update mrt 2025

1. Algemene overwegingen

EGES Dyslexiezorg hecht veel waarde aan de bescherming van de persoonsgegevens. In dit document willen we u op transparante wijze informeren over de manier waarop binnen onze organisatie wordt omgegaan met persoonsgegevens en op welke wijze de bescherming van persoonsgegevens wordt gewaarborgd.

EGES Dyslexiezorg handelt ten aanzien van de verwerking van persoonsgegevens conform de betreffende wet- en regelgeving, waaronder de Algemene Verordening gegevensbescherming (AVG). Dat betekent in ieder geval dat wij:

• Persoonsgegevens verwerken conform het doel waarvoor ze zijn verstrekt. Deze doelen worden in dit document onder punt 2 genoemd;
• Alleen die persoonsgegevens verwerken die noodzakelijk zijn voor de doeleinden waarvoor ze zijn verstrekt;
• Passende (technische en/of organisatorische) maatregelen hebben genomen om de beveiliging van de persoonsgegevens te waarborgen (zie punt 6 van deze verklaring);
• Geen persoonsgegevens doorgeven, aan- of opvragen bij andere partijen, tenzij dit noodzakelijk is voor de uitvoering van de doeleinden waarvoor ze zijn verstrekt, dan wel voortvloeit uit een wettelijke verplichting.
• Op de hoogte zijn van de rechten van de cliënten en ouders omtrent persoonsgegevens, deze rechten respecteren en de betrokkenen hierover informeren.

EGES Dyslexiezorg is verantwoordelijk voor de verwerking van persoonsgegevens van de cliënten, hun ouders, leerkrachten en begeleiders.

De directiesecretaresse is belast met het privacybeleid en is voor alle betrokkenen de contactpersoon in geval van vragen en/of verzoeken rondom persoonsgegevens.

2. Doeleinden en bijzondere persoonsgegevens

EGES Dyslexiezorg verwerkt (bijzondere) persoonsgegevens voor de volgende doeleinden:

• Het aangaan van een overeenkomst met de ouders aangaande het uitvoeren van onderzoek en/of behandeling op het gebied van leerproblemen in het algemeen en dyslexie in het bijzonder.
• Declaratie bij gemeentelijke jeugdzorg en facturatie.
• Onderhouden van contact middels telefoon, e-mail of andere media.
• Het versturen van nieuwsbrieven en uitnodigingen voor bijeenkomsten aan de ouders, leerkrachten en ander betrokkenen.
• Gegevens verzamelen over vorderingen en behandelingen, noodzakelijk voor inhoudelijke evaluatie, rapportage en verantwoording. Deze worden overigens anoniem verstrekt aan de daarvoor aangewezen instellingen als Centraal Bureau voor de Statistiek (CBS), en de landelijke kwaliteitsinstelling voor dyslexiezorg (NKD).

In verband met de te leveren zorg op maat en de verantwoording hierover moet de organisatie over de volgende gegevens beschikken. 

Algemene gegevens:

– NAW-gegevens, telefoonnummers, e-mailadressen
– geslacht, geboortedatum, burgerlijke staat ouders ivm ouderlijk gezag

Bijzondere persoonsgegevens:

– BSN-nummer
– anamnese, gezondheidsgegevens en medicijngebruik
– gezinssamenstelling en leerproblemen in de familie

– de leervorderingen en andere schoolgegevens
– uitslagen en scores van testen en capaciteit (IQ)

Het BSN-nummer en de controle op persoonsgegevens wettelijk verplicht en zijn de bijzondere persoonlijke gegevens noodzakelijk voor diagnostiek en behandeling.

Foto- en filmmaterialen

Tijdens onderzoek en behandeling kunnen audio-, foto- en/of video-opnamen worden gemaakt door de medewerker t.b.v. analyse, observatie of andere inhoudelijke doelen. Deze opnamen worden alleen gemaakt en/of wanneer de ouders hiermee hebben ingestemd via het EPD (elektronisch patiënten dossier)-portalaccount. Wanneer er voor voorlichting- of promotiedoeleinden foto of filmbeelden worden gebruikt wordt altijd vooraf schriftelijke toestemming gevraagd aan betrokkenen en/of de ouders. Hierbij wordt altijd aangegeven welk doel deze hebben en op welke media zij zullen worden getoond.

Persoonsgegevens van minderjarigen

De meeste cliënten van EGES zijn minderjarig en onder de 16 jaar. Cliënten vanaf 16 jaar zullen eveneens kennis moeten hebben van deze verklaring. Wanneer deze niet door de 16-jarige of oudere cliënt wordt geaccepteerd kan de opdracht dus niet worden uitgevoerd.

