solutions) – Mooslackengasse 17, A-1190 Wien (Austria)
Doctena Belgium Sprl – Square de Meeus 37, B-1000 Bruxels (Belgium)
Doctena Switzerland GmbH – Hagenholzstrasse 83b, 8050 Zürich (Switzerland)
Doctena Germany GmbH – Platz vor dem Neuen Tor, 10115 Berlin (Germany)
Doctena Netherlands BV – Barbara Strozzilaan 201, 1083 HN Amsterdam (Netherlands)
Doctena Afspraken Sprl – Square de Meeus 37, B-1000 Bruxels (Belgium)


Verwerkingsovereenkomst

Doctena voldoet aan de normen die zijn vastgelegd in de verordening en onze Servicevoorwaarden en ons Privacybeleid beschrijven hoe we de rechten van onze gebruikers respecteren.


Wij hebben een verwerkingsovereenkomst (DPA) opgesteld die voor al onze klanten gelijk is, die u als arts ( data verantwoordelijke ) met Doctena ( verwerker ) moet ondertekenen om te bepalen hoe Doctena uw gegevens mag gebruiken. Als onderdeel van AVG zijn artsen verplicht een dergelijke overeenkomst te hebben met al hun onderaannemers om te voldoen aan de regelgeving, en dient deze toegevoegd te worden aan hun AVG documentatie. De DPA beschrijft de AVG voorwaarden, rollen en verplichtingen van de gegevensverwerking voor zowel de verwerker als de verantwoordelijke voor de verwerking. Het bevat de meeste informatie die we in dit artikel beschrijven.


Klik hier om uw Gegevensverwerkingsovereenkomst te ondertekenen met Doctena


Download voorbeeld PDF van de Gegevensverwerkingsovereenkomst met Doctena


Als u gebruik maakt van een gateway-integratie in ons systeem, moet u ervoor zorgen dat u een overeenkomst voor gegevensverwerking hebt met deze integrator, waarin u de integrator duidelijk het mandaat geeft dat u als verantwoordelijke voor de gegevensverwerking de integrator in staat stelt om namens u te handelen op uw Doctena-gegevens.


Verwerkingsactiviteiten

Doctena definieert de volgende diensten als onderdeel van de uitbestede verwerkingsactiviteiten die altijd samen moeten worden genomen:


(i) Beheer van de gegevens van patiënten betreffende hun doktersafspraken en opvolg diensten;
(ii) Beheer van de agenda/kalender van de arts;
(iii) Beheer van de IT-infrastructuur, de software, het onderhoud en het beheer in verband met de Diensten in het kader van de Hoofdovereenkomst.


De bewerkingen die met betrekking tot de gegevens worden uitgevoerd ten behoeve van (i), (ii) en (iii) zijn van de volgende aard:


  • Het verzamelen, opslaan en aanpassen van persoonsgegevens van patiënten die worden vereist door de arts om de afspraak te regelen
  • Het zoeken van patiëntaccounts a.d.h.v. opgeslagen persoonsgegevens
  • Communicatie met betrokkenen over afspraken via e-mail of (mobiel) telefoonnummer
  • Gegevensimport in de diensten van Doctena m.b.v. door de Arts verstrekte gestructureerde gegevens (bv. Onboarding)
  • Geautomatiseerde gegevensback-up
    

De categorie van de betrokkenen is: Patiënten.


Teneinde de in lid (i), (ii) en (iii) vermelde diensten te leveren, is de Verwerker gemachtigd namens de Verwerkingsverantwoordelijke de volgende noodzakelijke persoonsgegevenscategorieën te verwerken, afhankelijk van de gegevens die door de Verwerkingsverantwoordelijke en/of de Betrokkene worden verstrekt:


  1. Persoonsgegevens ter identificatie: naam, titel, e-mailadres, adres (privé en op het werk), vorige adressen, (mobiel) telefoonnummer (privé, op het werk), identificatoren die worden toegewezen door de Verwerkingsverantwoordelijke;
  2. Persoonlijke gegevens: leeftijd, geslacht, geboortedatum, geboorteplaats, verblijfplaats en nationaliteit;
  3. Elektronische identificatiegegevens: IP-adressen, cookies, verbindingstijden, elektronische handtekening;
  4. Zorggegevens: gegevens betreffende de middelen en procedures die worden gebruikt voor de medische en paramedische zorg voor de patiënten (bv. arts-/patiënt notities, reden voor bezoek);
  5. Gegevens van de andere leden van het gezin of huishouden: kinderen, personen ten laste, andere leden van het huishouden, informatie over ouders en familieleden;
  6. Pseudonimisering: Controlemaatregelen om de Vertrouwelijkheid, Integriteit en Beschikbaarheid van gegevens te beschermen (bv. versleutelde hashwaarden).
  7. (indien deze optie geactiveerd is) Identificatiegegevens: uitgereikt door overheidsdiensten, bv. nationaal identificatienummer, socialezekerheidsnummer, identiteitskaartnummer, paspoort
    

Toestemming van de patiënt

Alle afspraken die gemaakt worden via onze website of widgets die u integreert in uw eigen website, informeren de patiënt over het privacybeleid en het feit dat Doctena medische gegevens verwerkt in opdracht van de arts. Onze diensten verzamelen en bewaren deze toestemming en vergemakkelijken dit proces in naam van de arts. De arts is verantwoordelijk voor het beheer van deze toestemming wanneer de afspraak niet online wordt geboekt en wanneer deze wordt ingevoerd in onze systemen met behulp van een gateway-provider.


