Privacyreglement
Versie 5
Datum: Augustus 2018
Goedgekeurd door: Directeur Trajectvol Zorg BV
Hieronder volgen per artikel de privacyregels die van toepassing zijn binnen de organisatie Trajectvol, afgeleid van het gestelde in de Algemene Verordening Gegevensbescherming (AVG).
Artikel 1. Begripsomschrijving
In dit reglement wordt verstaan onder:
- AVG: Algemene Verordening Gegevensbescherming (Europese wetgeving).
- Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
- Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
- Verwerkingsverantwoordelijke: de organisatie Trajectvol welke het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
- Verwerker: degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
- Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
- Bijzondere gegevens: gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Dergelijke gegevens mogen alleen onder zeer strenge voorwaarden worden verwerkt. Voorbeelden van bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, politieke opvatting, lidmaatschap van een vakvereniging, strafrechtelijk verleden of seksuele leven.
Artikel 2. Rechtmatige grondslag
De verwerkingsverantwoordelijke verwerkt persoonsgegevens op grond van de hieronder genoemde grondslagen om gewone gegevens te verwerken en de wettelijke uitzonderingen op het verbod om bijzondere gegeven te verwerken:
2.1 Gegevens van cliënten/deelnemers en werknemers, stagiaires en freelancers op grond van: de noodzakelijke uitvoering van een overeenkomst; de noodzaak voor het nakomen van een wettelijke verplichting en na een uitdrukkelijke toestemming van betrokkene.
2.2 Bijzondere gegevens worden verwerkt op grond van de volgende wettelijke uitzonderingen op het verbod op het verwerken van bijzondere persoonsgegevens: verwerkingen die noodzakelijk zijn voor de doelen gezondheidszorg zoals geregeld in de NL zorgwetgeving (Wmo, Jeugdwet en Wlz); verwerkingen die noodzakelijk zijn voor de uitvoering van verplichtingen en het uitoefenen van arbeidsrecht en het sociale zekerheidsrecht zoals geregeld in de nationale wet en op grond van een uitdrukkelijke toestemming van betrokkene.
Artikel 3. Functionaris Gegevensbescherming (FG)
Er is geen aparte Functionaris Gegevensbescherming aangewezen omdat de verwerking van gegevens binnen onze organisatie volgens ons niet als grootschalig kan worden beschouwd. De directie blijft verantwoordelijk voor de bescherming van persoonsgegevens die worden verwerkt.
Artikel 4. Risico Inventarisatie op het proces van gegevensbescherming
Periodiek zal de verwerkingsverantwoordelijke een risico inventarisatie uitvoeren op het proces van gegevensbescherming. Resultaten en ingevoerde verbetermaatregelen zullen worden vastgelegd en bewaakt door de verwerkingsverantwoordelijke.
Artikel 5. Bewaartermijnen
5.1 Het uitgangspunt in de AVG is dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel van uw verwerking.
5.2 De verwerkingsverantwoordelijk zal de gegevens van betrokken werknemers, stagiaires en freelancers de richtlijnen genoemd op de volgende website aanhouden als bewaartermijnen. https://www.rhenus-archiefopslag.nl/nl/service-contact/bewaartermijnen/
5.3 Specifiek voor zorgdocumentatie hieronder genoemd:
- Ondersteuningsplannen van Wlz cliënten – moeten 5 jaar na einde zorg opvraagbaar zijn voor cliënt. Let wel: het (medische) behandeldossier moet op grond van de WGBO 15 jaar worden bewaard, te rekenen vanaf einde behandeling of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit. (Referentie: Overzicht Wettelijk verplichte registraties voor begeleiders in de Gehandicaptenzorg binnen de Wlz, 15 jan 2017 Uitgave Vilans & de Zorgzaken groep).
- Dossiers WMO cliënten – 15 jaar vanaf het tijdstip van ontvangst of vervaardiging of zoveel langer als redelijkerwijs in verband met een zorgvuldige uitvoering van taken op grond van deze wet noodzakelijk is (Referentie: WMO 2015 artikel 5.3.4. lid 1.).
