Inleiding
Het Privacy Beleid (hierna: “Beleid”) bevat informatie over de persoonsgegevens die door de Itchi-go worden verwerkt. In dit Beleid zijn ook de vereisten die in het kader van een verwerkingsregister worden gesteld opgenomen.
Itchi-go hecht veel waarde aan een zorgvuldige en transparante omgang en verwerking van persoonsgegevens.
De klant wordt voorafgaand het sluiten van de overeenkomst en/of tijdens de behandeling gewezen op het Privacystatement van Itchi-go, zoals vermeld op de website.

Contactgegevens
Itchi-go is een eenmanszaak, geregistreerd bij de Kamer van Koophandel (hierna: “KvK”) onder het KvK-nummer: 27309438.
Het kantoor van Itchi-go is gevestigd aan de Binnendoor 37 A te (2512 XX)’s-Gravenhage. Itchi-go wordt vertegenwoordigd door de heer Jan Johan Corneille Jaarsveld, geboren op 16 augustus 1975 te 's-Hertogenbosch (hierna: “Jaarsveld”).
Itchi-go beschikt tevens over praktijkruimte die is gevestigd aan De La Reyweg 12 te (2571 GC) ’s-Gravenhage.
De informatie over Itchi-go en Jaarsveld is beschikbaar op de website: itchi-go.nl en/of raadpleegbaar bij de KvK.
De AGB-code, oftewel de code voor de Algemeen Gegevensbeheer Zorgverleners, betreft: 90036171.

Zhong
Itch-go is aangesloten bij de Nederlandse Vereniging voor Traditionele Chinese Geneeskunde Zhong (hierna:“Zhong”). Op de werkzaamheden verricht door Jaarsveld in het kader van de overeenkomst met de klant is de klachtenregeling van Zhong van toepassing. Deze is te vinden op de website: https://zhong.nl/klachtenprocedure.

Grondslagen verwerking persoonsgegevens
De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens, te weten:

• de toestemming van de betrokken persoon;
• de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;
• de gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;
• de gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen;
• de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
• de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

De grondslag voor de verwerking van de persoonsgegevens door Itchi-go is de uitvoering van de overeenkomst die tussen de klant en Itchi-go wordt gesloten. Op deze overeenkomst zijn de algemene voorwaarden van Itchi-go van toepassing. In deze algemene voorwaarden wordt de klant gewezen op het Privacystatement van Itchi-go. Daarnaast kan de grondslag zijn gebaseerd op het nakomen van een in de wet- en regelgeving opgenomen verplichting dan wel de gerechtvaardigde belangen.

Doeleinden verwerking persoonsgegevens
Itchi-go verwerkt de persoonsgegevens voor de volgende doeleinden:

• de beroepsuitoefening van Jaarsveld als acupuncturist en/of daaraan gerelateerde alternatieve geneeswijzen;
• het aanleggen en/of sluiten van een dossier;
• het registreren van de persoonlijke klachten en de gezondheidstoestand van een klant;
• het doelmatig beheer van de voortgang van het behandeltraject en de vastlegging daarvan in het dossier;
• het berekenen, vastleggen en innen van gelden voor de behandeling en/of het nemen van incassomaatregelen;
• facturatie;
• het verrichten van administratieve handelingen;
• het onderhouden van contacten;
• nakoming van de wettelijke verplichtingen;
• indien van toepassing verweer in het kader van eventuele geschillen of klachten.

Persoonsgegevens
Itchi-go sluit aan bij de in de Algemene verordening gegevensbescherming (“AVG”) opgenomen definities. Indien en voor zover van belang zijn een aantal definities uit de AVG opgenomen in dit Beleid, te weten:

• “gegevens over gezondheid”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;
• “persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.
• “verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;”

Itchi-go verwerkt de volgende persoonsgegevens: naam- en adresgegevens, geslacht, woonplaats, geboortedatum, telefoonnummer en e-mailadres.

Itchi-go verwerkt de volgende bijzondere persoonsgegevens: BSN-nummer, gegevens van de verzekering of huisarts, aantekeningen en/of gegevens over de gezondheidstoestand, klachten en de voortgang van het behandeltraject; bij minderjarige patiënten: gegevens van (beide) ouders, of verzorgers, of voogd, of wettelijk vertegenwoordigers.

Itchi-go verwerkt geen strafrechtelijke gegevens.

Categorieën van personen
Itchi-go verwerkt alleen persoonsgegevens van klanten op basis van de in dit Beleid opgenomen grondslagen en doeleinden voor de verwerking van persoonsgegevens.

