1. Algemene overwegingen

EGES, dyslexiezorg hecht veel waarde aan de bescherming van de persoonsgegevens. In dit document willen we u op transparante wijze informeren over de manier waarop binnen onze organisatie wordt omgegaan met persoonsgegevens en op welke wijze de bescherming van persoonsgegevens wordt gewaarborgd.

EGES,dyslexiezorg handelt ten aanzien van de verwerking van persoonsgegevens conform de betreffende wet- en regelgeving, waaronder de Algemene Verordening gegevensbescherming (AVG). Dat betekent in ieder geval dat wij:

• Persoonsgegevens verwerken conform het doel waarvoor ze zijn verstrekt. Deze doelen worden in dit document onder punt 2 genoemd.
• Alleen die persoonsgegevens  verwerken die noodzakelijk zijn voor de doeleinden waarvoor ze zijn  verstrekt.
• Passende (technische en/of organisatorische) maatregelen hebben genomen om de beveiliging van de persoonsgegevens te waarborgen (zie punt 6 van deze verklaring).
• Geen persoonsgegevens doorgeven aan andere partijen, tenzij dit noodzakelijk is voor de uitvoering van de doeleinden waarvoor ze zijn verstrekt, dan wel voortvloeit uit een wettelijke verplichting.
• Op de hoogte zijn van de rechten van de cliënten en ouders omtrent persoonsgegevens, deze rechten respecteren en de betrokkenen hierover informeren.

Eges, dyslexiezorg is verantwoordelijk voor de verwerking van persoonsgegevens van de cliënten, hun ouders, leerkrachten en begeleiders.

De directiesecretaresse is belast met het privacybeleid en is voor alle betrokkenen de contactpersoon in geval van vragen en/of verzoeken rondom persoonsgegevens.

2. Doeleinden en bijzondere persoonsgegevens

EGES, dyslexiezorg verwerkt (bijzondere) persoonsgegevens voor de volgende doeleinden:

• Het aangaan van een overeenkomst met de ouders aangaande het uitvoeren van onderzoek en/of behandeling op het gebied van leerproblemen in het algemeen en dyslexie in het bijzonder.
• Declaratie bij gemeentelijke jeugdzorg of verzekering en facturatie.
• Onderhouden van contact middels telefoon, e-mail of andere media.
• Het versturen van nieuwsbrieven en uitnodigingen voor bijeenkomsten aan de ouders, leerkrachten en ander betrokkenen.
• Gegevens verzamelen over vorderingen en behandelingen, noodzakelijk voor inhoudelijke evaluatie, rapportage en verantwoording. Deze worden overigens anoniem verstrekt aan de daarvoor aangewezen instellingen als Centraal Bureau voor de Statistiek (CBS), DIS en de landelijke kwaliteitsinstelling voor dyslexiezorg (NKD).
• I.v.m. de te leveren zorg op maat en de verantwoording hierover moet de organisatie over de volgende gegevens beschikken:

Algemene gegevens:
– NAW-gegevens, telefoonnummers, e-mailadressen
– geslacht, geboortedatum, burgerlijke staat van de cliënten

de bijzondere persoonsgegevens van de cliënten zijn:
– BSN-nummer
– anamnese, gezondheidsgegevens en medicijngebruik
– gezinssamenstelling en leerproblemen in de familie

verder ook 
– de leervorderingen en andere schoolgegevens
– uitslagen en scores van testen en capaciteit (IQ)

De bijzondere persoonsgegevens zijn meer gevoelig, maar zonder deze gegevens kan het begeleidings- en advieswerk niet worden uitgevoerd.

In de overeenkomst met de ouders wordt daarom overeengekomen welke gegevens noodzakelijk zijn voor het uitvoeren van de opdracht. Zo zijn BSN-nummer en controle op persoonsgevens wettelijk verplicht en zijn de andere persoonlijke gegevens noodzakelijk voor diagnostiek en behandeling.

Foto- en filmmaterialen

Tijdens onderzoek en behandeling kunnen audio-, foto- en/of video-opnamen worden gemaakt door de medewerker t.b.v. analyse, observatie of andere inhoudelijke doelen. Deze opnamen worden alleen gemaakt wanneer de ouders hiermee hebben ingestemd middels een speciale mediaverklaring.

Wanneer er voor voorlichting- of promotiedoeleinden foto of filmbeelden worden gebruikt wordt altijd vooraf schriftelijke toestemming gevraagd aan betrokkenen en/of de ouders. Hierbij wordt altijd aangegeven welk doel deze hebben en op welke media zij zullen worden getoond.

Persoonsgegevens van minderjarigen

De meeste cliënten van EGES zijn minderjarig en onder de 16 jaar. Cliënten vanaf 16 jaar zullen eveneens kennis moeten hebben van deze verklaring. Wanneer deze niet door de 16-jarige of oudere cliënt wordt geaccepteerd kan de opdracht dus niet worden uitgevoerd.

3. Verstrekking persoonsgegevens aan andere partijen

Alleen indien dit noodzakelijk of wettelijk verplicht is worden gegevens aan andere partijen verstrekt.