- Een dossier jeugdhulp wordt 15 jaar bewaard. Of langer als dit nodig is voor zorgvuldige hulpverlening. De termijn begint na afloop van de jeugdhulp, verleend op basis van de Jeugdwet.
Artikel 6. Verwerkingsregister
6.1 De verwerkingsverantwoordelijke heeft een register van verwerkingsactiviteiten opgesteld waarin minimaal de volgende gegevens zijn opgenomen.
- de naam en contactgegevens van:
– verwerkingsverantwoordelijke of vertegenwoordigers van de organisatie.
– eventuele andere organisaties met wie gezamenlijk de doelen en middelen van de verwerking zijn vastgesteld.
– de Functionaris voor de Gegevensbescherming (FG) als die is aangesteld.
- de doelen waarvoor u de persoonsgegevens verwerkt.
- een beschrijving van de categorieën van personen van wie u gegevens verwerkt.
- een beschrijving van de categorieën van persoonsgegevens.
- de datum waarop u de gegevens moet wissen (als dat/deze bekend is/zijn).
- de categorieën van ontvangers aan wie u persoonsgegevens verstrekt.
- deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register.
- een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft genomen om persoonsgegevens die u verwerkt te beveiligen.
6.2 Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet de verwerkingsverant- woordelijke het register direct kunnen laten zien.
Artikel 7. Verwerkersovereenkomst
7.1 Als de verwerkingsverantwoordelijke gebruik maakt van de diensten van een verwerker, dan zijn de verwerkingsverantwoordelijke en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke (verwerkers)overeenkomst of in algemene voorwaarden die gekoppeld zijn aan een overeenkomst.
7.2 De volgende onderwerpen worden vastgelegd:
- Algemene beschrijving Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.
- Instructies verwerking De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
- Geheimhoudingsplicht Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
- Beveiliging De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
- Subverwerkers De verwerker schakelt geen subverwerker(s) in zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting de verwerkingsverantwoordelijke heeft.
- In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen. Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting verwerkingsverantwoordelijke voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).
- Privacyrechten De verwerker helpt verwerkingsverantwoordelijke om te voldoen aan de plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
- Andere verplichtingen De verwerker helpt verwerkingsverantwoordelijke ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het desgewenst uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.
- Gegevens verwijderen Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan verwerkingsverantwoordelijke terug, als dat is gewenst. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
- Audits De verwerker werkt mee aan audits van verwerkingsverantwoordelijke of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).
Artikel 8. In kaart brengen van de beveiligingsmaatregelen
8.1 In de AVG staat dat persoonsgegevens goed moeten worden beveiligd. Daarom zal van tevoren in kaart worden gebracht wat voor verwerkingen worden uitgevoerd, bijvoorbeeld in een verwerkingsregister. Verwerkingsverantwoordelijke bepaalt welke technische en organisatorische maatregelen nodig zijn om ervoor te zorgen dat die verwerkingen goed beveiligd zijn. Bovendien is beveiligen een continu proces (plan, do, check, act). Verwerkingsverantwoordelijke zal continu monitoren of de getroffen beveiligingsmaatregelen nog adequaat zijn.
8.2 Voorbeelden van organisatorische maatregelen die zijn toegepast:
- Toewijzen van verantwoordelijkheden voor informatiebeveiliging.
- Bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers.
- Opstellen van een procedure voor het afhandelen van (beveiligings)incidenten.
- Hanteren van geheimhoudingsverklaringen (in arbeidscontracten).
- Sluiten van verwerkersovereenkomsten.
- Beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens.
- Minder mensen in uw organisatie toegang geven tot persoonsgegevens.
8.3 Voorbeelden van technische maatregelen die bij de verwerkingsverantwoordelijke zijn toegepast:
- Logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur.
- Gevoelige informatie versleuteld versturen via e-mail.
- Software, zo als browsers, virusscanners en operating systems up-to-date houden.