Categorieën van ontvangers
Als behandelaar is Jaarsveld de enige (natuurlijke) persoon die toegang heeft tot het dossier en de persoonsgegevens.
Uitgangspunt is dat de persoonsgegevens slechts worden verstrekt aan de klant(en). Uitzondering hierop vormt een wet, voorschrift of bevel om de persoonsgegevens bekend te maken of de situatie dat moet worden gevreesd voor een ernstig gevaar voor de gezondheid van de klant of die van een derde.
Indien strikt noodzakelijk kan – afhankelijk van de leeftijd met voorafgaande toestemming van de klant – gegevens worden verstrekt aan de (beide) ouders, of verzorgers, of voogd, of wettelijk vertegenwoordigers.
Aan zorgverzekeraars worden alleen op basis van een wettelijke verplichting of met voorafgaande toestemming van de klant, indien en voor zover strikt noodzakelijk, persoonsgegevens verstrekt. Hierbij worden alleen de strikt noodzakelijke persoonsgegevens verstrekt.
De persoonsgegevens ten behoeve van wetenschappelijk onderzoek en/of intercollegiale toetsing worden steeds volledig geanonimiseerd verwerkt. Er is geen herleiding tot de persoonsgegevens van een klant. Om die reden is hiervoor geen aparte toestemming vereist.

Persoonsgegevens buiten de Europese Economische Ruimte en/of internationale organisaties
Er worden door Itchi-go geen gegevens verstrekt of verwerkt buiten de Europese Economische Ruimte en/of internationale organisaties.

Dossiers
Itchi-go is gehouden te voldoen aan de dossierplicht.
In een dossier worden door Itchi-go aantekeningen gemaakt over de behandeling en de gezondheidstoestand van de klant. Dit alles voor zover dit in het kader van de uitvoering van de overeenkomst nodig is. Verder worden stukken en/of brieven afkomstig van andere hulpverleners die door de klant aan Jaarsveld zijn verstrekt, op verzoek van de klant aan het dossier toegevoegd.
Itch-go maakt in het dossier ook gebruik van persoonlijke (werk)aantekeningen waarin de voortgang van de klant in het kader van de behandeling worden opgenomen.
De klant heeft het recht te verlangen dat de door hem afgegeven verklaring in het dossier wordt opgenomen. De zienswijze van de klant is echter een andere dan die van de behandelaar c.q. Jaarsveld.

Bewaartermijn
De wetgever heeft volstaan met een algemene bewaartermijn voor een medisch dossier van 15 jaar. De termijn kan korter zijn als gevolg van het vernietigingsrecht van de klant. De termijn kan ook langer zijn indien dit redelijkerwijs uit de zorg van een goed hulpverlener/behandelaar voortvloeit. Dit zal voornamelijk het geval zijn indien sprake is van langlopende en terugkerende behandelingen.
Itch-go hanteert een bewaartermijn van 15 jaar tot na de laatste wijziging of aantekening in het dossier. Het dossier wordt na deze bewaartermijn vernietigd, tenzij het langer bewaren van de persoonsgegevens noodzakelijk is. De bewaartermijn van 15 jaar kan worden verlengd indien dit uit de zorg van een goede behandelaar voortvloeit of indien dit op grond van de wet- en regelgeving noodzakelijk is.
Indien de klant op grond van 7:455 BW vernietiging wenst van het op hem/haar betrekking hebbende dossier, of een deel daarvan, dan dient dit in beginsel te worden toegepast ookal is de termijn van 15 jaar derhalve nog niet verstreken. Itchi-go zal aan een dergelijk verzoek binnen 3 maanden, of indien noodzakelijk en wettelijk is toegestaan zo veel eerder, voldoen. Deze vernietiging heeft betrekking op de in artikel 7:454 BW bedoelde gegevens. Een dergelijk verzoek geldt niet indien en voor zover redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de klant, alsmede indien de wet of regelgeving zich tegen vernietiging verzet. Nu dit breder is dan alleen de verwerking van persoonsgegevens, heeft Itchi-go ervoor gekozen dit punt in het Beleid op te nemen en niet in het Privacystatement.

DPIA
In de AVG staat aangegeven dat onder omstandigheden een organisatie gehouden kan zijn een Data protection impact assessment (hierna: “DPIA”) uit te voeren. Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert.
Op grond van de AVG dient een DPIA te worden uitgevoerd indien een organisatie:

• systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
• op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
  op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Bovengenoemde punten zijn niet van toepassing op de verwerking van persoonsgegevens door Itchi-go. Om die reden zal Itchi-go derhalve geen DPIA uitvoeren.

