Verklaring gegevensbescherming


1. Organisatie van gegevensbescherming en toekenning van verantwoordelijkheden voor gegevensbescherming

De bedrijfseenheid ATX nv/sa hecht bijzonder veel belang aan bescherming van persoonsgegevens en daarbij geldt als leidend principe er op een verantwoordelijke manier mee omgaan. ATX nv/sa legt zich toe op een strenge naleving van elle relevante wetten en regelingen betreffende de opslag en bewerking van persoonsgegevens.

CGM SE heeft een centraal beheersysteem voor gegevensbescherming opgericht dat zowel een consistent hoog beschermingsniveau van persoonsgegevens als de naleving van de overeenstemmende wetten voor gegevensbescherming verzekert binnen alle CGM-bedrijven.

Deze verklaring betreffende gegevensbescherming dient tot het nakomen van wettelijke informatieverplichtingen via het verstrekken van informatie over gegevensverwerking binnen CGM. Deze verklaring betreffende gegevensbescherming verwijst specifiek naar DentAdmin.

U zult op elk moment toegang hebben tot de recentste versie van deze verklaring over gegevensbescherming zowel in de gebruikershandleiding van DentAdmin als vanuit DentAdmin zelf.

2. DentAdmin

DentAdmin is een beheersysteem voor de praktijk geschikt voor alle gebruikelijke vormen van tandheelkundige praktijken. Dit beheersysteem voor de praktijk ondersteunt medische kantoren/praktijken via de naleving van wettelijke voorschriften, via gestructureerde documentatie, kantoorbeheer, facturatie, voorschrift en andere vereisten waaraan kan worden voldaan door optionele modulaire productuitbreidingen. DentAdmin biedt een specifiek beheer van gebruikersrechten dat de toegang tot de software en de modulaire software-uitbreidingen beperkt tot de bevoegde personen. Naast de toegangscontrole tot de software en de modulaire software-uitbreidingen, voert het beheer van gebruikersrechten ook een controle uit op het beheer van lees- en schrijfrechten met betrekking tot opgeslagen en verwerkte gegevens binnen het systeem.

3. Verwerking van persoonsgegevens door CGM

Persoonsgegevens betekent elke informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Bij gebruik van de voorgestelde producten en/of diensten worden de volgende types van data opgeslagen door ATX nv/sa op uw server:

  • Contract- en registratiegegevens
  • Gegevens van technische bewerkingen

In overeenstemming met de wetgeving op het gebied van gegevensbescherming, is het onze plicht om alle contractgegevens, registratiegegevens en gegevens van technische bewerkingen te verwijderen na beëindiging van uw contract.

Wij zijn echter ook wettelijk verplicht, overeenkomstig het handelsrecht en het fiscaal recht, om wettelijke bewaringstermijnen te respecteren die verder kunnen reiken dan de datum van beëindiging van uw contract. Gegevens over technische bewerkingen worden opgeslagen uitsluitend voor zo lang als technisch noodzakelijk en worden verwijderd uiterlijk na beëindiging van uw contract.

3.1. Contract- en registratiegegevens

Contract- en registratiegegevens identificeren en beheren de contractuele relatie tussen het tandheelkundige kantoor of de tandheelkundige praktijk en ATX nv/sa. Tot die gegevens behoren:

  • Gegevens in verband met de tandheelkundige praktijk of het tandheelkundige kantoor
    • Naam van de praktijk en/of verantwoordelijke(n)
    • Type van praktijk
    • Adres van de praktijk
    • Telefoonnummer van de praktijk
    • Identificatiemiddel/Identificatienummer van de praktijk
  • Gegevens met betrekking tot de tandarts/beroepsbeoefenaar
    • Adresgegevens
    • Titel
    • Voor-/familienaam
    • Naam van achtervoegsel
    • Contactgegevens (telefoon, e-mail,…)
    • Identificatiemiddel/Identificatienummer van de tandarts/beroepsbeoefenaar
    • INSZ nummer voor correcte registratie bij de eHealth-diensten van de overheid
  • Niet verplichte informatie die kan worden toegevoegd
    • Geslacht
    • Geboortedatum
    • Land
    • Privételefoonnummer
    • Mobiel telefoonnummer
    • Bankgegevens (incassomachtiging)
    • Contactpersoon (-personen)

