Inleiding
Dit document is bedoeld voor toekomstige en bestaande cliënten (behandelaars) en Gateway-partners. Het beschrijft waar, waarom en hoe Doctena S.A. en haar dochterondernemingen de beveiliging en naleving implementeren voor de diensten die zij aanbieden.
Het document begint met het nalevingsgedeelte, waarin de verschillende rollen en verantwoordelijkheden van patiënten, behandelaars, gateway partners en Doctena onder de GDPR worden geschetst. In dit deel worden ook enkele belangrijke elementen belicht van de wijze waarop wij naleving afdwingen door middel van gegevensverwerkingsovereenkomsten.
Naleving
RGPD
De algemene verordening gegevensbescherming (GDPR) legt de lat hoog voor de bescherming van de integriteit van het individu in de EU. De GDPR is de Europese verordening voor de bescherming van persoonsgegevens, die van toepassing is op alle organisaties (waaronder medische praktijken) die binnen de EU actief zijn, maar ook op alle organisaties buiten de EU die gegevens van mensen in de EU verwerken. De definitie van persoonsgegevens onder de GDPR is teruggebracht tot “alle informatie waarmee een persoon kan worden geïdentificeerd”. Doel van de RGPD is de wetgeving inzake gegevensbescherming in alle EU-lidstaten te harmoniseren om de integriteit van het individu te versterken. De wet is sinds 25 mei 2018 van kracht.
De GDPR geldt zowel voor de voor de verwerking verantwoordelijken als voor de verwerkers. De voor de verwerking verantwoordelijke is de partij die bepaalt voor welke doeleinden en op welke wijze de verzamelde persoonsgegevens worden verwerkt. Een voor de verwerking verantwoordelijke is een derde die namens de voor de verwerking verantwoordelijke persoonsgegevens verwerkt. Doctena is heel duidelijk en transparant op dit punt: de arts is de verantwoordelijke voor de verwerking en de eigenaar van zijn patiënt- of afspraakgegevens.
Taken en verantwoordelijkheden
Doctena is zowel verwerkingsverantwoordelijke als gegevensverwerker, maar voor verschillende delen van de gegevens.
Als online kalenderbedrijf dat een dienst verleent aan beoefenaars van vrije beroepen treedt Doctena in de eerste plaats op als gegevensverwerker. Wij verwerken de gegevens namens de beroepsbeoefenaar, die bepaalt wat er met de gegevens gebeurt (wijziging, verwijdering, overdracht, RGPD-rechten?) en de beroepsbeoefenaar blijft eigenaar van de gegevens. Deze gegevens omvatten het patiëntprofiel, afspraakgegevens en optionele arts/patiënt-notities met betrekking tot afspraken. Dit geldt ook wanneer de behandelaar een synchronisatie met onze diensten opzet met behulp van een gateway-provider.
Voor patiënten met een Doctena-account treedt Doctena alleen op als verantwoordelijke voor de verwerking van accountgegevens (voorkeuren, naam, adres, telefoon, e-mail, adres, beoordelingen, enz.) die er alleen zijn om het beheer van de afspraken van de patiënt via onze online diensten te vergemakkelijken. Bij elke boeking kopiëren wij in wezen de gegevens van de Doctena-account naar het profiel van de patiënt en de afspraak met de arts, van waaruit deze kopie door de arts wordt gecontroleerd. Binnen de Doctena-account regelen we ook een logische koppeling met de doktersafspraken, waardoor we de behandelaars en de afspraken van de patiënt kunnen tonen.
Verschillende informatiestromen
In het onderstaande diagram ziet u de drie manieren waarop persoonsgegevens van de patiënt naar onze systemen kunnen gaan.
Patiënt
De patiënt is de persoon die rechtstreeks of onrechtstreeks via de behandelaar gebruik maakt van de diensten van Doctena om zijn medische afspraak te vinden en te beheren. In termen van de GDPR is de patiënt altijd de betrokkene (de uiteindelijke eigenaar van de persoonsgegevens) en heeft hij altijd het recht te bepalen wat er met zijn of haar gegevens gebeurt, tenzij er wettelijke verplichtingen bestaan (bv. een gerechtelijk bevel, een strafrechtelijk onderzoek, …).