Doctena onderaannemers

Wanneer we met externe partners of onderaannemers werken, eisen we dat ze minstens dezelfde veiligheidsnormen hanteren als wij. We willen geen zwakke schakels in onze productie- en vererkings systemen als het gaat om veiligheid. Doctena publiceert een lijst van haar eigen onderaannemers (cloud, sms, e-maildiensten…) als onderdeel van haar gegevensverwerkingsovereenkomst. Deze onderaannemers zijn geselecteerd op basis van hun naleving van de veiligheids- en privacyregels. Met elk van deze verwerkers (onderaannemers) onderhouden wij onze eigen gegevensverwerkingsovereenkomsten waarbij wij het doel van de verwerking definiëren en waarbij wij ten minste hetzelfde niveau van veiligheid/privacy afdwingen als datgene wat in de hoofdovereenkomst voor gegevensverwerking aan de artsen beloven. Het is de verwerkers (onderaannemers) van Doctena verboden om gegevens te verwerken of door te geven in een derde land (landen buiten de EU/EER, behalve als ze een geldig besluit van de Europese Commissie over de bescherming van persoonsgegevens hebben). Elke verandering van verwerker (onderaannemer) van Doctena zal worden meegedeeld aan de verwerkings verantwoordelijke (arts) die 14 dagen de tijd krijgen om bezwaar te maken tegen deze verandering voordat deze wordt doorgevoerd.


Bewaren van gegevens

In verband met de wettelijke verplichtingen inzake het bewaren van medische gegevens in de verschillende landen waar Doctena actief is, hebben we besloten dat alle gegevens gedurende 10 jaar worden opgeslagen en vervolgens automatisch worden geanonimiseerd. De gegevens kunnen ook op elk moment worden geanonimiseerd door de arts met behulp van de online agenda.


Rechten van de betrokkene

Om zowel patiënten als artsen in staat te stellen om veelgestelde vragen over GDPR te beantwoorden en om hen in staat te stellen hun rechten uit te oefenen, hebben we ons eigen Doctena privacy centrum opgezet. Ons privacy centrum zal u een aantal vragen stellen om u snel te kunnen wijzen op de informatie die u zoekt.


Open het Doctena privacy centrum


Wanneer we verzoeken ontvangen om AVG-rechten uit te voeren (recht op correctie, recht op verwijdering, …) worden deze verzoeken intern verwerkt en gevalideerd door de Chief Information Security Officer (CISO) of een speciaal opgeleide supportmedewerker. Indien het verzoek geldig is, kunnen er twee soorten acties plaatsvinden, afhankelijk van het type.

  • Voor ARTS-PATIËNT-gerelateerde verzoeken wordt de aanvraag altijd doorgestuurd naar de controller (arts). Alleen als zij uitdrukkelijk toestemming geven voor de actie, zal Doctena het verzoek uitvoeren.
  • Voor DOCTENA-ACCOUNT-gerelateerde verzoeken wordt het verzoek uitgevoerd zonder tussenkomst van de arts.
    

Wij beloven in ons privacybeleid dat dergelijke verzoeken binnen een maand zullen worden uitgevoerd, zodat beide partijen voldoende tijd hebben om te reageren. Alle belangrijke beveiligingsincidenten/verzoeken worden doorgestuurd en persoonlijk opgevolgd door onze CISO, zodat ze onmiddellijk een reactie/actie krijgen.


Notificaties

Doctena zal de verantwoordelijke voor de verwerking (arts) per e-mail op de hoogte brengen van elke inbreuk op de persoonsgegevens, uiterlijk 48 uur nadat ze er kennis van heeft genomen. De kennisgeving wordt samen met alle documentatie verzonden om de voor de verwerking verantwoordelijke (arts) in staat te stellen om, indien nodig, deze inbreuk aan de bevoegde toezichthoudende autoriteit te melden.


Gegevensverwerking en opslaglocatie

De serverinfrastructuur van Doctena wordt gehost op Amazon Web Services en maakt alleen gebruik van datacenters in de regio Frankfurt (eu-centrale-1) om ervoor te zorgen dat de gegevens de EU nooit verlaten. Amazon Web Services is volledig in overeenstemming met GDPR, waarvoor u aanvullende informatie kunt krijgen via de onderstaande link.


https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/


Waarom een externe functionaris voor gegevensbescherming?

We hadden kunnen kiezen voor een interne DPO, maar omdat we heel transparant wilden zijn voor de patiënten, de artsen en de autoriteiten, hebben we ervoor gekozen om deze rol toe te wijzen aan een extern onpartijdig bedrijf dat gespecialiseerd is in de privacy van gegevens en de evolutie van de regelgeving. Zij fungeren als intermediair tussen de betrokkenen (patiënten) en Doctena om ervoor te zorgen dat de rechten van de patiënt goed worden uitgevoerd. Bij niet-naleving door Doctena is de DPO verplicht dit te melden aan de betrokken instanties. Dit dwingt ons om op de hoogte te blijven van de eisen en hun jaarlijkse audits en onze regelmatige bijeenkomsten helpen Doctena om compliant te blijven.


Kemal Webersohn, LL.M

WS Datenschutz GmbH
Meinekestraße 13
10719 Berlin (Germany)


Fax : +49 30 88 72 07 88
Website: www.ws-datenschutz.de


Email :

privacy-belgium@doctena.com

privacy-netherlands@doctena.com

privacy-luxembourg@doctena.com

privacy-germany@doctena.com

privacy-austria@doctena.com

privacy-switzerland@doctena.com

Aanvullende informatie

Als u vragen heeft over AVG en uw gebruik van Doctena, stuur ons dan alstublieft een e-mail


support+gdpr@doctena.com


Wij wijzen erop dat deze post alleen bedoeld is ter informatie en niet als juridisch advies beschouwd mag worden.


Links

https://gdpr-info.eu/


Door Doctena toegepaste veiligheidsmaatregelen: https://www.doctena.com/beveiling