Het opslaan en verwerken van persoonsgegevens meegedeeld aan ATX nv/sa tijdens de zakelijke en contractuele relatie dient voor en is beperkt tot de doelstelling van het uitvoeren van het contract, in het bijzonder orderverwerking en klantenondersteuning.

Enkel als het wordt toegestaan door middel van een verklaring van toestemming, mogen deze gegevens ook gebruikt worden voor productgerelateerde klantenonderzoeken en marketingdoeleinden.

De gegevens mogen niet doorgegeven worden of verkocht worden aan derden, tenzij dit noodzakelijk is om de contractuele verplichtingen na te leven of als dit expliciet wordt toegestaan door middel van een verklaring van toestemming. Bijvoorbeeld, het kan nodig zijn voor ATX nv/sa om het adres en ordergegevens door te geven aan een verkoop- en dienstverleningspartner als een bestelling werd geplaatst. Het kan ook nodig zijn om het adres door te geven aan een externe productiemaatschappij met als doel het produceren en verzenden van de gegevensdragers voor update.

Contractgegevens worden opgeslagen op een server van ATX nv/sa of zijn moederbedrijf op de locaties van het bedrijf zelf of versleuteld met uitsluitende toegang door ATX nv/sa zelf op een cloud-oplossing van dewelke een verwerkersovereenkomst ontvangen werd door ATX nv/sa .

U hebt het recht om geïnformeerd te worden over uw opgeslagen gegevens, het recht op correctie, het recht op beperking van verwerking en het recht op wissen van deze gegevens.

3.2 Gegevens over technische bewerkingen

Gegevens over technische bewerkingen zijn nodig voor het verlenen van diensten gegarandeerd door het contract. ATX nv/sa verzamelt gegevens over technische bewerkingen alleen voor dit doel. ATX nv/sa onderzoekt regelmatig of enkel die gegevens die nodig zijn voor het verlenen en verbeteren van de technische bewerkingen van uw product/diensten worden verzameld, opgeslagen en verwerkt.

Gegevens van het beheersysteem van de praktijk worden enkel verzameld na uw verklaring van toestemming.

Bij gebruik van onze onlinediensten, worden de volgende gegevens, vereist om de systeemintegriteit en de veiligheid te behouden, tijdelijk opgeslagen:

  • Domeinnaam
  • IP-adres van de klantcomputer
  • Toegangsgegevens en -tijden
  • Opvraging van bestanden vanop de klantcomputer (bestandsnaam en URL)
  • Aantal bytes overgedragen tijdens de connectie

Gegevens van technische bewerkingen worden opgeslagen op een server van ATX nv/sa of zijn moederbedrijf op de locaties van het bedrijf zelf of versleuteld met uitsluitende toegang door ATX nv/sa zelf op een cloud-oplossing dewelke een GDPR-compliancy statement ontvangen werd door ATX nv/sa.

Gegevens verzameld bij het gebruik van onze onlinediensten worden verwijderd binnen een periode van 365 dagen. IP-adressen worden gewoonlijk niet opgeslagen. Ze worden enkel opgeslagen voor beveiligingsdoeleinden als u gebruikt maakt van onze onlineupdatediensten.

4. Verwerking van persoonsgegevens door DentAdmin op de server van uw praktijk

  • Stamgegevens van de praktijk en de personeelsleden die er werkzaam zijn
  • Patiëntengegevens
    • persoonlijke stamgegevens
    • medische gegevens
    • gevoelige gegevens

Deze gegevens worden opgeslagen en verwerkt in de database op de server van uw praktijk.