Praktijk
De behandelaar is de natuurlijke of rechtspersoon die Doctena uitbesteedt om een online dagboek aan te bieden en patiëntengegevens te verzamelen. De behandelaar is de eindontvanger van de gegevens van de patiënt (PATIENT FYSICIËN) en bepaalt het doel van de gegevensverwerking en -verzameling. Het is de verantwoordelijkheid van de patiënt om ervoor te zorgen dat de patiëntgegevens veilig en in overeenstemming met de regelgeving worden verwerkt bij het selecteren van onderaannemers zoals Doctena of een aan Doctena verbonden portaalpartner. Dit gebeurt in vertrouwen en door middel van door Doctena verstrekte gegevensverwerkingsovereenkomsten waarin duidelijk wordt omschreven wat Doctena namens de beroepsbeoefenaar met de gegevens mag doen en welk beveiligingsniveau Doctena hanteert om die gegevens te beschermen.
In termen van de GDPR is de behandelaar altijd de gegevensbeheerder (hoofdbeheerder) van de patiënt- en afspraakgegevens (PATIENT PHYSICIAN).
Gateway partner
Er bestaan veel medische softwarepakketten die door medische praktijken intern worden gebruikt. Gateway-partners zijn rechtspersonen (soms dezelfde als de leverancier van de medische software) die gespecialiseerd zijn in het koppelen van bepaalde gegevens uit de medische software aan Doctena-diensten. Voor integraties met Doctena gaat het alleen om de gegevens van de behandelaar (PHYSICIAN-PATIENT). Dit kan gebeuren van de medische software naar Doctena, van Doctena naar de medische software, of in beide richtingen, afhankelijk van de behoeften van de arts. Doctena biedt ook externe plugins zoals kalendersynchronisatoren (bv. Cronofy) die Doctena-kalenders synchroniseren voor Exchange, Gsuite, outlook, … die ook als gateway-partners worden beschouwd.
In termen van RGPD zijn Gateway-partners altijd onderaannemers van de behandelaar. De behandelaar moet een gegevensverwerkingsovereenkomst met de gateway-partner hebben waarin duidelijk wordt bepaald wat er met zijn gegevens kan worden gedaan, voor welk doel en hoe ze worden beveiligd. Gateway-partners worden door Doctena beschouwd als een onderaannemer van de behandelaar die de bevoegdheid heeft gekregen om namens hen op te treden. Daarom is er geen speciale gegevensverwerkingsovereenkomst nodig tussen Doctena en de Gateway Partner, tenzij er sprake is van een bijzondere verwerking van aanvullende persoonsgegevens die een aanvullende regeling vereist.
Doctena
De Doctena-groep verwijst naar Doctena S.A. en haar dochterondernemingen in de verschillende landen:
Doctena SA – 42, Rue de la Vallée, L-2661 Luxembourg (Luxemburg)
Doctena Oostenrijk (voorheen a3L e-solutions) – Simmeringer Hauptstraße 24, A-1110 Wien (Oostenrijk).
Doctena Belgium Sprl – Square de Meeus 37, B-1000 Brussel (België)
Doctena Switzerland GmbH – Hagenholzstrasse 81a, 8050 Zürich (Zwitserland)
Doctena Germany GmbH – Kurfürstendamm 14, 10719 Berlijn (Duitsland)
Doctena Afspraken Sprl – Square de Meeus, B-1000 Brussel (België)
Overeenkomst inzake gegevensverwerking
Doctena voldoet aan de normen van de Verordening en onze Gebruiksvoorwaarden en Privacybeleid beschrijven hoe wij de rechten van onze gebruikers respecteren.
Wij hebben een Data Processing Agreement (DPA) opgesteld die hetzelfde is voor al onze klanten, die u als behandelaar (data controller) kunt ondertekenen met Doctena (data processor) om vast te leggen hoe Doctena uw gegevens mag gebruiken. Krachtens de RGPD moeten beoefenaars van juridische beroepen een dergelijke overeenkomst met al hun verwerkers hebben om aan de verordening te voldoen, en u moet deze toevoegen aan uw eigen RGPD-documentatie. De DPA beschrijft de voorwaarden van de GDPR, de rollen en verplichtingen van gegevensverwerking voor zowel de verwerker als de voor de verwerking verantwoordelijke. Het bevat de meeste informatie die wij in dit artikel beschrijven.
Onderteken uw specifieke gegevensverwerkingsovereenkomst met Doctena
Download de specifieke gegevensverwerkingsovereenkomst met Doctena in PDF-formaat.
Als u een gateway-integratie in ons systeem gebruikt, moet u ervoor zorgen dat u een gegevensverwerkingsovereenkomst met die integrator hebt waarin u de integrator duidelijk de opdracht geeft dat u als gegevensbeheerder de integrator toestaat namens u op te treden met betrekking tot uw Doctena-bronnen.