Rechten van de klant
Itchi-go heeft in haar Privacystatement uitgebreid de rechten van de klant uiteengezet.

Kort samengevat heeft de klant de volgende rechten:

• Inzage in de gegevens: de klant mag de eigen gegevens inzien;
• Gegevens wijzigen: de klant mag onjuistheden laten wijzigen of verzoeken de gegevens aan te vullen.
• Gegevens vernietigen, of bezwaar maken tegen gegevensverwerking: de klant kan vragen minder gegevens te verwerken of verzoeken over te gaan tot gehele of gedeeltelijke vernietiging van het dossier.
• Ook kan de klant zich verzetten en bezwaar maken tegen het gebruik van persoonsgegevens voor eventuele marketingactiviteiten. Van belang is dat Itchi-go geen marketingactiviteiten verricht.
• Gegevens overdragen: de klant kan verzoeken de gegevens over te dragen. Persoonlijk of per aangetekende post kan een afschrift van het dossier aan de klant worden verstrekt. Het originele dossier wordt niet aan de klant verstrekt.

Itchi-go zal aan deze verzoeken meewerken behoudens en voor zover dit van belang is voor bescherming van de persoonlijke levenssfeer van een ander of diens belang een overwegend karakter heeft dan wel indien de wet of bevel of voorschrift dit verbiedt.

Toestemming
Voor de behandeling ter uitvoering van de overeenkomst is toestemming van de klant vereist

Indien de klant minderjarig is en de leeftijd van twaalf maar nog niet die van zestien jaren heeft bereikt, is de schriftelijke toestemming van beide ouders (of verzorgers; of voogd; of wettelijk vertegenwoordigers) nodig, ook als de ouders gescheiden zijn.

In het geval waarin de klant van zestien jaren of ouder niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, dan is de schriftelijke toestemming van beide ouders (of verzorgers; of voogd; of wettelijk vertegenwoordigers) nodig, ook als de ouders gescheiden zijn.

Indien sprake is van ‘wilsonbekwaanheid’, dan is voorafgaande toestemming vereist overeenkomstig de toepasselijke wet- en regelgeving.

De toestemming dient schriftelijk te worden vastgelegd en geldt tot het moment dat deze wordt ingetrokken of tot het moment dat de overeenkomst wordt beëindigd.

Op grond van de wet- en regelgeving worden jongeren vanaf 16 jaar in beginsel geacht in staat te zijn zelfstandig beslissingen over de behandeling. Zonder toestemming van de klant mag er in dat geval geen (medische) informatie verstrekken aan de ouders (of verzorgers; of voogd; of wettelijk vertegenwoordigers).

Beveiliging
De dossiers worden in een papieren en afgesloten archief alsmede een beveiligde en versleutelde computer bewaard ten kantore van Itchi-go. Alleen Jaarsveld heeft hiertoe in het kader van de uitvoering van de werkzaamheden toegang.

Itchi-go respecteert de beginselen van proportionaliteit, subsidiariteit en vertrouwelijkheid en verwerkt persoonsgegevens op een transparante, behoorlijke en zorgvuldige wijze

Itchi-go acht de bescherming van persoonsgegevens van groot belang en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan door middel van verschillende encryptie methoden, versleuteling en/of beveiligingssoftware

Itchi-go maakt alleen interne back-ups en maakt geen gebruik van externe opslaglocaties. De back-ups zijn op een beveiligde manier ten kantore van Itchi-go opgeslagen. Hierbij worden de in dit Beleid genoemde bewaartermijnen in acht genomen. Alleen Jaarsveld heeft in het kader van de uitvoering van de werkzaamheden toegang tot de (zakelijke) e-mailbox van Itchi-go

Itchi-go acht de bescherming van persoonsgegevens van groot belang en neemt ook ten aanzien van deze (zakelijke) e-mailinbox passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan door middel van verschillende encryptie methoden, versleuteling en/of beveiligingssoftware.

Controle & informatievoorziening 
Jaarlijks wordt de naleving van dit Beleid door Itchi-go gecontroleerd. Itchi-go spant zich in om haar beveiligingsmaatregelen, rekening houdend met de stand van de techniek, actueel te houden en te verbeteren.

Versiebeheer

• Versie 1.0: begin december 2018
• Versie 1.1: medio februari 2019
• Versie 1.2: medio december 2019