4.1 Stamgegevens van de praktijk en de personeelsleden die er werkzaam zijn

De stamgegevens van uw praktijk worden opgeslagen om te voldoen aan de wettelijke voorschriften en om correct gebruik van bepaalde modules/contracten mogelijk te maken. Verplichte stamgegevens in DentAdmin worden overeenkomstig aangeduid. Stamgegevens van de praktijk en de werknemers die er werkzaam zijn bevatten:

  • Naam van de praktijk
  • Type van praktijk
  • Adres van de praktijk
  • Identificatiemiddel/Identificatienummer van de praktijk
  • Medische specialiteit
  • Gegevens over de tandarts/beroepsbeoefenaar
    • Vorm van adresgegevens/titel
    • Voor-/familienaam
    • Identificatiemiddel/Identificatienummer van de arts/beroepsbeoefenaar
  • Andere werknemers van de praktijk
    • Familienaam
    • Voornaam
    • Gebruikersnaam/wachtwoord

Stamgegevens zijn nodig bij gebruik van verschillende softwaremodules om acties uit te voeren en het wordt automatisch gebruikt. De overdracht aan derden wordt uitgevoerd na voorafgaandelijke verklaring van toestemming of interactie van de gebruiker. Correctie, beperking van verwerking of wissen van deze gegevens is mogelijk maar kan beperkt worden door wettelijke voorschriften. Beschrijvingen betreffende de correctie, beperking van verwerking of wissen van gegevens maken deel uit van de recentste versie van de gebruikershandleiding.

4.2 Patiëntengegevens

De opslag, het gebruik en de verwerking van patiëntengegevens is enkel toegestaan als de patiënt (de betrokkene) toestemt of gebaseerd op een wettelijke verplichting. Patiëntengegevens worden niet automatisch gegenereerd door DentAdmin. Patiëntengegevens worden verzameld en ingegeven in DentAdmin door de praktijk respectievelijk door de tandarts/het personeel werkzaam bij de medische praktijk.

Stamgegevens van de patiënt: De stamgegevens van de patiënt worden vastgelegd en automatisch ingegeven door middel van elektronische gegevensdragers (bijvoorbeeld een patiëntenkaart) en/of ingegeven of aangevuld door manuele gegevensinvoer.

Er wordt een verschil gemaakt tussen gegevens nodig (verplicht) voor het naleven van contractuele of wettelijke verplichtingen enerzijds en bijkomende niet verplichte gegevens meegedeeld door de patiënt anderzijds.

Tot de verplichte melding behoren:

  • Persoonlijke informatie (voornaam, familienaam, naam van voor- of achtervoegsel, geboortedatum, geslacht, vorm van adresgegevens/titel)
  • Adresgegevens (Straat, huisnummer, postcode, gemeente, land)
  • Informatie over de kostendrager/betaler van gezondheidszorg en type van verzekering (betaler van gezondheidszorg, verzekeringsstatus, nummer van aansluiting bij de ziekteverzekering, particuliere ziekteverzekering)
  • Informatie over terugbetaling van gezondheidszorg
  • In geval van verwijzing, informatie zoals
    • Verwijzende arts
    • Verwijzingsinformatie
    • Diagnoses

Tot de niet verplichte bijkomende gegevens behoren:

  • Foto van de patiënt
  • Privételefoonnummer
  • Mobiel telefoonnummer
  • Bankgegevens
  • E-mailadres
  • Job
  • Familierelaties

Andere gegevens (bv. via de eID kaart) die vereisen dat de patiënt er zelf actief toegang tot verleent.

Gevoelige gegevens: Gegevens met betrekking tot de gezondheidszorg zijn een speciale categorie van persoonsgegevens die onderworpen zijn aan een hoger beschermingsniveau via de verordening inzake gegevensbescherming.

De integratie van gegevens in het medisch dossier van de patiënt is gebaseerd op de wettelijke verplichting van de behandelende arts om alle maatregelen en respectieve resultaten met betrekking tot de huidige en toekomstige behandeling van de patiënt te documenteren.