Behandelingsactiviteiten
Doctena definieert de volgende diensten als onderdeel van de uitbestede verwerkingsactiviteiten die altijd samen moeten worden genomen:
(i) Beheer van de gegevens van patiënten betreffende hun medische afspraken en follow-updiensten
(ii) Beheer van de agenda van de arts
(iii) Beheer van IT-infrastructuur, software, onderhoud en administratie met betrekking tot de diensten die onder de Hoofdovereenkomst vallen.
De aard van de bewerkingen die op de gegevens worden uitgevoerd ten behoeve van de punten (i), (ii) en (iii) is als volgt:
Verzamelen, opslaan en wijzigen van persoonlijke patiënteninformatie die de arts nodig heeft om de afspraak te regelen
Het opzoeken van de rekening van de patiënt uit een van zijn opgeslagen persoonsgegevens
Communicatie met de betrokkene over zijn/haar afspraak via het e-mailadres of (mobiele) telefoonnummer
Invoer van gegevens in Doctena-diensten aan de hand van gestructureerde gegevens die door de arts worden doorgegeven (bv. Onboarding)
Automatische gegevensback-up
De categorie van de betrokkenen is: Patiënten.
Om de in de punten (i), (ii) en (iii) De verwerker is gemachtigd om namens de verantwoordelijke voor de verwerking de volgende categorieën noodzakelijke persoonsgegevens te verwerken, afhankelijk van de door de verantwoordelijke voor de verwerking en/of de betrokkene verstrekte gegevens:
Persoonlijke identificatiegegevens: naam, titel, e-mailadres, adres (privé en zakelijk), vroegere adressen, telefoonnummer (mobiel) (privé en zakelijk), door de verantwoordelijke voor de verwerking toegekende identificatiegegevens.
Persoonlijke gegevens: leeftijd, geslacht, geboortedatum, geboorteplaats, registratiekantoor en nationaliteit.
Elektronische identificatiegegevens: IP-adressen, cookies, verbindingstijden, elektronische handtekening
Zorggegevens: gegevens over de middelen en procedures die zijn gebruikt voor de medische en paramedische zorg voor patiënten (bv. aantekeningen van artsen/patiënten, reden voor bezoek).
Informatie over andere gezinsleden of leden van het huishouden: kinderen, personen ten laste, andere leden van het huishouden, informatie over ouders en familieleden
Pseudonimisering: controles ter bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens (bv. gehasht wachtwoord)
(alleen als de optie is geactiveerd) Identificatiegegevens: afgegeven door overheidsdiensten, bv. nationaal identificatienummer, socialezekerheidsnummer, identiteitskaartnummer, paspoort
Toestemming van de patiënt
Bij alle afspraken die via onze website of via widgets die u in uw eigen website integreert, wordt de patiënt geïnformeerd over het privacybeleid en het feit dat Doctena medische gegevens verwerkt in opdracht van de behandelaar. Onze diensten verzamelen en bewaren deze toestemming en vergemakkelijken dit proces namens de behandelaar. De behandelaar is verantwoordelijk voor het beheer van deze toestemming wanneer de afspraak niet online wordt geboekt en wanneer deze via een gateway-provider in onze systemen wordt ingevoerd.
De onderaannemers van Doctena
Wanneer wij met externe partners of onderaannemers werken, eisen wij dat zij ten minste dezelfde veiligheidsnormen toepassen als wij. Wij willen in onze productie- en bedrijfsketens geen zwakke schakels hebben op het gebied van veiligheid. Doctena publiceert een lijst van zijn eigen onderaannemers (cloud, sms, messaging…) als onderdeel van zijn contract voor gegevensverwerking. Deze onderaannemers werden geselecteerd op basis van hun naleving van de veiligheids- en vertrouwelijkheidsregels. Met elk van deze verwerkers houden wij onze eigen gegevensverwerkingscontracten aan, waarin wij het doel van de verwerking vastleggen en ten minste hetzelfde niveau van beveiliging en vertrouwelijkheid toepassen als in het hoofdcontract voor gegevensverwerking aan de beoefenaars is beloofd. De onderaannemers van Doctena zien af van de verwerking of overdracht van gegevens naar een derde land (landen buiten de EU/EER, tenzij zij beschikken over een geldig adequaatheidsbesluit van de Europese Commissie inzake de bescherming van persoonsgegevens). Elke wijziging van Doctena’s gegevensbeheerder (verwerker) wordt meegedeeld aan alle gegevensbeheerders (verwerkers), die 14 dagen de tijd hebben om bezwaar te maken tegen de wijziging voordat deze wordt doorgevoerd.