3. Verstrekking persoonsgegevens aan andere partijen

Alleen indien dit noodzakelijk of wettelijk verplicht is worden gegevens aan andere partijen verstrekt. Dat kan zijn:

• gemeentelijke jeugdzorg
•  de betreffende school, met name de IB-er en betrokken leerkrachten (evaluatieverslagen en het behandelplan)
• (helpdesk-) medewerkers van softwareleverancier van het EPD (elektronisch patiënten dossier)

Anonieme gegevens worden (verplicht) verstrekt aan:

• Centraal Bureau voor de Statistiek (CBS)
• Nederlands Kwaliteitsinstituut Dyslexie (NKD)

Met de betreffende instellingen zijn afspraken gemaakt om de privacy te waarborgen. Vertrouwelijke gegevens worden altijd via beveiligde e-mail verzonden vanuit onze organisatie. Alle belangrijke documenten met betrekking tot de diagnostiek en behandeling van de cliënten worden met de ouders gedeeld via het EPD-portalaccount. Ouders kunnen voor hun portalaccount tweefactorauthenticatie instellen voor extra beveiliging. Ook kunnen ouders vertrouwelijke informatie uploaden in via het portalaccount. Ketenpartners (zoals scholen of andere zorginstellingen) sturen EGES informatie via de e-mail met een extra beveiliging in de vorm van een beveiligscode of direct in het dossier door te reageren op de beveiligde mail van het EPD.

EGES Dyslexiezorg zal verder geen gegevens verstrekken aan andere partijen, tenzij hiertoe wettelijke verplicht. Ook worden geen gegevens aan partijen buiten de EU verstrekt.

EGES Dyslexiezorg verwerkt alleen gegevens van personen die hiervoor toestemming hebben verleend nadat ze op de hoogte zijn gesteld van het privacybeleid van EGES Dyslexiezorg.

Nederlandse Databank Dyslexie (NDD)

Om uw kind de juiste en beste zorg te geven, werken wij mee aan de verbetering van de kwaliteit van die zorg. Hiervoor werken wij samen met het Nederlands 

Kwaliteitsinstituut Dyslexie (NKD). 

Het NKD heeft de Nederlandse Databank Dyslexie (NDD) ingericht, waar wij een aantal gegevens over de diagnostiek en behandeling van uw kind geanonimiseerd aanleveren. Het gaat alleen om gegevens die nodig zijn voor de kwaliteitsverbetering en landelijke of regionale vergelijkingen van die kwaliteit. De gegevens kunnen ook voor wetenschappelijk onderzoek worden gebruikt. 

Uw privacy en die van uw kind staan daarbij voorop. 

Namen en adressen komen in de databank niet voor. Anderen (zoals het NKD, de school of andere praktijken) krijgen geen inzage in deze gegevens, tenzij u uitdrukkelijk toestemming heeft verleend of als een overheidsinstantie dit op grond van een wettelijk voorschrift zou verplichten. 

De Nederlandse Databank Dyslexie is een beveiligde databank die wordt beheerd door Tremani. De resultaten zijn volstrekt anoniem en kunnen daarom nooit tot onze cliënten worden herleid. 

U kunt ons altijd melden dat u toch niet wilt dat de gegevens over de dyslexiezorg in de Nederlandse Databank Dyslexie worden opgenomen. Dan gebeurt dat niet.

U kunt bij ons ook altijd vragen welke gegevens hiervoor zijn opgenomen. Dan krijgt u van ons een uitdraai van uw kind. U kunt dat niet bij het NKD vragen. Vanwege het anoniem verstrekken van de gegevens heeft het NKD immers geen toegang tot de gegevens. De gegevens in de Nederlandse Databank Dyslexie worden maximaal zeven jaar bewaard.r bewaard.

4. Bewaartermijn

Alle gegevens en documenten met betrekking tot de diagnostiek en behandeling van de cliënt worden opgeslagen in zijn digitale dossier binnen het EPD (elekronisch patienten dossier). De dossiers worden na 20 jaar (en voor jeugdigen 20 jaar nadat zij 18 zijn geworden) geanonimiseerd of definitief verwijderd , tenzij de betrokkene daar eerder schriftelijk om verzoekt.