Tot deze gegevens behoren:

  • Anamnese
  • Diagnose
  • Onderzoek
  • Onderzoeksresultaten
  • Bevindingen
  • Therapieën en de respectievelijke resultaten
  • Interventies en de respectievelijke resultaten
  • Documentatie betreffende toestemming en voorlichting
  • Brieven van (tand)-artsen
  • Rekening / factuurgegevens zoals
    • Factureringsinformatie
    • Rekeningen
    • Aanmaningen en aanmaningsniveau

Correcties en aanpassingen van gegevens van het medisch dossier van de patiënt zijn mogelijk. De originele inhoud is toegankelijk en kan geraadpleegd worden indien nodig. Wissen is mogelijk binnen de beperkingen van de wettelijke bewaringstermijnen. Exporteren van gegevens is mogelijk (gegevensoverdraagbaarheid) binnen een gestructureerd, algemeen gebruikt en machineleesbaar formaat en kan overhandigd worden aan de patiënt op verzoek. De overeenstemmende procedures en functionaliteiten worden beschreven in de gebruikershandleiding van DentAdmin.

 

4.3 Verwerking van praktijkgegevens en gevoelige persoonsgegevens | patiëntengegevens in softwaremodules

Geïntegreerde modules worden standaard geïnstalleerd samen met DentAdmin, waarmee ze interageren en deelnemen in verwerking van persoonsgegevens.

Geïntegreerde modules:

·          Google Sync (Synchronisatie van de agenda naar Google Agenda)

·          DentaSync (Synchronisatie naar Yuki boekhouding en/of verschillende online agenda’s,…)

·          Verschillende RX-software pakketten

·          Hector (HealthConnect software voor het gebruik van eHealthdiensten)

·          OxyBoxy (CGM software voor het gebruik van eHealthdiensten)

·          Sms4less (sms4less.be website integratie voor het versturen van SMS berichten vanuit de software.)

5.        Overbrenging/overdracht van gegevens

Elektronische gegevensoverdracht gebaseerd op een wettelijke, contractuele of voorafgaandelijke toestemming wordt uitgevoerd door DentAdmin enkel na interactie van de gebruiker of automatisch – als toestemming werd verleend.

 

Gegevensoverdracht gebaseerd op wettelijke regelgevingen, contractuele verplichtingen of gebaseerd op toestemming

Gegevensoverdracht via het eHealth-platform van- en naar en verschillende eHealthdiensten. (Bv. MyCareNet, Recip-e,…)

Gegevensoverdracht via het sms-platform: gsm-nummer en inhoud van het te versturen bericht naar de desbetreffende GSM-provider.

6.        Verbintenis om de geheimhouding na te leven, opleidingen over gegevensbescherming

Al onze medewerkers hebben een geheimhoudingsverklaring ondertekend als onderdeel van hun arbeidsovereenkomst en een afzonderlijke verklaring dat zij de medische privacywetten van de landen waar ATX nv/sa actief is, begrijpen en naleven. We zullen nooit gevoelige informatie delen met een van onze collega's of met een van uw medewerkers, tenzij de communicatie noodzakelijk is voor het oplossen van een fout of het uitvoeren van een taak die u ons gevraagd heeft. We zullen nooit informatie delen met buitenstaanders tenzij wettelijk verplicht.

ATX nv/sa heeft maatregelen ingevoerd om de werkpraktijken te controleren en deze privacy- en gegevensbeschermingsregels te handhaven. Het management van het bedrijf biedt regelmatige opleidingen op het gebied van vertrouwelijkheid en gegevensbescherming aan alle werknemers.

7.         Beveiligingsmaatregelen / risicovermijding

ATX nv/sa neemt alle noodzakelijke technische en organisatorische veiligheidsmaatregelen om zowel uw eigen persoonsgegevens als de persoonsgegevens van uw patiënten te beschermen tegen onbevoegde toegang, aanpassing, verspreiding, verlies, vernietiging en andere vormen van misbruik. Onder deze maatregelen vallen interne screening en controles van onze toepassingen voor gegevensverzameling, -opslag en -verwerking alsook beveiligingsmaatregelen om informaticasystemen waarop we contractuele gegevens en gegevens van technische bewerkingen opslaan, te beschermen tegen onbevoegde toegang.

