Vraag & Antwoord: hoe borgen wij uw privacy?

Al uw algemene persoonsgegevens (naam, adres, woonplaats, geboortedatum e.d.) en uw bijzondere persoonsgegevens (medische gegevens, het Burgerservicenummer (BSN), verzekeringsnummer e.d.) worden beschermd conform de huidige wet- en regelgeving en zijn vastgelegd in ons Elektronisch Patiënten Dossier (EPD).

Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent concreet dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is, bijvoorbeeld NAW-gegevens, BSN en verzekeringsnummer.

Beveiligde manieren om gegevens uit te wisselen is face-to-face of via het online patiëntportaal Mijn Antonius. Telefonisch gegevens uitwisselen kan ook; in dit geval zal de zorgverlener controlevragen stellen zodat deze zeker weet de juiste persoon aan de telefoon te hebben.

Aangezien u voor een behandeling of onderzoek naar het ziekenhuis bent gekomen, mag uw zorgverlener ervan uitgaan dat u instemt met het gebruik van uw persoonsgegevens en de uitwisseling daarvan met zorgverleners/medewerkers in het ziekenhuis die bij uw behandeling betrokken zijn. In situaties waarbij uw gegevens voor een ander doel dan uw behandeling worden gebruikt, moet de zorgverlener altijd vooraf uw toestemming vragen. Een mondelinge toestemming volstaat. Dit noteren wij in uw Elektronisch Patiënten Dossier (EPD).

U moet altijd toestemming geven om uw patiëntgegevens te delen met externe zorgverleners, zoals huisartsen of andere ziekenhuizen. Ook dit noteren wij in uw dossier.

U kunt bezwaar maken tegen uitwisseling van uw persoonsgegevens door dit met uw zorgverlener te bespreken of schriftelijk kenbaar te maken. Deze informatie wordt dan opgenomen in uw dossier.

Voor zorgverleners zoals artsen, verpleegkundigen en psychotherapeuten geldt het wettelijk geregeld medisch beroepsgeheim. De medewerkers van het ziekenhuis zijn via hun arbeidscontract aan een geheimhoudingsplicht gebonden. Zij mogen dus niet zonder uw toestemming uw persoons- of medische gegevens met anderen delen die niet bij het zorgproces betrokken zijn.

Uw zorgverlener mag informatie delen met degenen die rechtstreeks betrokken zijn bij uw behandeling en met hun waarnemers of vervangers. Dit kunnen zowel zorgverleners zijn als secretaresses of financieel medewerkers. Maar uw gegevens mogen alleen worden gedeeld voor zover dit noodzakelijk is voor hun werkzaamheden.

Het St. Antonius Ziekenhuis is verantwoordelijk voor de toegang tot uw medisch dossier.

Alleen zorgverleners en medewerkers die betrokken zijn bij uw zorgproces hebben toegang tot uw medisch dossier. Dit is geregeld in ons Elektronisch Patiënten Dossier (EPD). Alleen medewerkers die getraind, bevoegd en geautoriseerd zijn om te werken in het EPD, kunnen informatie inzien en/of aanpassen in het EPD als zij betrokken zijn bij uw zorgproces.

Zo kunnen verpleegkundigen en poli-assistenten alleen gegevens inzien van patiënten die op hun poli/verpleegafdeling komen. Artsen kunnen de medische gegevens van alle patiënten van het St. Antonius inzien. Andere medewerkers, bijvoorbeeld medewerkers van de schoonmaak of communicatie, hebben geen toegang tot het EPD.

Ouders en wettelijk vertegenwoordigers van kinderen tot 12 jaar hebben recht op inzage in het dossier van hun kind. Kinderen tussen de 12 en 16 jaar moeten persoonlijk instemmen met het opvragen van hun dossier door hun ouders.

U heeft altijd het recht op inzage. Dat is uw recht om uw persoonsgegevens in te zien die door ons worden verwerkt in het EPD. Als patiënt heeft u onverkort recht op inzage en afschrift van uw gehele dossier. Het ziekenhuis geeft u het dossier dan in PDF of digitaal zodat het dossier op eenvoudige wijze uitgelezen kan worden door andere systemen. Hier kunt u uw medisch dossier opvragen.

