Privacy Reglement

1. Inleiding

Privacy persoonsgegevens

In het kader van de Europese richtlijn dient er sprake te zijn van een gelijk beschermingsniveau van persoonsgegevens binnen alle lidstaten. Dit houdt verband met het vrije grensoverschrijdende verkeer van personen en dus ook persoonsgegevens.

Binnen Nederland is dit geregeld door de Algemene Verordening Gegevensbescherming (hierna te noemen AVG) Deze wet heeft betrekking op de verwerking van persoonsgegevens. Dit wil zeggen op alle handelingen die met betrekking tot een persoonsgegeven worden verricht, vanaf het verzamelen van de gegevens tot en met de vernietiging.

Onder persoonsgegeven wordt verstaan elke informatie betreffende een identificeerbaar, natuurlijk persoon.

Het doel van dit privacyreglement is:

aan te geven om welke persoonsgegevens, geldend voor AVG, het gaat binnen de organisatie

aan te geven op welke wijze deze persoonsgegevens, geldend voor AVG, verwerkt worden

aan te geven welke personen en/of organisaties betrokken zijn bij de verwerking van de persoonsgegevens

aan te geven op welke wijze de organisatie voldoet aan de informatieplicht

aan te geven op welke wijze de persoonsgegevens worden beveiligd

Het toepassingsgebied van dit privacyreglement is:

Verwerking persoonsgegevens van cliënten en medewerkers van het Spekrijt zowel digitaal als in fysieke documenten.

De persoonsregistratie wordt slechts aangelegd indien dit noodzakelijk is voor een goede vervulling van de taak van de beheerder. De beheerder van de persoonsregistratie zal niet meer gegevens in de registratie opnemen dan voor het doel van de persoonsregistratie noodzakelijk is.

Cliënten en personen werkzaam in opdracht van het Spekrijt werkt worden vooraf altijd geïnformeerd over welke gegevens met welk doel worden verwerkt door het Spekrijt. Toestemming met de verwerking van de persoonsgegevens is geregeld in de contracten die cliënten en/of personen werkzaam voor het Spekrijt voor aanvang de zorg of werkzaamheden ondertekenen.

In het verwerkingsregister zijn alle gegevens die verwerkt worden door het Spekrijt en/of derden opgenomen. De functionaris gegevensbescherming is verantwoordelijk voor het actueel houden van dit register.

Interne en externe dienstverleners die werken met en/of inzage hebben in persoonsgegevens worden verzocht een schriftelijke verklaring op te stellen op welke wijze zij beveiligingsmaatregelen hebben genomen ten aanzien van deze persoonsgegevens (verwerkingsovereenkomst). In deze verwerkings- overeenkomst dienen een geheimhoudingsclausule, voorwaarden inschakelen sub-bewerkers, beveiligingsmaatregelen verwerker, regeling aansprakelijkheid en verantwoordelijkheden met betrekking tot het melden van datalekken te zijn opgenomen. Na goedkeuring en ondertekening archiveert de opdrachtgever een ondertekend exemplaar van deze verklaring.

2 Privacy omgeving

Met betrekking tot de privacy van de omgeving van cliënten en personen werkzaam binnen het Spekrijt zijn afspraken hierover vastgelegd in diverse documenten.

2. Definities

• Verantwoordelijke is de formeel juridisch aansprakelijke rechtspersoon

• Beheerder is de persoon die verantwoordelijk is voor de feitelijke verwerking van de gegevens

• Betrokkene is de persoon van wie gegevens worden verwerkt

• Verwerker een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed

• Verwerkingsovereenkomst de overeenkomst tussen verantwoordelijke en bewerker, waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan.

• Derden degenen aan wie buiten de organisatie gegevens worden verstrekt

• Gebruiker is degene die geautoriseerd is gegevens in de persoonsregistratie in te voeren en/of te wijzigen, dan wel kennis te nemen van persoonsregistraties

• Persoonsgegeven een gegeven dat herleidbaar is tot een individueel natuurlijk persoon

• Persoonsregistratie een samenhangende verzameling van op verschillende personen betrekking hebbende gegevens. Het gaat om gegevens die in het kader van zorg- en/of dienstverlening zijn verzameld.

• Verstrekken van gegevens uit persoonsregistratie het bekend maken of ter beschikking stellen van persoonsgegevens. Het betreft persoonsgegevens die geheel of grotendeels steunen op gegevens opgenomen in de persoonsregistratie.

• Grondslag de reden van een persoonsregistratie. Persoonsgegevens mogen alleen verwerkt worden wanneer dit noodzakelijk is op basis van een in de wet genoemde grondslag.

• Doel datgene wat beoogd wordt met een persoonsregistratie. Persoonsgegevens worden verwerkt in overeenstemming met het vastgestelde doel.

• Datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen. Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.

3. Algemeen

Opgenomen gegevens

De persoonsregistraties kunnen ten hoogste de volgende gegevens-categorieën bevatten:

• personalia- en identificatiegegevens

• financiële- en administratieve gegevens

• medische- en verpleegkundige gegevens

• zorginhoudelijke gegevens

Informatieplicht

Belangrijk uitgangspunt van de wet is, dat de betrokkene helderheid wordt geboden over de verwerking van zijn persoonsgegevens. De verantwoordelijke is dan ook verplicht voorafgaand aan het verzamelen van persoonsgegevens betrokkene te informeren over:

-zijn identiteit;

-voor welk doel of doeleinden de gegevens worden verzameld.

Deze informatie plicht is opgenomen in de zorgovereenkomst die cliënt tekent voordat hij/zij zorg afneemt van het Spekrijt.

Bescherming digitale gegevens

Digitale persoonsgegevens zijn beschermd door:

• inlogcode en wachtwoord

• rechtentoekenning in mappenstructuur en software applicaties voor registraties personeel en/of cliënten.

• back-ups externe opslag

• afspraken met de verwerkers / beheerders van het systeem (verwerkingsovereenkomst)

• datalekken worden binnen 72 uur vanaf het moment constatering gemeld bij de

toezichthouder.

(https://autoriteitpersoonsgegevens.nl/) conform beleidsregels voor toepassing van artikel 34a van de Wbp 08-12-2015.

Meldplicht datalekken

Een datalek wil zeggen dat persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen. Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.

In de keten van verwerkers zijn de werkwijzen/verantwoordelijkheden met betrekking tot datalekken in de verwerkingsovereenkomst met verwerker vastgelegd.

Vernietiging van opgenomen gegevens

De geregistreerde heeft het recht te verzoeken om vernietiging van, tot zijn persoon herleidbare, gegevens. Daartoe dient hij een schriftelijk verzoek in bij de beheerder. De beheerder vernietigt de gegevens binnen een half jaar na het verzoek van de geregistreerde tenzij redelijkerwijs aannemelijk is dat de bewaring op grond van een wettelijk voorschrift vereist is.

Kennisgeving Cliënt en Medewerkers

Cliënt en Medewerkers worden voor aanvang begeleiding/behandeling/dienstverband/contract geïnformeerd over hun rechten en plichten rondom bescherming persoonsgegevens en de mogelijkheid tot inzien van het reglement op de website van het Spekrijt.

Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text. captcha txt