8.        Technische en organisatorische maatregelen

Om de gegevensbeveiliging te verzekeren herziet ATX nv/sa regelmatig de stand van de beveiligingstechnologie. Dit omvat de bepaling van typische schadescenario’s en de daaruit voortvloeiende overeenkomstige beveiligingsnoden / beveiligingsniveaus voor verschillende types van persoonsgegevens, gegroepeerd volgens categorieën van mogelijke schade alsook het uitvoeren van risicobeoordelingen.

Bovendien worden specifieke penetratietesten uitgevoerd om de doeltreffendheid van deze technische en organisatorische maatregelen op regelmatige basis te testen, te beoordelen en evalueren, om zo de veiligheid van de verwerking te verzekeren.

De volgende richtlijnen zullen de implementatie van geschikte technische en organisatorische maatregelen sturen:

 

·         Back-up van gegevens

Om verlies te vermijden wordt regelmatig een back-up van gegevens uitgevoerd.

·         Gegevensbescherming door ontwerp

ATX nv/sa verzekert dat er rekening wordt gehouden met gegevensbescherming/privacy-beginselen en beginselen van gegevensbeveiliging gedurende het ontwerp en de ontwikkeling van informaticasystemen.

Het doel is dure en tijdrovende aanvullende programmering te vermijden, die vereist zou zijn indien gegevensbescherming en veiligheidsvereisten zouden geïmplementeerd moeten worden na implementatie van informaticasystemen. Er wordt rekening gehouden met maatregelen zoals deactivering van bepaalde softwarekenmerken, authenticatie of codering bij het begin van het ontwikkelingsproces.

·         Gegevensbescherming door standaardinstellingen

CGM-producten gaan gepaard met fabrieksinstellingen die geoptimaliseerd zijn in functie van gegevensbescherming, zodat enkel persoonlijke gegevens noodzakelijk voor de respectievelijke doelstelling verwerkt worden.

·         E-mailcommunicatie (praktijk/ ATX nv/sa)

Als u ATX nv/sa wenst te contacteren via e-mail, houd er dan rekening mee dat het privékarakter van de overgebrachte informatie niet kan gegarandeerd worden aangezien de inhoud van e-mails door derden kan gezien worden. We raden het gebruik van beveiligde vorm van e-mail aan als u vertrouwelijke informatie wenst over te brengen (Bv: encrypteer bijlagen met gevoelige informatie).

·         Administratieve diensten op afstand

Het kan zijn dat werknemers of onderaannemers van ATX nv/sa toegang moeten hebben tot patiënten- of klantgegevens en occasioneel tot praktijkgegevens. Deze toegang wordt beheerd door de algemene CGM-reglementering.

o    Administratieve toegang zal enkel gebeuren op expliciet verzoek door klanten.

o    Wachtwoorden voor toegang tot IT-systemen van klanten zijn alleen bedoeld voor beheer op afstand.

o    Cruciale interventies worden beveiligd door het vier-ogen-principe met aanwezigheid van bijkomende gekwalificeerde personeelsleden.

o    Extern toegangsbeheer wordt vastgelegd in het CRM-systeem. De volgende gegevens worden vastgelegd: verantwoordelijke persoon, datum en tijd, duur, doelsysteem, hulpmiddel voor beheer op af-stand, korte beschrijving van de uitgevoerde taak.

o    Video opnames van administratieve sessies op afstand is verboden. Schermopnames kunnen gemaakt worden indien nodig voor de oplossing van het probleem. Persoonlijke data zal geanonimiseerd worden.

