Stichting Audicienregister StAr IV.1 Privacyregels (referentie-eis) Essentialia Wbp - beknopte weergave Gedrukte versies van dit handboek worden door StAr op beperkte schaal in omloop gebracht. Het handboek bestaat uit afzonderlijke documenten die alle door StAr voor iedereen, beschikbaar worden gesteld op haar website, www.audicienregister.nl. Het auteursrecht op deze documenten berust bij de Stichting Audicienregister. StAr hanteert voor het gebruik ervan de zogenaamde fair use policy. Raadpleeg voor de meest actuele versie steeds de website. De Stichting Audicienregister - StAr - wil haar registratie- en erkenningensysteem en alle daarbij horende documenten met de grootst mogelijke zorgvuldigheid vaststellen, actueel houden en uitvoeren. Daarbij komt het voor dat StAr bestaande wet- en regelgeving citeert en interpreteert. Toch blijven beroepsbeoefenaren en organisaties er zelf voor verantwoordelijk dat zij zich houden aan de wetten en regels die op hun activiteiten van toepassing zijn. StAr aanvaardt geen aansprakelijkheid voor mogelijke schade van haar contractanten en van derden als gevolg van de vaststelling en uitvoering van haar registratie- en erkenningensysteem en / of door of namens Star op basis daarvan uitgevoerde beoordelingen en genomen registratie-, erkenningen- of accreditatiebesluiten. StAr vraagt van haar contractanten haar te vrijwaren tegen mogelijke aanspraken van derden. 12 juni 2014 IV.1 PRIVACYREGELS Specificatie van: Bron: III.2.:3.4. Analogie en uitwerking van 7:454 BW Audiciens en de organisaties waarin ze werkzaam zijn ‘verwerken persoonsgegevens’ in de zin van de Wet Bescherming Persoonsgegevens (Wbp,2001). Hieronder zijn de belangrijkste verplichtingen die uit deze wet voortvloeien voor audiciens en voor de organisaties waarin ze werkzaam zijn weergegeven in ‘vuistregels’: 1. Voor een goede uitvoering van de verplichtingen die voortvloeien uit de Wbp is in de eerste plaats ‘de verantwoordelijke’ aansprakelijk. Dit is de persoon of de organisatie die formeel-juridisch bevoegd is om te bepalen dat persoonsgegevens worden verwerkt en met welk doel dit gebeurt. In een eenmanszaak is dit doorgaans de eigenaar. In andere gevallen is dat ‘de organisatie’. 2. De gegevensverwerking moet behoorlijk, zorgvuldig en in overeenstemming met de wet zijn. 3. Audiciens en de organisaties waarin ze werkzaam zijn hoeven het verwerken van persoonsgegevens niet te melden aan het College Bescherming Persoonsgegevens, mits aan onderstaande voorwaarden wordt voldaan. 4. Vastgelegd en verwerkt worden uitsluitend persoonsgegevens die noodzakelijk zijn voor de zorgverlening aan de klant en voor een behoorlijke bedrijfsvoering. 5. De verantwoordelijke en ieder die onder diens gezag handelt is verplicht tot geheimhouding van de persoonsgegevens waarvan hij of zij kennis draagt. 6. De klantgegevens mogen binnen de organisatie slechts toegankelijk zijn voor: a. degene die rechtstreeks betrokken is bij de uitvoering van de zorgverlening aan de klant (voor zover de klantgegevens voor hem of haar noodzakelijk zijn), b. diens vervanger voor zover de klantgegevens voor hem of haar noodzakelijk zijn), c. anderen die belast zijn met het verlenen van diensten aan de klant, voor zover toegang tot klantgegevens daarvoor noodzakelijk is en geen medische gegevens bevat. 7. Voor zorgverzekeraars dienen klantgegevens toegankelijk te zijn in het kader van de wettelijke verplichting van de zorgverzekeraar tot het uitvoeren van een zogenaamde ‘materiële controle’, maar alleen: a. indien en voor zover dat noodzakelijk is voor het bereiken van het wettelijke doel (‘noodzakelijkheid’), b. en niet op een andere manier kan dan door het verstrekken van klantgegevens (‘subsidiariteit’) c. en onder de voorwaarde dat het ingezette middel niet vervangen kan worden door een middel dat de privacy van de klant (en de dienstverlener) minder belast (‘proportionaliteit’). 8. De klantgegevens mogen voor ‘derden’ slecht toegankelijk zijn, indien en voor zover dat noodzakelijk is: a. in gevallen van ‘verwijzing’ of ‘het inwinnen van een ‘expert opinion’ (in deze gevallen wordt de klant geacht akkoord te gaan met de uitwisseling van noodzakelijke gegevens, indien hij of zij met de verwijzing en / of de consultatie akkoord is), © Stichting Audicienregister – StAr documentnummer: IV.1 auteur: pava IV.1 Handboekversie: 2.1 | juni 2014 documentversie: 1 | juni 2014 Privacyregels 2 (van 3) b. tot het uitvoeren van een overeenkomst tot het innen van vorderingen voor zover toegang tot de klantgegevens daarvoor noodzakelijk is en geen medische gegevens bevat (hierbij moet worden gedacht aan ‘factoring’ en ‘externe incasso’), c. in het kader van de uitvoering van een overeenkomst tussen de klant en diens verzekeraar (denk hierbij aan het in de audicienpraktijk zelden voorkomende geval van de beoordeling van een letselschade), d. in het kader van de beoordeling van het door de verzekeraar te verzekeren risico (denk hierbij aan het al even zelden bij audiciens voorkomende geval van het afsluiten van een schadeverzekering voor gehoorschade – bijvoorbeeld bij musici) en dit alleen indien de betrokkene geen bezwaar heeft gemaakt, e. voor het uitvoeren van een (accountants)controle of (kwaliteits)beoordeling. 9. Van de klantgegevens mag gebruik worden gemaakt om marketingredenen: a. In dat geval moet aan de klant expliciet wordt medegedeeld dat deze hiertegen verzet kan aantekenen, b. indien de klant verzet aantekent moet de verantwoordelijke de marketingactiviteit jegens de protesterende klant direct stopzetten en binnen vier weken aan de betrokken klant laten weten hoe de verantwoordelijke erin voorziet dat de klant in de toekomst van direct marketing door de verantwoordelijke verschoond blijft. 10. Klantgegevens mogen aan derden beschikbaar worden gesteld of toegankelijk worden gemaakt ten behoeve van statistiek of voor wetenschappelijk onderzoek: a. mits de klant hiervoor expliciet toestemming heeft gegeven, b. zonder die expliciete toestemming van de klant alleen, indien:  het vragen van toestemming in redelijkheid niet mogelijk is, of gezien de aard van het onderzoek in redelijkheid niet kan worden gevergd  en:  het onderzoek een algemeen belang dient,  het onderzoek niet zonder die gegevens kan worden uitgevoerd,  de betrokken klant tegen de verstrekking van gegevens geen bezwaar heeft gemaakt. 11. Degene van die wie de persoonsgegevens worden verwerkt heeft recht op: a. informatie door de verantwoordelijke over hetgeen er met de gegevens gebeurt, b. inzage in de gegevens, c. een afschrift van de gegevens, d. correctie en / of aanvulling van feitelijk onjuiste of onvolledige gegevens, e. vernietiging van gegevens. © Stichting Audicienregister – StAr documentnummer: IV.1 auteur: pava IV.1 Handboekversie: 2.1 | juni 2014 documentversie: 1 | juni 2014 Privacyregels 3 (van 3)