Bewaring van gegevens
Vanwege de wettelijke verplichtingen om medische gegevens te bewaren in de verschillende landen waar Doctena actief is, hebben we besloten dat alle gegevens 10 jaar worden bewaard en daarna automatisch worden geanonimiseerd. De gegevens kunnen ook te allen tijde worden geanonimiseerd door de behandelaar die het online dagboek gebruikt.
Rechten van de betrokkenen
Om het voor patiënten en behandelaars gemakkelijker te maken veelgestelde vragen over de GDPR te beantwoorden en hen in staat te stellen hun rechten uit te oefenen, hebben wij ons eigen Doctena Privacy Centre opgezet. Ons privacycentrum zal u enkele vragen stellen om u te helpen snel de informatie te vinden die u zoekt.
Open het Doctena Privacycentrum
Wanneer wij verzoeken ontvangen om RGPD rechten af te dwingen (recht op rectificatie, recht op verwijdering, …), worden deze verzoeken intern verwerkt en gevalideerd door de Information Security Manager (ISSM) of een speciaal opgeleide support manager. Als de aanvraag geldig is, kunnen er twee soorten acties plaatsvinden, afhankelijk van het type.
Voor verzoeken betreffende MEDICIJN-PATRONEN wordt het verzoek altijd doorgestuurd naar de verantwoordelijke voor de verwerking (behandelaar). Doctena zal het verzoek slechts uitvoeren indien deze laatste uitdrukkelijk met de actie instemt.
Voor verzoeken in verband met de DOCTENA-rekening wordt het verzoek zonder tussenkomst van de behandelaar uitgevoerd.
Wij beloven in ons privacybeleid dat een dergelijk verzoek binnen een maand wordt uitgevoerd, zodat beide partijen voldoende tijd hebben om te reageren. Elk belangrijk beveiligingsincident of verzoek wordt persoonlijk gerapporteerd en opgevolgd door onze CISO, zodat onmiddellijk kan worden gereageerd of actie kan worden ondernomen.
Meldingen
Doctena informeert de verantwoordelijke voor de verwerking (behandelaar) per e-mail over elke inbreuk op de persoonsgegevens, uiterlijk 48 uur nadat hij er kennis van heeft genomen. De kennisgeving zal samen met alle nodige documentatie worden toegezonden, zodat de voor de verwerking verantwoordelijke (behandelaar) in voorkomend geval de inbreuk aan de bevoegde toezichthoudende autoriteit kan melden.
Locatie van gegevensverwerking en -opslag
De serverinfrastructuur van Doctena wordt gehost op Amazon Web Services en gebruikt alleen datacenters in de omgeving van Frankfurt (eu-central-1) om ervoor te zorgen dat de gegevens de EU nooit verlaten. Amazon Web Services is volledig in overeenstemming met de GDPR, waarover u meer informatie kunt krijgen via onderstaande link.
https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/
Waarom een externe functionaris voor gegevensbescherming?
Wij hadden kunnen kiezen voor een interne DPO, maar omdat wij zeer transparant willen zijn tegenover patiënten, behandelaars en autoriteiten, hebben wij ervoor gekozen deze rol toe te vertrouwen aan een onpartijdig extern bedrijf dat gespecialiseerd is in gegevensbescherming en ontwikkelingen op het gebied van regelgeving. Dit bedrijf treedt op als tussenpersoon tussen de betrokken personen (de patiënten) en Doctena om de goede uitvoering van de rechten van de patiënt te garanderen. In geval van niet-naleving door Doctena is de DPO verplicht de bevoegde autoriteiten in te lichten. Dit vereist dat we op de hoogte blijven van de vereisten en hun jaarlijkse audits en onze regelmatige bijeenkomsten helpen Doctena om aan de eisen te blijven voldoen.
Kemal Webersohn, LL.M
WS Datenschutz GmbH
Meinekestraße 13
10719 Berlijn (Duitsland)
Fax: +49 30 88 72 07 88
Website: www.ws-datenschutz.de
E-mail :
RGPD certificaten
Duitsland: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Germany.pdf
Oostenrijk: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Austria.pdf
België: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Belgium.pdf
Luxemburg: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Luxembourg.pdf
Zwitserland: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Switzerland.pdf
Als u vragen heeft over de GDPR en uw gebruik van Doctena, stuur ons dan een e-mail.
Dit artikel dient uitsluitend ter informatie en mag niet worden beschouwd als juridisch advies.
Links
Door Doctena uitgevoerde beveiligingsmaatregelen: https: //www.doctena.com/securité