9.        Rechten van de betrokken persoon

Persoonsgegevens van de beroepsbeoefenaar en de werknemers van de praktijk

U hebt zowel het recht om geïnformeerd te worden over gegevens die over u worden opgeslagen als het recht tot toegang tot deze gegevens U hebt recht op correctie, wissen, beperking van verwerking, gegevensoverdracht en het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens.

U hebt te allen tijde het recht om uw toestemming in te trekken. De verklaring van intrekking heeft werking in de toekomst.

U hebt het recht om een klacht in te dienen bij de verantwoordelijke toezichthoudende autoriteit als u denkt dat we uw gegevens op een ongeschikte manier verwerken.

Wij verbinden ons ertoe om alle contractuele gegevens, registratiegegevens en alle gegevens over technische bewerkingen te vernietigen na beëindiging van uw contract zonder uw voorafgaandelijk verzoek.

Wij zijn echter ook wettelijk verplicht, overeenkomstig het handelsrecht en het fiscaal recht, om wettelijke bewaringstermijnen te respecteren die verder kunnen reiken dan de datum van beëindiging van uw contract. Gegevens over technische bewerkingen worden opgeslagen uitsluitend voor zo lang als technisch noodzakelijk en worden verwijderd uiterlijk na de datum van beëindiging van uw contract.

 

Persoonsgegevens van de patiënt

Uw patiënten hebben zowel het recht om geïnformeerd te worden over gegevens die over hen worden opgeslagen als het recht om hun persoonsgegevens te ontvangen en over te brengen (gegevensoverdraagbaarheid) en het recht op correctie, wissen, beperking van verwerking en het recht om bezwaar in te dienen tegen de verwerking van hun persoonsgegevens.

Bij ontvangst van verzoeken van patiënten tot vernietiging bent u niettemin verplicht om de toepasbare bewaringstermijnen na te leven.

Uw patiënten hebben te allen tijde het recht om hun toestemming in te trekken. De verklaring van intrekking heeft werking in de toekomst.

Uw patiënten hebben het recht om een klacht in te dienen bij de verantwoordelijke toezichthoudende autoriteit als ze denken dat u hun gegevens op een ongeschikte manier verwerken.

10.     Naleving

Naleving van de voorschriften inzake gegevensbescherming die hier worden beschreven wordt regelmatig en continu onderzocht door CGM.

Mocht ATX nv/sa een formele klacht ontvangen, dan zal het bedrijf de aanklager contacteren om alle geschillen met betrekking tot de verwerking van hun persoonsgegevens op te lossen.

ATX nv/sa verbindt zich ertoe om samen te werken met de bevoegde administratie inclusief de toezichthoudende autoriteit.

11.     Wijzigingen van deze verklaring inzake gegevensbescherming

Wij wijzen u erop dat deze verklaring van gegevensbescherming kan onderworpen worden aan wijzigingen en toevoegingen. In geval van substantiële wijzigingen zullen we een gedetailleerde kennisgeving publiceren. Elke versie van deze verklaring van gegevensbescherming kan worden geïdentificeerd door de datum en het versienummer in de voettekst van de verklaring. Bovendien worden alle voorafgaande versies van deze verklaring gearchiveerd en toegankelijk gemaakt op verzoek van de functionaris voor gegevensbescherming.

12.     Verantwoordelijke bij ATX nv/sa

Steven Aertssen

Brusselsesteenweg 283/12

9230 Wetteren

 

Functionaris voor gegevensbescherming

Gelieve de functionaris voor gegevensbescherming te contacteren voor vragen met betrekking tot de verwerking van uw persoonsgegevens en voor het ontvangen van informatie na uw verzoeken tot informatie of voor klachten.

Fred Hilgers (DPO)

e-mail: dpo.be@cgm.com

13.     Bevoegde toezichthoudende autoriteit

De bevoegde toezichthoudende autoriteit voor ATX nv/sa is

·          voor België: GBA (Gegevensbeschermingautoriteit) - https://www.gegevensbeschermingsautoriteit.be

·          voor Luxemburg: CNPD (Commission pour la Protection des Données) - https://cnpd.public.lu