Dat kan zijn:

• Gemeentelijke jeugdzorg
• Van de betreffende school; de IB-er en betrokken leerkrachten
• (helpdesk-) medewerkers van softwareleverancier van het ‘EPD-programma (elektronisch patiënten dossier)

Anonieme gegevens worden (verplicht) verstrekt aan:

• Centraal Bureau voor de Statistiek (CBS)
• DIS (Dbc-informatiesysteem)
• Nederlands kwaliteitsinstelling voor dyslexiezorg (NKD)

Met de betreffende instellingen zijn afspraken gemaakt om de privacy te waarborgen. Vertrouwelijke gegevens worden nooit via de e-mail verstuurd vanuit onze organisatie. Verslagen en contracten worden op papier met ouders en scholen gedeeld. Als ouders hierom vragen kunnen vertrouwelijke bestanden elektronisch worden gedeeld via het patiëntenportaal van het (beveiligde) elektronisch patiënten dossier (EPD). Ketenpartners (zoals scholen) sturen EGES informatie via de e-mail met een extra beveiliging in de vorm van een code.

EGES, dyslexiezorg zal verder geen gegevens verstrekken aan andere partijen, tenzij hiertoe wettelijke verplicht. Ook worden geen gegevens aan partijen buiten de EU verstrekt.

EGES, dyslexiezorg verwerkt alleen gegevens van personen die hiervoor toestemming hebben verleend nadat ze op de hoogte zijn gesteld van het privacybeleid van EGES, dyslexiezorg.

Nederlandse Databank Dyslexie

Om uw kind de juiste en beste zorg te geven, werken wij mee aan de verbetering van de kwaliteit van die zorg.  Hiervoor werken wij samen met het Nederlands Kwaliteitsinstituut Dyslexie (NKD). 

Het NKD heeft de Nederlandse Databank Dyslexie (NDD) ingericht waar wij een aantal gegevens over de diagnostiek en behandeling van uw kind geanonimiseerd aanleveren. Het gaat alleen om gegevens die nodig zijn voor de kwaliteitsverbetering en landelijke of regionale vergelijkingen van die kwaliteit. De gegevens kunnen ook voor wetenschappelijk onderzoek worden gebruikt. Uw privacy en die van uw kind staan daarbij voorop. Namen en adressen komen in de databank niet voor. Anderen (zoals het NKD, de school of andere praktijken) krijgen geen inzage in deze gegevens, tenzij u uitdrukkelijk toestemming heeft verleend of als een overheidsinstantie dit op grond van een wettelijk voorschrift zou verplichten. 

De Nederlandse Databank Dyslexie is een beveiligde databank die wordt beheerd door de CED- Toetsgroep. De onderzoekers van de CED-Toetsgroep verwerken de gegevens in de databank. De resultaten zijn volstrekt anoniem en kunnen daarom nooit tot onze cliënten worden herleid. 

U kunt ons altijd melden dat u toch niet wilt dat de gegevens over de dyslexiezorg in de Nederlandse Databank Dyslexie worden opgenomen. Dan gebeurt dat niet.

U kunt bij ons ook altijd vragen welke gegevens hiervoor zijn opgenomen. Dan krijgt u van ons een uitdraai van uw kind. U kunt dat niet bij het NKD vragen. Vanwege de beveiliging heeft het NKD immers geen toegang tot de gegevens.  

De gegevens in de Nederlandse Databank Dyslexie worden maximaal zeven jaar bewaard.

4. Bewaartermijn

EGES, dyslexiezorg bewaart alle vertrouwelijke documenten in het elektronische patiënten dossier (EPD) en op een beveiligde servercomputer. De papieren patiëntendossiers worden bewaard in een beveiligde dossierkast gedurende de tijd dat cliënt onder behandeling is van EGES. Daarna worden de dossiers opgeschoond en vijf jaar in de eigen kluis opgeslagen. De elektronische dossiers worden na 20 jaar gewist, tenzij de betrokkene daar eerder schriftelijk om verzoekt.

5. Beveiliging van persoonsgegevens

EGES, dyslexiezorg heeft de volgende passende technische en organisatorische maatregelen genomen om uw persoonsgegevens de beschermen tegen onrechtmatige verwerking of verlies:

• EGES verzamelt gegevens in papieren en elektronische dossiers.
• De papieren dossiers zijn veilig opgeborgen in de afgesloten achterste kluis van ons hoofdkantoor in een voormalige bankgebouw. 
• Papieren dossiers die in gebruik zijn bij medewerkers worden na gebruik veilig opgeborgen in een afgesloten stalen kast of in een afgesloten dossierkoffer.
• EGES werkt met het softwaresysteem ‘Incura-EPD’ voor het elektronische patiëntendossier waarin alle gegevens en bestanden worden bewaard.
• Deze software wordt alleen gebruikt door de medewerkers van EGES, dyslexiezorg die met de zorg of administratieve taken zijn belast. Medewerkers zorgen er voor dat er geen andere personen meekijken in dit systeem.
• Voor het gebruik van deze software moet met gebruikersnaam en codes worden ingelogd, nadat daarvoor al op de computer of tablet veilig is ingelogd.
• Inloggen kan in principe vanaf elke locatie, bij de medewerkers thuis of op de werkplek.
• De tablet van elke medewerker is beveiligd met unieke gebruikersnaam en wachtwoord.
• De wachtwoorden mogen niet bij anderen bekend zijn noch worden opgeslagen in de ID-gegevens.
• Elke cliënt heeft een geanonimiseerde code, die wordt vermeld op en in het papieren dossier. Deze code bestaat uit de voornaam, eerst letter van de achternaam en de code van Incura-EPD.
• Uitwisseling van gegevens tussen medewerkers of andere instanties over cliënten gebeurt altijd via veilige verbindingen, zorgmail of anoniem.
• Uitwisseling van gegevens tussen ouders en onze organisatie kan plaatsvinden op ‘openbare’ mailservers, zonder extra beveiliging. Dat geldt in principe ook voor het versturen van gegevens door ouders over de post.
• EGES hanteert een ‘clean desk’ en ‘clean screen’ policy. Dossiers worden direct opgeborgen in veilige afgesloten kast of koffer.
• Aanmeldingen en inschrijvingen worden na ontvangst opgeborgen in de kluis of afgesloten bureaulade van de secretaresse.
• Het ‘telefoonlogboek’ waarin  dagelijkse gegevens worden genoteerd van telefoongesprekken wordt na kantoortijd opgeborgen in de kluis of afgesloten bureaulade van de secretaresse.
• De administratieruimte is ook tijdens kantoortijd afgesloten en/of niet toegankelijk voor niet-medewerkers.
• Na kantoortijd worden alle documenten met persoonlijke gegevens opgeborgen in de kluis.
• De externe harde back-up schijf is altijd veilig opgeborgen in de kluis.
• Het systeem van de mobiele telefoons voorziet in een database met de telefoongegevens van alle cliënten. De namen zijn hierin vervangen door een de cliëntcode van het EPD-systeem Incura.

6. Melden van datalekken

Als er persoonsgegevens kwijt zijn geraakt, gestolen zijn of als er vertrouwelijke gegevens op een andere manier gelekt zijn, wordt er actie ondernomen. Ten eerste wordt door EGES onderzocht welke personen (mogelijk) toegang hebben (gehad) tot welke persoonsgegevens. Maatregelen die het lek kunnen stoppen worden direct genomen om schade te beperken. Tegelijkertijd wordt het risico ingeschat dat het datalek mogelijk oplevert. Vervolgens wordt onderzocht of het datalek gemeld moet worden bij Autoriteit Persoonsgegevens. Als dit inderdaad het geval is, wordt dit binnen 72 uur door EGES gedaan. Als het lek een hoog risico is voor de rechten en de vrijheden van de betrokken personen, wordt het lek zo snel mogelijk gemeld aan deze personen. Tenslotte wordt het lek (ook als dit niet doorgegeven hoeft te worden aan Autoriteit Persoonsgegevens) geregistreerd in het datalekregister van EGES (template van SoftwareZaken, www.softwarezaken.nl).

7. Meldcode Huiselijk geweld en kindermishandeling

Jeugdinstellingen zijn verplicht te melden wanneer er een vermoeden is van huiselijk geweld of kindermishandeling. Per 1 januari 2019 is de meldcode veranderd. Het is een professionele norm geworden om melding te doen bij Veilig Thuis als er vermoedens zijn van acute en structurele onveiligheid. EGES volgt hierin het afwegingskader voor pedagogen en psychologen. Alle behandelaars en diagnostici van EGES zijn op de hoogte van dit afwegingskader en passen deze toe bij een vermoeden van huiselijk geweld en/of kindermishandeling. Dit afwegingskader bestaat uit vijf stappen. Namelijk: 

Stap 1 Signalen in kaart brengen 

Stap 2 Overleggen met collega en eventueel Veilig Thuis 

Stap 3 Gesprek met cliënt 

Stap 4 Wegen van huiselijk geweld of kindermishandeling 

Stap 5 Beslissen

8. Rechten

Cliënten, ouders of wettelijke vertegenwoordigers van de cliënten van EGES hebben in het kader van de privacy de volgende rechten:

1. Inzagerecht: Ze hebben altijd het recht van inzage in het dossier.
2. Rectificatierecht: Ze hebben het recht de gegevens te laten wijzigen wanneer deze niet kloppen.
3. Overdrachtrecht: Ze hebben het recht de gegevens te laten overdragen naar een andere instantie bij wisseling van zorginstelling.
4. Stoprecht: Ze hebben het recht de gegevensstroom te laten stoppen. In dat geval zal automatisch ook de zorg moeten stoppen.
5. Klachtenrecht: Ze hebben het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Wanneer men gebruik wil maken van de eerste vier hierboven genoemde rechten dient men hiervoor een schriftelijk verzoek in te dienen bij de privacybeleidsmedewerker van EGES. Dit verzoek kan ook per e-mail worden verzonden via privacy@eges.nl. Daarna zal een legitimatiecontrole kunnen plaatsvinden om de juistheid van het verzoek te kunnen vaststellen, alvorens aan het verzoek te kunnen voldoen.