Verder heeft u het recht:

• om bezwaar te maken tegen de gegevensverwerking.
• op vergetelheid: Het recht om ‘vergeten’ te worden. Dit betekent concreet dat uw gegevens definitief verwijderd moeten worden wanneer u dit wenst.
• op dataportabiliteit: het recht om uw persoonsgegevens over te dragen aan anderen
• op rectificatie en aanvulling: het recht om de persoonsgegevens die wij van u verwerken te wijzigen of aan te vullen.
• op beperking van de verwerking: u heeft het recht om minder gegevens te laten verwerken.

U leest meer hierover op de website van de Autoriteit Persoonsgegevens.

Nabestaanden hebben alleen recht op een kopie van het medisch dossier van een overledene als:

• Er zwaarwegende redenen zijn (bijvoorbeeld bij erfelijke ziekte in de familie) en/of aangenomen kan worden dat het overleden familielid geen bezwaar zou hebben gehad.
• Het dossier van een overledene wordt 15 jaar bewaard of zoveel langer als wenselijk is volgens de arts.

Ja, u mag het gesprek opnemen. Wij vragen u wel om dit vooraf kenbaar te maken bij uw zorgverlener. De geluidsopnamen mag u alleen gebruiken in huiselijke kring (niet delen via internet of social media). Voor beeldopnamen geven wij in principe geen toestemming.

Ja, de zorgverlener mag medische gegevens telefonisch doorgeven mits de zorgverlener 100% zeker is van uw identiteit. De zorgverlener zal daartoe controlevragen stellen. Zie verder de volgende vraag.

Het is lastig om 100% zeker te zijn of we de juiste persoon aan de telefoon hebben. Om risico’s zoveel mogelijk uit te sluiten stellen medewerkers van het ziekenhuis een aantal controlevragen (bijvoorbeeld geboortedatum, adres en telefoonnummer).  Als iemand anders belt, bijv. een familielid, contactpersoon, huisarts of ander ziekenhuis, controleren wij in het EPD de gegevens van de persoon die belt, overeenkomen met de gegevens die de patiënt aan heeft doorgegeven. Alleen als de gegevens overeenkomen, delen we deze.

Wij kunnen op diverse manieren uw patiëntgegevens controleren, bijvoorbeeld: 

• na het ontvangen van een verzoek via e-mail vragen wij u om een bevestiging per sms. Dit mobiele nummer moet dan kloppen met de patiëntgegevens uit onze administratie.
• Wij vragen u per e-mail om een bevestiging van het telefonische verzoek. Dit e-mailadres moet dan kloppen met de patiëntgegevens uit onze administratie.
• Wij vragen u om de laatste 3 cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle.

Verpleegkundigen en poli-assistenten kunnen alleen gegevens inzien van patiënten die op hun poli/verpleegafdeling komen. Artsen kunnen de medische gegevens van alle patiënten van het St. Antonius inzien. De rechten binnen het EPD zijn dus afhankelijk van de rol van de zorgverlener; er zijn diverse criteria die bepalen of een medewerker wel of niet toegang heeft tot het dossier van de patiënt.

Indien toegang niet is toegestaan aan de hand van deze criteria, dan kan de medewerker alsnog het dossier bekijken door middel van ‘’Break-The-Glass’’. Er komt een pop-upvenster dat aanduidt dat toegang geweigerd is; de gebruiker moet dan een reden opgeven waarom inzage alsnog nodig is (onderzoek, acute hulp, etc.). Deze handelingen van de ‘’Break-The-Glass-gebruiker’’ worden vastgelegd en automatisch gerapporteerd aan de functionaris Gegevensbescherming van het ziekenhuis.

Medewerkers die niet bevoegd en geautoriseerd zijn om het werken met het EPD (medewerkers van de schoonmaak, techniek, communicatie etc.) kunnen niet in uw dossier komen.

Ja, dat is toegestaan wanneer een bezoeker zich meldt bij de balie. De receptioniste zal dan wel enkele controlevragen stellen, zoals naam, woonplaats en/of geboorteplaats van de patiënt. Wanneer dit klopt, mag de receptioniste doorgeven op welke verpleegafdeling de patiënt ligt. Andere (medische) persoonsgegevens dan de verpleegafdeling, geeft de receptioniste niet door.

Telefonisch geeft een receptioniste niet door op welke verpleegafdeling een patiënt ligt.

Wanneer we zeker weten met de juiste persoon te spreken (bijv. door het stellen van controlevragen), mag telefonisch, face-to-face, beveiligde e-mail of via het online patiëntportaal Mijn Antonius alle informatie gedeeld worden.