5. Beveiliging van persoonsgegevens

EGES Dyslexiezorg heeft de volgende passende technische en organisatorische maatregelen genomen om uw persoonsgegevens de beschermen tegen onrechtmatige verwerking of verlies:

• Papieren dossiers die in gebruik zijn bij medewerkers bevatten geen persoonsgegevens en worden direct na afloop van de behandeling vernietigd.
• EGES werkt met het softwaresysteem ‘HCI GGZ’ voor het elektronische patiëntendossier (EPD) waarin alle gegevens en bestanden worden bewaard.
• Deze software wordt alleen gebruikt door de medewerkers van EGES Dyslexiezorg die met de zorg of administratieve taken zijn belast. Medewerkers zorgen er voor dat er geen andere personen meekijken in dit systeem.
• Voor het gebruik van deze software moet met gebruikersnaam en codes worden ingelogd, nadat daarvoor al op de computer of tablet veilig is ingelogd.
• Inloggen kan in principe vanaf elke locatie, bij de medewerkers thuis of op de werkplek.De tablet van elke medewerker is beveiligd met unieke gebruikersnaam en wachtwoord.
• De wachtwoorden mogen niet bij anderen bekend zijn noch worden opgeslagen in de ID-gegevens.
• Elke cliënt heeft een geanonimiseerde code, die wordt vermeld op en in het papieren dossier van de behandelaar. Deze code bestaat uit de voornaam, eerst letter van de achternaam en de code van het EPD. 
• Uitwisseling van gegevens tussen medewerkers of andere instanties over cliënten gebeurt altijd via veilige verbindingen,  beveiligde e-mail of anoniem.
• EGES hanteert een ‘clean desk’ en ‘clean screen’ policy. Dossiers worden direct opgeborgen in veilige afgesloten kast of koffer.
• De administratieruimte is ook tijdens kantoortijd afgesloten en/of niet toegankelijk voor niet-medewerkers.
• De externe harde back-up schijf is altijd veilig opgeborgen in de kluis.
• Het systeem van de mobiele telefoons voorziet in een database met de telefoongegevens van alle cliënten. De namen zijn hierin vervangen door een de cliëntcode van het EPD-systeem. 

6. Melden van datalekken

Als er persoonsgegevens kwijt zijn geraakt, gestolen zijn of als er vertrouwelijke gegevens op een andere manier gelekt zijn, wordt er actie ondernomen. Ten eerste wordt door EGES onderzocht welke personen (mogelijk) toegang hebben (gehad) tot welke persoonsgegevens. Maatregelen die het lek kunnen stoppen worden direct genomen om schade te beperken. Tegelijkertijd wordt het risico ingeschat dat het datalek mogelijk oplevert. Vervolgens wordt onderzocht of het datalek gemeld moet worden bij Autoriteit Persoonsgegevens. Als dit inderdaad het geval is, wordt dit binnen 72 uur door EGES gedaan. Als het lek een hoog risico is voor de rechten en de vrijheden van de betrokken personen, wordt het lek zo snel mogelijk gemeld aan deze personen. Tenslotte wordt het lek (ook als dit niet doorgegeven hoeft te worden aan Autoriteit Persoonsgegevens) geregistreerd in het datalekregister van EGES (template van SoftwareZaken, www.softwarezaken.nl).

7. Meldcode Huiselijk geweld en kindermishandeling

Jeugdinstellingen zijn verplicht te melden wanneer er een vermoeden is van huiselijk geweld of kindermishandeling. Per 1 januari 2019 is de meldcode veranderd. Het is een professionele norm geworden om melding te doen bij Veilig Thuis als er vermoedens zijn van acute en structurele onveiligheid. EGES volgt hierin het afwegingskader voor pedagogen en psychologen. Alle behandelaars en diagnostici van EGES zijn op de hoogte van dit afwegingskader en passen deze toe bij een vermoeden van huiselijk geweld en/of kindermishandeling. Dit afwegingskader bestaat uit vijf stappen. Namelijk: 

Stap 1 Signalen in kaart brengen 

Stap 2 Overleggen met collega en eventueel Veilig Thuis 

Stap 3 Gesprek met cliënt 

Stap 4 Wegen van huiselijk geweld of kindermishandeling 

Stap 5 Beslissen

8. Rechten

Cliënten, ouders of wettelijke vertegenwoordigers van de cliënten van EGES hebben in het kader van de privacy de volgende rechten:

1. Inzagerecht: Ze hebben altijd het recht van inzage in het dossier.
2. Rectificatierecht: Ze hebben het recht de gegevens te laten wijzigen wanneer deze niet kloppen.
3. Overdrachtrecht: Ze hebben het recht de gegevens te laten overdragen naar een andere instantie bij wisseling van zorginstelling.
4. Stoprecht: Ze hebben het recht de gegevensstroom te laten stoppen. In dat geval zal automatisch ook de zorg moeten stoppen.
5. Klachtenrecht: Ze hebben het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Wanneer men gebruik wil maken van de eerste vier hierboven genoemde rechten dient men hiervoor een schriftelijk verzoek in te dienen bij de privacybeleidsmedewerker van EGES. Dit verzoek kan ook per e-mail worden verzonden via privacy@eges.nl. Daarna zal een legitimatiecontrole kunnen plaatsvinden om de juistheid van het verzoek te kunnen vaststellen, alvorens aan het verzoek te kunnen voldoen.