- Back-ups (niet buiten de EER) maken waarmee de toegang tot de persoonsgegevens tijdig kunnen worden hersteld.
Artikel 9. Privacyverklaring
Betrokkenen zullen door de verwerkingsverantwoordelijke op een begrijpelijke manier schriftelijk worden geïnformeerd over welke gegevens voor welk doel en met welke grondslag worden verzameld en verwerkt. De beste manier om er zeker van te zijn dat uw informatie door de meeste mensen is ontvangen zal er een (online) privacyverklaring worden gepubliceerd of overhandigd. In de privacyverklaring worden de volgende gegevens benoemd:
- De identiteit en de contactgegevens van de verwerkingsverantwoordelijke.
- De doeleinden en rechtsgrond van de verwerking, en als u zich beroept op een gerechtvaardigd belang: op welk belang u zich beroept.
- De (categorieën van) ontvangers van de persoonsgegevens.
- Dat de verwerkingsverantwoordelijke niet van plan is persoonsgegevens door te geven buiten de EU of een internationale organisatie.
- De bewaartermijn van de gegevens.
- De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering.
- Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken.
- Dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder.
- Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken.
- Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.
Artikel 10. Rechten van betrokkene
10.1 Betrokkenen hebben de volgende rechten:
- Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die u van hen verwerkt in te zien.
- Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te wijzigen.
- Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
- Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
- Het recht om bezwaar te maken tegen de gegevensverwerking.
- Het recht op dataportabiliteit. Het recht om elektronische persoonsgegevens over te dragen.
- Het recht op vergetelheid. Het recht om in bepaalde gevallen ‘vergeten’ te worden.
10.2 Om volgens de regels op een verzoek te reageren zal de verwerkingsverantwoordelijke zo snel mogelijk maar in ieder geval binnen 1 maand reageren op een verzoek. Concreet betekent dit dat binnen die termijn ofwel het verzoek is uitgevoerd en de verzoeker hierover is geïnformeerd, of dat er is aangegeven waarom geen gehoor kan worden gegeven aan het verzoek. In uitzonderlijke gevallen mag er binnen 3 maanden gereageerd worden op een verzoek. Bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon extreem hoog is. Maar ook dan geldt dat u wel binnen 1 maand moet laten weten dat u meer tijd nodig heeft om op het verzoek te reageren.
Specifieke regels en van toepassing zijnde uitzonderingen ver bovengenoemde rechten van betrokkenen zijn terug te vinden in de wettekst van de AVG en de verschillende toelichtingen hierover.
Artikel 11. Meldplicht datalekken
11.1 De meldplicht houdt in dat organisaties (zowel bedrijven als overheden) een melding moeten doen bij de AP zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
11.2 De verwerkingsverantwoordelijke zal zorgen dat er een meldinstructie datalekken en een meldregister (waarin alle meldingen en bijhorende acties worden geregistreerd) binnen de organisatie aanwezig en bekend is bij alle medewerkers.
11.3 Een melding aan de AP moet plaatsvinden bij elk incident met betrekking tot persoons-gegevens tenzij niet waarschijnlijk is dat het datalek een risico inhoudt. Een melding aan de betrokkene dient vervolgens plaats te vinden indien het datalek waarschijnlijk een hoog risico inhoudt. Indien er sprake is van een datalek waarbij ‘gevoelige gegevens’ zijn gelekt (o.a. bijzondere persoonsgegevens, financiële gegevens, wachtwoord/inlognaam combinatie) zal gemeld moeten worden conform de procedure: met als onderwerp: Melden datalekken van de verwerkingsverantwoordelijke.
Artikel 12. Tot slot
12.1 Dit reglement treedt in werking op de uitgiftedatum vermeld op blad 1 van dit privacyreglement.
12.2 Daar waar dit reglement niet in voorziet of het gestelde in dit privacyreglement in strijd is met de van toepassing zijnde wetgeving zijn de regels in de geldende wetgeving van toepassing.