Via WhatsApp of social media mag dit nooit want dit zijn geen veilige communicatiemiddelen.

Altijd. Wij hebben altijd uw (schriftelijke of mondelinge) toestemming nodig, voordat wij als ziekenhuis gegevens kunnen delen met derden. Wij leggen deze toestemming vast in uw dossier.

Er zijn veel risico’s bij het gebruik van de meeste communicatiemiddelen. De veiligste manieren zijn face-to-face en via het online patiëntportaal Mijn Antonius. Alle andere communicatiemiddelen zijn in principe niet beveiligd en mogen niet gebruikt worden om persoons- en medische gegevens mee uit te wisselen.

Wij gebruiken deze kanalen als ziekenhuis niet om persoons- of medische gegevens te delen.

Nee, via social media is het beroepsgeheim niet geborgd. Wij delen dan ook geen persoons- of medische gegevens via deze kanalen. Wanneer een patiënt zelf persoons- of medische gegevens verzendt via social media, zullen wij deze niet verder verzenden of retourneren bij beantwoording. Wij verwijderen uw medische gegevens dan uit de app of vragen u via een andere manier met het ziekenhuis te communiceren.

De veiligste manieren zijn face-tot-face en via het online patiëntportaal Mijn Antonius.

Ja, communicatie via Mijn Antonius is 100% beveiligd. Lees hier meer informatie over privacy en veiligheid in Mijn Antonius.

Ja, ook via de Mijn Antonius-app (mobiel) is de communicatie veilig.

Nee, dit mag niet. Het EPD van het St. Antonius slaat in ieder geval geen persoonsgegevens op in een Cloud.

Clouddiensten zijn geen veilige communicatiekanalen. Het ziekenhuis gebruikt deze niet. Het staat een patiënt uiteraard vrij om gebruik te maken van clouddiensten, maar het is goed wanneer zij zich realiseren dat deze diensten niet beveiligd zijn.

Patiënten hebben het recht op inzage in hun eigen dossier. Zie ook bij ''verwerking persoonsgegevens binnen het ziekenhuis''.

Vooraf: Opt-in is geadresseerden geven vooraf toestemming om op een mailinglijst te komen); opt-out betekent dat geadresseerden zich achteraf, na ontvangst, van een mailinglijst kunnen laten halen.

We streven ernaar om alleen via opt-in te werken. Dit is nu echter nog niet altijd het geval.

Wij leggen gegevens alleen digitaal vast.

Voor de verschillende gegevens gelden verschillende bewaartermijnen; over het algemeen geldt een termijn van 15 jaar.

Zie vraag ook bij ''Verwerking persoonsgegevens binnen het ziekenhuis''. Er is altijd toestemming vereist. Dit wordt in het EPD vastgelegd bij aanvang van de behandeling.

Zoals in veel ziekenhuizen, worden ook in ons ziekenhuis medische gegevens verzameld; dit is nodig om u goede zorg te kunnen bieden en zorg te kunnen verbeteren. Ook uw medische gegevens mag het St. Antonius onder bepaalde voorwaarden gebruiken voor kwaliteitsregistratie en wetenschappelijk onderzoek. Deze gegevens zijn anoniem en dus niet direct herleidbaar tot uw persoon.

U kunt uiteraard tegen dit gebruik bezwaar maken. Uw ‘wel/geen bezwaar’ leggen wij vast in uw EPD; dit heeft verder geen gevolgen voor uw behandeling. In de toekomst kan de patiënt zelf het 'wel/geen bezwaar' beheren via het online patiëntenportaal Mijn Antonius.

Nee, dat mag niet. Onderzoekers mogen alleen data van patiënten gebruiken die noodzakelijk zijn voor het beantwoorden van vooraf bepaalde onderzoeksvragen.

Ja, patiënten mogen te allen tijde bezwaar maken voor het gebruik van zijn gegevens voor onderzoek. Dit heeft verder geen consequenties voor de behandeling.

Voor de opslag van de onderzoeksdata gebruikt het St. Antonius een beveiligd datamanagementsysteem.

Het is goed u altijd af te vragen wat anderen, bijvoorbeeld een onderzoeker van het ziekenhuis, gaan doen met uw gegevens. Schroom nooit daar vragen over te stellen, zodat u weet waarvoor u toestemming geeft.

Wij auditen (controleren) regelmatig en nemen steekproeven.